Cisco authentication login console

В рамках эксплуатации оборудования , многие забывают про такую не мало важную деталь  , как консольный доступ к оборудованию  и как правило это происходит в самым критичных ситуациях — к примеру ,  когда сеть не работает  , вот тут мы и начинаем вспоминать про консольный доступ , и при попытке подключиться — наши все усилия могут быть напрасны — если об этом не подготовиться за ранее .

К примеру мы можем иметь след. конструкцию ААА :

#aaa authentication login default group tacacs local
#aaa authorization exec default group tacacsF local if-authenticated

Для того что б при отсутсвии доступа к серверу tacacs у нас не возникло проблем с доступом к 15 уровню , ко всему этому добовляем :

 

aaa authentication login console local
line con 0
privilege level 1
login authentication console

 

То есть пользователь который проходит локальную аутентификацию через console получает privilege level 1 , далее надо будет ввести >enable , при желении можно избавиться от ввода enable ,
если ввести

 

line con 0
privilege level 15

 

К примеру для Cisco Nexus данная конструкция будет выглядеть еще проще :

 

#aaa authentication login console local

А вот к примеру конфиг с боевого коммутатора :

 

aaa authentication login default group tacacs+ local
aaa authorization exec default if-authenticated group tacacs+ local 
aaa authorization commands 1 default group tacacs+ local 
aaa authorization commands 15 default group tacacs+ local 
aaa accounting commands 0 default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+

 

+ то что я писал про консоль — на мой взгляд это наиболее безопасная схема , в любом случае необходим RADIUS сервер или TACACS , если у вас большое количества железок (хотя бы за 10-20 ть) лучше поставить централизованный сервер .