配置AAA
11.2.1
router(config)#aaa new-model

11.2.2配置TACACS+和RADIUS客户端
router(config)#tacacs-server host 192.168.0.11
router(config)#tacacs-server key topsecret
router#show tacas

router(config)#radius-server host 192.168.0.11
router(config)#radius-server key topsecret
router#show

11.2.3 配置AAA验证
router(config)#aaa authentication ppp default

11.2.4 配置登陆验证

用于AAA登陆的默认方法列表配置
router(config)#tacacs-server host 192.168.0.11
router(config)#tacacs-server host 192.168.1.12
router(config)#tacacs-server key topsecret
router(config)#aaa new-model
router(config)#aaa authentication login default group tacacs+ enable none

用于AAA登陆的命名方法列表配置
router(config)#radius-server host 192.168.0.11
router(config)#radius-server host 192.168.0.12
router(config)#radius-server key topsecret
router(config)#aaa new-model
router(config)#aaa authentication login default local
router(config)#aaa authentication login PASSPORT group radius local none
PASSPORT 为命名方法列表
router(config)#line vty 0 4
router(config-line)#login authentication PASSPORT
将PASSPORT方法列表应用到全部5条vty上

11.2.5 在特权级别下启用口令保护(默认列表是唯一存在的特权模式方法列表)
router(config)#tacacs-server host 192.168.0.11
router(config)#tacacs-server host 192.168.1.12
router(config)#tacacs-server key topsecret
router(config)#aaa new-model
router(config)#aaa authentication enable group tacacs+ enable none

11.2.6 使用AAA配置PPP验证
router(config)#tacacs-server host 192.168.0.11
router(config)#tacacs-server host 192.168.1.12
router(config)#tacacs-server key topsecret
router(config)#aaa new-model
router(config)#aaa authentication ppp DIALIN group tacacs+ none
router(config)#int bri0
router(config-if)#aaa authentication chap DIALIN

11.2.7 配置AAA授权
router(config)#aaa authorization reverse-access

11.2.8 IOS命令特权级别

privilege明确配置哪些命令属于哪些特权级别
router(config)#privilege configure level 7 snmp-server host
router(config)#privilege configure level 7 snmp-server enable
router(config)#privilege configure level 7 snmp-server
router(config)#privilege exec level 7 ping
router(config)#privilege exec level 7 configure terminal
router(config)#privilege exec level 7 configure

配置AAA命令授权的特权级别例子
router(config)#aaa authorization commands 0 default group tacacs+ local
router(config)#aaa authorization commands 15 default group tacacs+ local
router(config)#aaa authorization commands 7 default group tacacs+ local

给用户配置特定特权
router(config)#username flannery privilege 7 password letmein

11.2.10 配置AAA统计
router(config)#tacacs-server host 192.168.0.11
router(config)#tacacs-server host 192.168.1.12
router(config)#tacacs-server key topsecret
router(config)#aaa new-model
router(config)#aaa authentication login default group tacacs+ local enable
router(config)#aaa accounting network default start-stop group tacacs+