Однако мало того, что ааа по умолчанию выключена; конфигурация этой системы — дело довольно запутанное. Недочеты в конфигурации могут привести либо к нестабильному, небезопасному подключению, либо к отсутствию какого-либо соединения в принципе. В данной статье мы подробно разберем схему настройки аутентификации при помощи aaa.
В общем виде схема аутентификации выглядит так:
Схема разделена на две части не случайно: в первой описывается основной путь прохождения от управляющих линий (vty или con) до методов аутентификации, во второй — сами способы аутентификации. Но обо всем по порядку.
Отсутствие aaa new-model
В данном случае речь идет о правой части схемы (см. рис. 1).

Конфигурация aaa new-model
Преимущество конфигурации aaa в том, что она содержит множество методов аутентификации (в отличие от предыдущего случая). Включение aaa происходит путем добавления команды aaa new-model в режиме глобальной конфигурации. Далее предстоит выбор методов аутентификации. Все методы организуются в списки, которым присваивается либо значение default, либо конкретное имя списка (list-name). Таким образом, на разные типы линий (aux, vty, con…) можно «повесить» разные методы аутентификации, разграничив доступ между пользователями.
Router(config)#aaa new-model
Router(config)#aaa authentication login {default | list-name} method1 [method2…]
Router(config)#line {vty | aux | con…} line-numbers
Router(config-line)#login authentication {default | list-name}
Методы
Как было сказано ранее, методов аутентификации в aaa довольно много. Попробуем перечислить наиболее распространенные:
- Local — база данных логинов и паролей храниться на самом сетевом устройстве. Требует username {password | secret}.
- Local-case — тот же самый метод, что и local, но чувствительный к регистру при ввде логина. Enable — для аутентификации требуется enable{password | secret}.
- Line — для аутентификации требуется пароль line (см. рис. 4 способ аутентификации “line”).
- None — аутентификация не требуется, доступ к устройству предоставляется без ввода логина и пароля.
- Group {tacacs+ | radius} — подключение серверов с установленным Tacacs+ (http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/scftplus.html#wp1000899) или Radius (http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/guide/scfrad.html#wp1000902)для расширения возможностей конфигурации aaa.
- Group {group-name} — позволяет настроить группу серверов с установленным Tacacs+ или Radius или настроить частный сервер группы.
Router(config)#aaa authentication login default group servradius1
Router(config)#aaa group server radius servradius1
Router(config-sg-radius)#server 192.168.1.1
Router(config-sg-radius)#server 192.168.1.2
Router(config-sg-radius)#server 192.168.1.3
Router(config-sg-radius)#server-private 192.168.1.10


