CCNP(ISCW)实验：配置Router 将AAA用于管理访问授权

实验说明：

我们在R1上配置tacacs+授权，在R2上进行TACACS授权 预配置 R1(config)#int e1/0 R1(config-if)#ip add 192.168.1.1 255.255.255.0 R1(config-if)#no sh R1(config-if)#int e0/0 R1(config-if)#ip add 172.16.1.1 255.255.255.0 R1(config-if)#no sh

R2(config)#int e1/0 R2(config-if)#ip add 192.168.1.2 255.255.255.0 R2(config-if)#no sh R2(config-if)#int e0/0 R2(config-if)#ip add 172.16.1.2 255.255.255.0 R2(config-if)#no sh

实验过程： 第一步：在R1上配置tacacs+授权 R1(config)#aaa new-model R1(config)#aaa authentication login AUTH group tacacs+ enable R1(config)#tacacs-server host 192.168.1.11 key server123 R1(config)#aaa authorization exec AUTHOR group tacacs+ none R1(config)#line vty 0 4 R1(config-line)#login authentication AUTH R1(config-line)#authorization exec AUTHOR

第二步：在选中 第三步：在tacacs+对用户进行提权 在部分中，启用 第四步：对radius进行提权 第五步：为了防止用户使用erase命令，进行如上配置 第六步：在R2进行配置 aaa authentication login AUTH group tacacs+ aaa authorization commands 15 AUTHOR group tacacs+ none tacacs -server host 192.168.1.11 key server123 line vty 0 4 authorization commands 15 AUTHOR login authentication AUTH 第七步：测试 以admin用户登录，我们限制了erase命令 以下cisco用户的我们限制了configure 命令