Metaphorical Dream

AAA設定概要



1:aaa new-model
2:aaa authentication login default group tacacs+ local
3:aaa authentication enable default group tacacs+ enable none
4:aaa authorization exec default group tacacs+ local

6:aaa accounting exec default start-stop group tacacs+

8:ip tacacs source-interface Loopback0

10:tacacs-server host key
11:username privilege 15 secret

1~4、10行目:極々当たり前。
6行目:ログイン&アウト時のログを飛ばすか?の設定。鯖側のログでキャッチしてくれるっぽい。

8行目:この設定が肝。
L3SWの場合、複数のIPアドレス(SVI)を持ってるから、TACACS側に登録されているAAAClientのIPアドレスと不一致するのは頂けない。認証要求がドロップされちゃう。
なので、認証要求時のアドレスを固定させるために、該当するInterface=TACACS側で設定されているAAAClientのIPアドレスを指定。

ちなみに、AccessSWの場合、管理Interfaceのアドレスしか持ってないから、この設定を入れなければ、全てAccessSWのConfigを統一化できる。
ただし、"Defaultの動作"ってのが、"一番近いInterfaceのアドレスから送信される"って動作で間違いないのか?は、応用部隊にも確認してみなければ。。。
実際にパケットキャプチャしたら、想定通りの動作だったんだけね。

11行目:これだけでいいのか?と言われれば、否なんだろうけど、顧客からの要件だから仕方あるまい。。。

[PR]
by mdesign21 | 2007-01-14 09:27 | IT系