Cisco AAA 配置
AAA配置
ACS访问原理ACS主要是应用于运行Cisco IOS软件的思科网络设备,当然,ACS也全部或部分地适用于不运行Cisco IOS软件的各种其他思科网络设备。
这其中包括:•Cisco Catalyst交换机(运行Cisco Catalyst操作系统[CatOS])•Cisco PIX防火墙(还有ASA/FWSM )•Cisco VPN 3000系列集中器不运行Cisco IOS软件的思科设备(如运行CatOS的Cisco Catalyst交换机、运行Cisco PIX操作系统的Cisco PIX防火墙或Cisco VPN 3000集中器)可能也支持启用特权、TACACS+(验证、授权和记帐[AAA])命令授权或以上两者。
运行Cisco IOS软件的思科设备提供了两种网络设备管理解决方案:•启用权利(Enable priviledges)•AAA命令授权Cisco IOS软件有16个特权级别,即0到15(其他思科设备可能支持数目更少的特权级别;例如,Cisco VPN 3000集中器支持两个级别)。
在缺省配置下,初次连接到设备命令行后,用户的特权级别就设置为1。
为改变缺省特权级别,您必须运行启用命令,提供用户的启用口令和请求的新特权级别。
如果口令正确,即可授予新特权级别。
请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。
这些等级缺省是有命令集的,比如说等级1只有一些基本的show命令等,而等级15是全部命令的集合。
其他像2~14共13个等级的命令集是要用户自己在认证设备本地定义的。
缺省级别:特权级别说明0 包括disable, enable, exit, help和logout命令1 包括router>提示值时的所有用户级命令15 包括router#提示值时的所有启用级命令可修改这些级别并定义新级别:enable password level 10 pswd10privilege exec level 10 clear lineprivilege exec level 10 debug ppp chapprivilege exec level 10 debug ppp errorprivilege exec level 10 debug ppp negotiation每个设备上都有静态本地口令与特权级别相关联,这样有一个重要的内在缺陷:每个用户的启用口令必须在用户需访问的每个设备上进行配置。
AAA 配置介绍
分区 SNRS 的第 2 页
R 2(config)#aaa a uthorization c onfig-commands (conf t后面的命令默认不受aaa命令授权的影响,敲上这条以 后开始影响。)
Per user command authorization 标示基于用户的命令授权。 第一组permit or deny 是指 未匹配的ios命令,比如show 第二组 permit or deny 是指框里未罗列的命令 比如privilege 当前配置表示,除了show命令其他命令deny,show 后面除了privilege 其他deny。 配置时间审计 R2(config)#aaa accounting exec vty start -stop group tacacs+ (定义一条时间审计策略叫做vty) R2(config)#line vty 0 4 R2(config-line)#accounting exec vty(在vty调用时间审计策略) 配置命令审计 R2(config)#aaa accounting commands 0 vty start -stop group tacacs+ R2(config)#aaa accounting commands 1 vty start -stop group tacacs+ R2(config)#aaa accounting commands 15 vty start-stop group tacacs+ R2(config)#aaa accounting commands 5 vty start -stop group tacacs+ (定义0,1,5,15级命令审计) R2(config)#line vty 0 4 R2(config-line)#accounting commands 0 vty R2(config-line)#accounting commands 1 vty R2(config-line)#accounting commands 15 vty R2(config-line)#accounting commands 5 vty (调用0,1,5,15命令审计策略。)
CISCO A S A 设置
CISCO A S A 设置ASA5510# write erase 清除ASA配置兩點注意事項1. 不要再下wr或者copy running-config startup-config2. 先要show version將下面的Information備份下來Running Activation Key: 0x0000000 0x00000000 0x00000000 0x00000000 0x843cd8aehostname ASA5510domain-name default.domain.invalidenable password XXVfCWsIr6DY92H0 encrypted 設定enable passwordnamesdns-guard!interface Ethernet0/0nameif outside 給接口命名security-level 0 設置安全等級ip address xxx.xxx.xxx.xxx 255.255.255.248 設定IP address and Subnet Mask 別忘了下no shutdown !interface Ethernet0/1nameif insidesecurity-level 100ip address 10.6.1.1 255.255.255.0!interface Ethernet0/2shutdownno nameifno security-levelno ip address!interface Ethernet0/3shutdownno nameifno security-levelno ip address!interface Management0/0shutdown 管理接口,nameif management 通常情況我是將他SHUTDOWN的security-level 100ip address 192.168.1.1 255.255.255.0management-only!passwd 2KFQnbNIdI.2KYOU encrypted 設置telnet密碼boot system disk0:/asa722-k8.bin 設置開機引導的IOS文件不知道用什麽文件引導的话,可以先show flash查看一下,選擇最新的就可以了。
CiscoSecureACSAAA配置附图
实用标准文案界面预览:CiscoSecure ACS安装略。
1 CiscoSecure ACS如果出现上面的界面则说明安装成功。
添加用户:2 user setup点击界面左侧按钮,界面如图所示:1图精彩文档.实用标准文案 Add/Edit按钮,界面如图所示:点输入用户aaa-user1,2图提交,点击Submit123456输入密码随便输入,123456,确认输入一次。
Name/DescriptionReal List all User。
点击可以查看所有已经配置的用户。
1出现图3图精彩文档.实用标准文案添加客户端3. nerwork configuration,出现下图:点击界面左侧4图按钮,出现下图:下点击AAA ClientsAdd Entry精彩文档.实用标准文案图5AAA Client Hostname:客户端主机名AAA Client IP Address:客户端IP地址,也就是路由器的IP地址Key:客户机用来加密数据Autenticate Using:认证方法。
这里保持默认TACACS+其余选项保持默认。
点击Submit+Apply提交并应用按钮,出现下图:精彩文档.实用标准文案6图已经添加成功。
表明R1路由器预配置IP 192.168.2.1/24 配置接口1.AAA全局启用2. R1(config)#aaa new-model服务器指定AAA3. R1(config)#tacacs-server host 192.168.2.10 key client_key身份测试服务器以用户aaa_user14. R1#test aaa group tacacs+ aaa-user1 123456 legacyAttempting authentication test to server-group tacacs+ using tacacs+User was successfully authenticated.123456通过服务器认证。
CISCO交换机配置AAA
由于使用了扩展验证协议(EAP),802.1x在请求者和验证者之间采用的实际验证机制相当灵活。EAP原先是为点对点(PPP)链路上的应用而定义的,
在因特网工程任务组的请求评论文档(RFC)2284中得到了明确定义。
基于以上所述,IEEE定义了一种封装模式,允许EAP通过LAN传输,EAP over LAN(EAPoL)于是应运而生。各种验证服务都可以通过这种协议运行,包括用户名/口令、Kerberos、数字证书、一次性口令和生物检测术等服务。EAP数据包在请求者和验证者之间的链路层上传输,并通过验证者与验证服务器之间的IP/RADIUS连接。
举一例,即使网络管理员能访问SNMP,会计部门的人却没有理由同样能访问。如果有可能确定一个用户属于哪个组,那么在验证期间就可以实施特定的授权策略。就本例而言,SNMP访问权应该授予网络管理组的成员,不然需收回权限,从而防止网络管理员之外的人无意或恶意对网络设备乱加配置。
sw1(config)# int range fa0/2 - 10
sw1(config-if-range)# swtichport access vlan 10
sw1(config-if-range)#dot1x port-control auto
四配置vacl以丢弃所有通过tcp端口8889进入的桢
●第2层协议过滤,去除了网络中不接受的第2层协议。
●第3层过滤,对提供特定单元访问权的网络执行逻辑视图。
●第4层过滤,禁止不允许的协议进入网络。
●速率限制,控制可能有害的信息进入网络的速率。
如果利用为每个端口进行编程的授权服务,就能针对特定用户或用户级制订相应的细粒度安全策略,为它们提供仅供访问所需服务的功能,其它服务一概禁止。
思科网络设备3A认证的开启及命名3A认证的配制方法
思科网络设备3A认证的开启及命名3A认证的配制方法一.3A认证概述在Cisco设备中,许多接口,许多地方,为了安全,都需要开启认证服务,比如我们通常配置的console下的密码,进入Privileged EXEC模式的enable密码,VTY线路下的密码,以及其它二层接口的认证密码等等。
这些密码配置在哪里,那里就开启了相应的认证服务。
并且这些认证服务方式是单一的,也没有备份认证方式,更重要的是,这些密码只能读取本地,却不可以通过读取远程服务器的认证方式来给自己提供认证服务。
要想将一个接口的认证方式调用到另外一个接口,或者让某接口使用远程服务器的认证方式,那就需要AAA中的认证来实现。
AAA中的认证可以给设备提供更多的认证方式,AAA认证就相当于一个装有认证方式的容器一样,里面可以有多个认证方式,当这个容器被安装在某个接口,那么这个接口也就拥有了容器中所有的认证方式。
而几乎所有的认证方式都可以被放入这个容器中,包含远程服务器的认证方式。
二.常见的3A认证配置方法(1)tacacs服务器和密码的宣告通常我们使用在全局模式下宣告tacacs服务器及密码的方式进行3A认证的配置,配置命令如图1所示。
图1 全局下tacacs服务器及密码的宣告方法在宣告tacacs服务器时,为了3A认证的冗余性,我们可以在全局模式下同时宣告多个tacacs服务器地址。
配置了多个tacacs服务器地址后,在进行3A认证时,设备会根据tacacs服务器配置的先后顺序逐一进行认证,直到找到一台可用的tacacs服务器,3A认证成功为止。
如图2。
图2 配置多个tacacs服务器这种宣告方式有一个缺陷,虽然我们可以同时宣告多个tacacs服务器,但是却只能宣告一个密码,也就是说用来进行冗余处理的tacacs服务器都必须要配置一样的认证密码,这样不利于网络设备的安全管理。
为了解决这一问题,我们可以将tacacs服务器与密码同时进行宣告,如图3.图3 tacacs服务器与密码同时宣告这种宣告方式解决了全局模式下只能宣告一个密码的问题,并且这种方式同样也可以同时宣告多条,和传统的宣告方式一样,这种新的宣告方式也会根据先后顺序进行逐条的调用。
AAA配置实例+注解
AAA配置实例+注解cisco上配置AAA,AAA是指用使用Authentication、Authorization、Accounting三种功能对要管理交换机的用户做控制。
Authentication(认证):对用户的身份进行认证,决定是否允许此用户访问网络设备。
Authorization(授权):针对用户的不同身份,分配不同的权限,限制每个用户的操作Accounting(计费):对每个用户的操作进行审计和计费我们一般使用TACACS+、RADIUS协议来做cisco设备的AAA。
RADIUS是标准的协议,很多厂商都支持。
TACACS+是cisco私有的协议,私有意味只有cisco可以使用,TACACS+增加了一些额外的功能。
当用户的身份被认证服务器确认后,用户在能管理交换机或者才能访问网络;在访问设备的时候,我们可以针对这个用户授权,限制用户的行为;最后我们将记录用在设备的进行的操作。
在认证的时候,有一下这些方法:1.在交换机本地进行用户名和密码的设定,也就是在用户登录交换机的收,交换机会对比自己的本地数据库,查看要登录的用户所使用的用户名和密码的正确性。
2.使用一台或多台(组)外部RADIUS服务器认证3.使用一台或多台(组)外部TACACS+服务器认证用一个配置实例,说明交换机上操作username root secret cisco#在交换机本地设置一个用户,用户名是root,密码是cisco。
aaa new-model#在交换机上激活AAAaaa authentication login default group tacacs+local#设置一个登录交换机是认证的顺序,先到tacacs+服务器认证,如果tacacs+服务器出现了故障,不能使用tacacs+认证,我们可以使用交换机的本地数据库认证,也就是用户名root密码ciscoaaa authorization exec default group tacacs+if-authenticated#如果用户通过了认证,那么用户就能获得服务器的允许,运行交换机的EXEC对话aaa authorization commands15default group tacacs+local#在任何权限在使用交换机命令式都要得到tacacs+服务器许可,如果tacacs+出现故障,则要通过本地数据库许可aaa accounting exec default start-stop group tacacs+#记录用户进去EXEC对话的认证信息、用户的地址和对话的开始时间持续时间,记录的过程是从开始到结束aaa accounting commands1default start-stop group tacacs+ aaa accounting commands15default start-stop group tacacs+!tacacs-server host192.168.1.1#定义tacacs服务器地址是192.168.1.1tacacs-server key cisco#定义交换机和tacacs服务器之间通信中使用的key为ciscoline vty04login authentication defaultauthorization exec defaultaccounting exec default最近在搭建公司的ACS,总结了一些经验写在这里。
AAA的概念和思科IOS对其配置简析
AAA的概念和思科IOS对其配置简析.txt蜜蜂整日忙碌,受到赞扬;蚊子不停奔波,人见人打。
多么忙不重要,为什么忙才重要。
什么是AAA?在网络安全领域,AAA代表了一种必备的要求。
下面说的就是为什么你要使用AAA的原因:·验证:通过采用有效的安全模式,它甚至可以在用户登陆网络之前就对登录名和密码进行识别。
而且,根据对不同安全等级的设置,它也可以支持加密功能。
·授权:经过了初步的验证后,授权将根据用户的身份确定应该给予其多大程度的权力。
远程用户拨号认证系统(RADIUS)或者终端访问控制器访问控制系统(TACACS+)的服务器将根据属性值(AV)的情况选择应该给予授权的具体权限,以便和用户的要求相适应。
在思科网际操作系统中,你可以通过列表或者授权模式对AAA级授权的情况进行设置。
·统计:最后的“A”指的是统计。
它提供了一种安全信息收集机制,可以进行统计、审核和报告等操作。
你可以使用统计功能查看用户得到认证和授权后的活动情况。
举例来说,你可以利用统计功能查看用户登陆和退出的情况。
为什么每一个网络管理员都要关心验证、授权和统计(AAA)功能为了通过象思科认证网络工程师(CCNA)安全之类的认证测试,验证、授权和统计(AAA)是一个关键的基础知识点。
验证、授权和统计(AAA)功能可以通过确保只有身份正确的用户才可以登陆,他们只有必须的网络权限以及只能控制自己业务范围内的资源等方法来保证网络的安全。
在思科网际操作系统如何对验证、授权和统计(AAA)功能进行配置?下面就是对验证、授权和统计(AAA)功能进行配置的步骤:·启用验证、授权和统计(AAA)功能·利用远程用户拨号认证系统(RADIUS)或者终端访问控制器访问控制系统(TACACS+)配置身份验证·按照列表的模式进行授权·在每行/每个界面中都使用该列表在这里需要注意的是,只有事前模式没有响应的情况下,思科网络操作系统才会采用下一个验证模式。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
如何在Cisco设备上来配置AAA的认证?实验设备:cisco 3640路由器1台,PC一台,Console线缆一根,交叉线一根实验拓扑:实验过程:第一步:通过console线缆,使用超级终端或者SecureCRT登录路由器,完成基本配置,同时将交叉线连接到路由器E1/0,t在PC的接口上配置IP为192.168.10.1,掩码255.255.255.0 Router>enableRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#no ip domain-lookupRouter(config)#line console 0Router(config-line)#no exec-tRouter(config-line)#logg syn3640(config)#host R3640R3640(config)#int e1/0R3640(config-if)#ip add 192.168.10.3 255.255.255.0R3640(config-if)#no shR3640(config-if)#end*Mar 1 00:02:02.499: %SYS-5-CONFIG_I: Configured from console by consoleR3640#ping 192.168*Mar 1 00:02:03.659: %LINK-3-UPDOWN: Interface Ethernet1/0, changed state to up *Mar 1 00:02:04.659: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to upR3640#ping 192.168.10.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:.Success rate is 80 percent (4/5), round-trip min/avg/max = 12/32/44 ms第二步:启用AAA,并配置登录验证为localR3640#conf tEnter configuration commands, one per line. End with CNTL/Z.R3640(config)#aaa ?new-model Enable NEW access control commands and functions.(Disables OLDcommands.)R3640(config)#aaa new-model全局启用AAA功能R3640(config)#aaa authentication login ?当用户登录时启用AAA认证功能,并且定义认证时调用的名字是默认的”default”,还是自己随便定义1个WORD Named authentication list.default The default authentication list.R3640(config)#aaa authentication login default ?指定用哪种认证方式 enable Use enable password for authentication. 使用特权密码group Use Server-group 使用Radius或者Tacacs+协议krb5 Use Kerberos 5 authentication. 使用Kerberoskrb5-telnet Allow logins only if already authenticated via Kerberos VTelnet.line Use line password for authentication. 使用线路认证方式 local Use local username authentication.使用本地认证方式,需配置用户名和密码local-case Use case-sensitive local username authentication.none NO authentication. 不做认证配置当用户登录设备时,使用aaa本地登录认证方式,认证调用的名字为default,认证方式为localR3640(config)#aaa authentication login default local配置本地登录时,使用的用户名和密码。
密码我配置的为经过 MD5加密的secret密码。
安全性高,在show running-config显示的是密文的。
不建议配置明文的用户名和密码如(R3640(config)#username admin password admin)密码建议配置复杂一点,要有大小写,特殊字符,和数字,长度大于8位以上。
如:P@ssw0rd R3640(config)#username nousername secret nopassword第三步:启用认证调试,观察debug 现象R3640#debug aaa authenticationAAA Authentication debugging is onR3640#第四步:如图1所示,在PC上使用telnet,远程登录路由器第五步:如图2所示,输入刚才再配置,登录的用户名nousername 和密码nopassword。
输入的密码是不会显示的,不然怎么叫密码了,登录成功之后,在当前路由器的用户模式。
说明我们已经完成了aaa的认证功能,并没有配置VTY的密码,而是使用aaa完成的认证第六步:如图3所示,输入enable,尝试进入特权模式,路由器提示如下认证错误。
为什么了?第七步:当输入enable,尝试登录时,查看路由器的上的debug现象R3640#*Mar 1 00:38:49.347: AAA: parse name=tty130 idb type=-1 tty=-1*Mar 1 00:38:49.347: AAA: name=tty130 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=130 channel=0*Mar 1 00:38:49.347: AAA/MEMORY: create_user (0x637810BC) user='nousername'(登录的用户名和密码) ruser='NULL' ds0=0 port='tty130' rem_addr='192.168.10.1'(PC IP地址) authen_type=ASCII service=ENABLE priv=15 initial_task_id='0', vrf= (id=0)*Mar 1 00:38:49.351: AAA/AUTHEN/START (509980843): port='tty130' list=''action=LOGIN service=ENABLE 输入enable(没有enable密码)*Mar 1 00:38:49.351: AAA/AUTHEN/START (509980843): non-console enable - default to enable password*Mar 1 00:38:49.351: AAA/AUTHEN/START (509980843): Method=ENABLER3640#*Mar 1 00:38:49.351: AAA/AUTHEN(509980843): can't find any passwords 没有发现enable 密码*Mar 1 00:38:49.351: AAA/AUTHEN(509980843): Status=ERROR (认证状态发生错误)*Mar 1 00:38:49.351: AAA/AUTHEN/START (509980843): no methods left to try*Mar 1 00:38:49.351: AAA/AUTHEN(509980843): Status=ERROR*Mar 1 00:38:49.351: AAA/AUTHEN/START (509980843): failed to authenticate 认证失败,原因是没有配置enable密码*Mar 1 00:38:49.355: AAA/MEMORY: free_user (0x637810BC) user='nousername'ruser='NULL' port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)R3640#第七步:如果要想远程登录能进入到特权模式,完成配置,还需要在路由器上配置enable 密码。
如果希望让某个大虾,只活动用户模式下,那暂且可以不配,但是没有enable那不是不科学的,不敢保证,永远也不需要远程调试路由器,如果需要调试,那肯定就需要enable密码才可以进入,如图4所示,第八步:如图5所示,输入刚配置的enable secret密码,可以登录到特权模式。
思考上图中为什么出现以下错误提示:R3640>enablePassword:% Access deniedR3640>enablePassword:% Password: timeout expired!% Error in authentication.输入enable密码,进入特权模式时,authentication debug 消息*Mar 1 00:51:26.719: AAA/MEMORY: free_user (0x63D5B984) user='NULL' ruser='NULL' port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)R3640#*Mar 1 00:51:30.667: AAA: parse name=tty130 idb type=-1 tty=-1*Mar 1 00:51:30.667: AAA: name=tty130 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=130 channel=0*Mar 1 00:51:30.667: AAA/MEMORY: create_user (0x63D5B984) user='nousername'ruser='NULL' ds0=0 port='tty130' rem_addr='192.168.10.1' authen_type=ASCIIservice=ENABLE priv=15 initial_task_id='0', vrf= (id=0)*Mar 1 00:51:30.667: AAA/AUTHEN/START (2028066283): port='tty130' list=''action=LOGIN service=ENABLE*Mar 1 00:51:30.671: AAA/AUTHEN/START (2028066283): non-console enable - default to enable password*Mar 1 00:51:30.671: AAA/AUTHEN/START (2028066283): Method=ENABLER3640#*Mar 1 00:51:30.671: AAA/AUTHEN(2028066283): Status=GETPASS 认证通过R3640#*Mar 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): continue_login (user='(undef)') *Mar 1 00:51:37.599: AAA/AUTHEN(2028066283): Status=GETPASS*Mar 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): Method=ENABLE*Mar 1 00:51:37.623: AAA/AUTHEN(2028066283): Status=PASS*Mar 1 00:51:37.623: AAA/MEMORY: free_user (0x63D5B984) user='NULL' ruser='NULL' port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)R3640#第九步:刚才我们验证的是远程登录,再来验证一下,本地登录认证这种方式,从console接口能否登陆,如图6所示:提示需要,用户名和密码第十步:输入正确的用户名和密码*Mar 1 00:51:26.719: AAA/MEMORY: free_user (0x63D5B984) user='NULL' ruser='NULL' port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)R3640#*Mar 1 00:51:30.667: AAA: parse name=tty130 idb type=-1 tty=-1*Mar 1 00:51:30.667: AAA: name=tty130 flags=0x11 type=5 shelf=0 slot=0 adapter=0 port=130 channel=0*Mar 1 00:51:30.667: AAA/MEMORY: create_user (0x63D5B984) user='nousername'ruser='NULL' ds0=0 port='tty130' rem_addr='192.168.10.1' authen_type=ASCIIservice=ENABLE priv=15 initial_task_id='0', vrf= (id=0)*Mar 1 00:51:30.667: AAA/AUTHEN/START (2028066283): port='tty130' list=''action=LOGIN service=ENABLE*Mar 1 00:51:30.671: AAA/AUTHEN/START (2028066283): non-console enable - default to enable password*Mar 1 00:51:30.671: AAA/AUTHEN/START (2028066283): Method=ENABLER3640#*Mar 1 00:51:30.671: AAA/AUTHEN(2028066283): Status=GETPASSR3640#*Mar 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): continue_login (user='(undef)') *Mar 1 00:51:37.599: AAA/AUTHEN(2028066283): Status=GETPASS*Mar 1 00:51:37.599: AAA/AUTHEN/CONT (2028066283): Method=ENABLE*Mar 1 00:51:37.623: AAA/AUTHEN(2028066283): Status=PASS*Mar 1 00:51:37.623: AAA/MEMORY: free_user (0x63D5B984) user='NULL' ruser='NULL' port='tty130' rem_addr='192.168.10.1' authen_type=ASCII service=ENABLE priv=15 vrf= (id=0)进入特权模式之后,用户的级别是在15,思考,在用户模式级别是多少?通过什么命令可以查看到你当前所处的模式,是那个级别?总结:本地登录认证配置有两种方法:第一种:如图7所示第二种:如图8所示第二种配置方式,认证调用的名字是自定义的,那就需要在console和VTY接口下,调用才可以。