CCIE安全学习笔记（一）

＃aaa new-model  打开aaa服务
 
＃aaa authentication login 4sec tacacs+ local
告诉路由器先用tacacs+校验用户，如果tacacs服务器报告出错（比如tacacs服务器没有打开）就用路由器本地用户校验登录。如果tacacs服务器拒绝用户登录，则不会用路由器本地用户校验登录。
＃aaa authorization exec default tacacs+ local
该命令告诉路由器使用tacacs服务器检验用户权限，如果tacacs服务器报错则用路由器本地设置检验用户权限。
＃aaa authorization commands 4 4sec tacacs+
该命令在此处无效，因为没有让vty 0 4用list 4sec来校验权限。如果此处把命令改为：
aaa authorization commands 4 default group tacacs+ 则路由器会用tacacs服务器来校验每一个权限高于4的命令。如果把命令改为：
aaa authorization commands 4 default group tacacs+ local虽然路由器还是会用tacacs服务器来校验每一个权限高于4的命令，但是一旦tacacs出错，我们还是可以通过路由器的本地用户及权限来登录并修正错误。
如果把命令改为：
aaa authorization commands 4 default group tacacs+ local none则用户在tacacs服务器停止工作和没有本地用户名一样可以登录路由器。

＃username fumtek privilege 7 password 0 password
该命令设置用户fumtek的密码

＃username admin privilege 15 password 0 passpass
该命令设置管理员的密码

＃tacacs-server host 10.10.10.10
指定tacacs服务器的地址

＃tacacs-server key key4sec
指定NAS和tacacs服务器之间密码交换是的密匙。

line vty 0 4
login authentication 4sec
exec-timeout 0 0