line con 0
logging synchronous
login local
console:默认不需认证即可登录
aux:默认login 必须认证才能登录
vty:默认login 必须认证才能登录
若密码输入错误,则停顿3秒后才可以进行下一次输入;
如果在60秒内有3次密码输入错误的情况,则挂起15分钟;
如果登录成功,则产生log日志;
如果登录失败,也将产生log日志。
login delay 3
login block-for 900 attempts 3 within 60
login on-failure log
login on-success log
ip domain name http://qytang.com
crypto key generate rsa modulus 2048
username admin privilege 15 password 7 020700560208
ip ssh rsa keypair-name http://R2.qytang.com
ip ssh version 2
!
access-list 10 permit 192.168.1.100 0.0.0.0
!
line vty 0 4
access-class 10 in
login local
transport input ssh
在R1路由器上启用AAA认证,并开启线下保护
使用ISE作为TACACS+服务器,与R1路由器互相关联
在ISE上创建用户XXX(自己名字的拼音),并在R1上测试TACACS+服务器;
在ISE上创建策略给予用户15级的访问权限,验证现象并查看ISE日志信息;
aaa group server tacacs+ qytang-ta-group
server-private 192.168.1.241 key cisco
!
aaa authentication login noacs line none
aaa authentication login qyt-vty group qytang-ta-group local
aaa authorization exec qyt-vty group qytang-ta-group local
aaa accounting exec qyt-vty start-stop group qytang-ta-group
!
line vty 0 4
authorization exec qyt-vty
accounting exec qyt-vty
login authentication qyt-vty
transport input all