Если вы уже используете графический пользовательский интерфейс (GUI) для системного администрирования, то администрирование сети Cisco не вызовет затруднений. Но, несмотря на то что сотрудники компании Cisco приложили мало усилий к разработке конфигурационных утилит «в один щелчок», интерфейс командной строки (command-line interface, CLI) остается доступным и сохраняет свою значимость. Это мощный и эффективный инструмент, если вы хорошо понимаете, как работают команды, которые вводите. Интерфейс командной строки черно-белый, в отличие от графического интерфейса с его красочными кнопками и удобными для пользователя уведомлениями.
Если вы не привыкли использовать оболочку командной строки на других платформах, таких как Windows или Linux, не беспокойтесь. Во многих отношениях интерфейс командной строки в IOS прост, потому что оснащен встроенной справкой, пользоваться которой я вас научу.
Базовая настройка:
en
conf t
hostname *** (Назначение имен)
ip domaina-name *** (Доменное имя)
do show host summary (Проверяем наличие созданного домена)
username *(имя хоста)* privilage 15 secret *** (Создание максимального уровня пароля с хэш-функцией)
do show run (Проверяем созданный пароль)
aaa new-model
aaa authentication login default local (Проверка будет проводиться с использованием локальной базы данных)
line vty 0 4 (Аутентификация на удаленной консоли)
default login authentication
privilage level 15
exit
line con 0 (Настройка локальной консоли)
default login authentication
privilage level 0
exit
en pass *** (Хранение пароля в конфиге НЕ в виде хэш-функции)
service pass encryption (Режим, при котором все пароли в конфиге хранятся в зашифрованном виде)
------------------------------------------
Что такое IOS?
Подавляющее большинство маршрутизаторов и коммутаторов Cisco работает под управлением операционной системы Cisco Internetwork Operating System (IOS). Система IOS контролирует все аспекты работы устройства, например список тех, кому разрешен доступ, какой трафик допустим, а какой заблокирован, включен/отключен интерфейс и т. д.
Оболочка командной строки IOS - это интерфейс для настройки устройств Cisco. Вы будете выполнять все задачи по настройке, описанные в этой книге, именно в оболочке командной строки IOS. В этом блоге вы узнаете, как получить доступ к оболочке командной строки IOS и как использовать ее для просмотра, изменения и сохранения конфигураций устройств.
Система IOS - это настолько мощный инструмент, что вы легко можете нарушить работу всей сети, просто выполнив неправильную команду. Команды, которые вы изучите в этой статье, довольно безобидны, поэтому вы можете вполне безопасно выполнять их все (с разрешения, конечно) в рабочей сети. Просто имейте в виду, что ввод случайных команд может быть катастрофическим, поэтому не увлекайтесь. Если у вас есть тестовая сеть, работу которой вы можете нарушить без последствий, не стесняйтесь экспериментировать, но не скачите хаотично по материалу этой книги. Даже в этом случае следует учиться методично.
Создание виртуальных интерфейсов, подынтерфейсов и интерфейсов типа петля. Назначение IP- адресов в соответствии с таблицами.
Настройка IPv6 адресации:
----------------RTR1:----------------
ipv6 unicast-routing (Включение механизма SLAAC)
int ethernet 0/0
no shut
exit
int ethernet 0/0.100 (Создаем 100-ый подынтерфейс)
encapsulation dot1Q 100 (Включение инкапсуляции)
ipv6 enable (включение ipv6 адресации)
ipv6 address 2001:100::1/64
ipv6 address fe80::1 link-local
no shut
exit
do show ipv6 inr brief (Смотрим настройки интерфейсов)
int ethernet 0/0.300 (Создаем 300-ый подынтерфейс)
encapsulation dot1Q 300 (Включение инкапсуляции)
ipv6 enable
ipv6 address 2001:300::3/64
ipv6 address fe80::2 link-local
no shut
exit
----------------RTR2:----------------
int ethernet 0/0
no shut
exit
int ethernet 0/0.300
encapsulation dot1Q 300
ipv6 enable
ipv6 address 2001:300::3/64
ipv6 address fe80::2 link-local
no shut
exit
----------------SW3:----------------
int vlan 100 (Создаем виртуальный интерфейс)
no shut
ipv6 enable (включение ipv6 адресации)
ipv6 address autoconfig (В случае, если коммутатор должен автоматически получить ip адреса)
ipv6 address fe80::30 link-local
exit
----------------SW2:----------------
int vlan 100 (Создаем виртуальный интерфейс)
no shut
ipv6 enable (включение ipv6 адресации)
ipv6 address autoconfig (В случае, если коммутатор должен автоматически получить ip адреса)
ipv6 address fe80::20 link-local
exit
----------------SW1:----------------
int vlan 100 (Создаем виртуальный интерфейс)
no shut
ipv6 enable (включение ipv6 адресации)
ipv6 address autoconfig (В случае, если коммутатор должен автоматически получить ip адреса)
ipv6 address fe80::10 link-local
exit
Авторизация на устройствах CISCO
Независимо от того, подключаетесь вы к маршрутизатору или коммутатору Cisco, процесс в целом одинаков. Во-первых, вам нужен клиентский терминал, который поддерживает как протокол Telnet, так и Secure Shell (SSH). Для пользователей операционной системы Windows я рекомендую программу PuTTY, которую вы можете скачать с сайта. Если вы поклонник операционной системы macOS или Linux, то можете использовать команды telnet или ssh в программе Terminal (Терминал). В примерах в этой книге я использую операционную систему Windows и программу PuTTY, но скажу, что как только вы подключитесь к устройству Cisco, ни ваша операционная система, ни клиентский терминал уже не будут иметь большого значения. Команды конфигурации, которые вы будете использовать для настройки устройств, будут одинаковыми для любой системы.
Откройте клиентский терминал и выберите один из коммутаторов вашей сети. Я собираюсь подключиться к учебному коммутатору, набрав его IP-адрес в поле Host Name (or IP address) (Имя хоста (или IP-адрес)), установив тип подключения Telnet и нажав кнопку Open (Открыть), как показано на рис. 3.1. Если вы не можете подключиться через протокол Telnet, попробуйте использовать протокол SSH. Интерфейс программы PuTTY не менялся годами, но если это когда-либо произойдет в вашей версии, базовые настройки все равно должны быть теми же
Настройка всех устройств для управления по протоколу SSH версии 2:
----------------RTR2:----------------
username *** password ***
ip domain-name ***
hostname ***
crypto key generate rsa modulus 1024
ip ssh version 2 (Настройка ssh версии 2)
line vty 0 4
transport input ssh
login local
exit
-------------------------------------------
Настройка коммутации
Настройка VLAN и DTP
---------------SW3:---------------
Создаем ВЛВС:
Vlan 99
name ***
Vlan 100
name ***
Vlan 300
name ***
DTP:
int range ethernet 1/0-1, ethernet 2/0-1 (интерфейсы, участвующие в обмене пакетами)
no shut
switchport trunk encapsulation dot1q (включение инкапсуляции)
switchport mode dynamic desirable (перевод портов в режим инициирования)
exit
int ethernet 0/0
no shut
switchport trunk encapsulation dot1q
switchport mode trunk (перевод инверфейсов в режим транков)
exit
----------------SW2:----------------
Создаем ВЛВС:
Vlan 99
name ***
Vlan 100
name ***
Vlan 300
name ***
DTP:
int range ethernet 1/0-1 (интерфейсы, участвующие в обмене пакетами)
no shut
switchport trunk encapsulation dot1q (включение инкапсуляции)
switchport mode dynamic auto (Включение ожидания портов)
exit
int range ethernet 0/0-1
no shut
switchport trunk encapsulation dot1q
switchport mode trunk (Включаем транк)
exit
----------------SW1:----------------
Создаем ВЛВС:
Vlan 99
name ***
Vlan 100
name ***
Vlan 300
name ***
int range ethernet 2/0-1
no shut
switchport trunk encapsulation dot1q
switchport mode dynamic auto
exit
int range ethernet 0/0-1
no shut
switchport trunk encapsulation dot1q
switchport mode trunk
exit
int ethernet 1/0
no shut
switchport mode access
switchport access vlan 300 (перевод свичпорта в режим access)
--------Отключить порты и перевести в vlan 99:--------
int range ethernet 0/2-3, ethernet 1/2-3, ethernet 2/0-3
switchport mode access
switchport access vlan 99
shut
---------------------------------------------
В поле Host Name (or IP address) введите IP-адрес устройства, к которому вы хотите подключиться. Установите переключатель в положение Telnet или SSH, а затем нажмите кнопку Open.
При появлении запроса введите имя пользователя (логин) и пароль привилегированного пользователя. Вы должны увидеть имя хоста коммутатора, за которым следует либо хеш (#), либо знак больше (>):
Настройка агрегирования каналов связи между коммутаторами.
Настройка LACP. PAgP:
----------------SW1:----------------
int range ethernet 0/0-1
channel-group 1 mode passive (цифра 1 - номер портовой группы)
exit
int range ethernet 2/0-1
channel-group 3 mode desirable (по условию задания channel-group * mode ?)
exit
show pagp counters (смотрим, проходят ли пакеты после настройки)
----------------SW2:----------------
int range ethernet 0/0-1
channel-group 1 mode active
exit
int range ethernet 1/0-1
channel-group 2 mode desirable
exit
show pagp counters (смотрим, проходят ли пакеты после настройки)
----------------SW3:----------------
int range ethernet 1/0-1
channel-group 2 mode active
exit
int range ethernet 2/0-1
channel-group 3 mode desirable
exit
show pagp counters (смотрим, проходят ли пакеты после настройки)
show lasp counters
-------------------------------------------------
Конфигурация протокола остовного дерева:
Настройка Rapid STP:
---------------SW1:----------------
spanning-tree mode ?
spanning-tree mode rapid-pvst (включение rapid STP)
spanning-tree vlan 100 priority 0 (Назначение коммутатора корнем связующего дерева в VLAN)
spanning-tree vlan 300 priority 0 (Назначение коммутатора корнем связующего дерева в VLAN)
int range ethernet 0/2-3
spanning-tree bpduguard enable (включаем защиту от нежелательных BPDU)
spanning-tree portfast (Настройка порта, чтобы он переходил в режим Forwarding)
exit
errdisable recovery cause bpduguard
errdisable recovery interval 60 (Обеспечить автоматическое восстановление работоспособности указанных портов с интервалом 60сек)
show spanning-tree *наш интерфейс* detail
----------------SW2:----------------
spanning-tree mode rapid-pvst
spanning-tree vlan 100 priority 4096 (В случае отказа SW1 - SW2 станет корнем)
spanning-tree vlan 300 priority 4096
----------------SW3:----------------
spanning-tree mode rapid-pvst
SW3 можно настроить аналогично остальным, если по заданию будет условие, что в случае отказа какого-либо из остальных он станет корнем.
show spanning-tree vlan *** (смотрим протоколы stp)
-----------------------------------------------
Настройка подключений к глобальным сетям.
Настройка PPPoE:
Если вы не видите символ #, введите слово enable и нажмите клавишу Enter. Возможно, вам будет предложено ввести еще один пароль для режима enable. Если вход в систему выполнен успешно, вы должны увидеть приглашение с символом #. Сотрудники компании Cisco называют этот привилегированный
режим как EXEC, но многие люди называют его режимом enable. Режим enable - это режим root-пользователя или администратора, который позволяет просматривать более подробную информацию о коммутаторе и вносить изменения в его конфигурацию.
Практикум Авторизуйтесь на одном из ваших коммутаторов 3-го уровня. Убедитесь, что вы можете перейти в режим enable. В противном случае не читайте дальше. У вас должна быть возможность войти в режим enable на всех устройствах, иначе не сможете управлять своей сетью. Самое серьезное препятствие для перехода в режим enable - ввод неправильного пароля при авторизации. Убедитесь, что вы напечатали его правильно!
Имейте в виду, что в зависимости от индивидуальных настроек коммутатора вы можете выйти из режима администрирования автоматически, по истечении определенного времени бездействия. Это важный параметр безопасности, и подобное поведение не указывает на что-то неправильное в ваших настройках. Если это произойдет, просто заново авторизуйтесь в системе и вернитесь к моменту, где вы остановились.
----------------ISP: Server----------------
username cisco password cisco
aaa new-model
aaa authentication ppp default local (учетная запись будет в локальной базе данных)
ip local pool PPPoE 10.10.10.2 (пул адресов, которые будут выдаваться при подключении)
int virtual-template 1 (создаем виртуальный шаблон)
ip address 10.10.10.1 255.255.255.252 (задаем айпи адрес)
encapsulation ppp (включение протокола ррр на виртуальном шаблоне)
ppp authentication chap ( определили протокол аунтентификации)
peer default ip address pool PPPoE
exit
bba-group pppoe global
virtual-template 1 (при использовании протокола РРРоЕ будет использоваться первый виртуальный шаблон)
exit
int ethernet 0/0
no shut
pppoe enable group global (включаем режим РРРоЕ)
exit
----------------BR1: Client----------------
int ethernet 0/0
shut
exit
int dialer 1
ip address negotiated
encapsulation ppp
ppp authentication chap callin (Устройства проходят одностороннюю аутентификацию по протоколу CHAP, только IPS проверяет имя и пароль)
ppp chap hostname cisco
ppp chap password cisco
dialer-group 1
dialer pool 1
exit
int ethernet 0/0
pppoe enable
pppoe-client dial-pool-number 1
no shut
exit
show ppp all
-----------------------------------------------------
Настройка MultiLink PPP:
----------------ISP: Server------------------
ip local pool Mppp 20.20.20.2 (определяем пулл адресов)
interface multilink 1
ppp multilink group 1 (определили виртуальный линк и группу)
ip address 20.20.20.1 255.255.255.252
no shutdown
peer default ip address pool Ppp
exit
interface serial 2/0 (настройка физических интерфейсов)
no shutdown
encapsulation ppp
ppp multilink group 1 (группа, которую назначили в виртуальном мультилинке)
exit
interface serial 2/1 (настройка физических интерфейсов)
no shutdown
encapsulation ppp
ppp multilink group 1
exit
----------------RTR1: Client----------------
interface multilink 1
ppp multilink group 1
ip address negotiated (получим ip адресс от сервера, по условию)
exit
interface serial 2/0
encapsulation ppp
ppp multilink group 1
no shut
exit
interface serial 2/1
encapsulation ppp
ppp multilink group 1
no shut
exit
Команда show
Команда show используется наиболее часто. Она позволяет вывести практически любую информацию об устройстве, на котором вы авторизовались. В оболочке командной строки введите show ?. Встроенная справочная система должна заполнить экран внушительным списком команд, которые могут рассказать вам о различных аспектах устройства. Этот список состоит из нескольких экранов, и на каждом экране отображается строка --More--. Нажмите клавишу Пробел, чтобы перейти к следующему экрану. Затем к следующему и так далее. Продолжайте нажимать клавишу Пробел, пока не вернетесь к приглашению командной строки. Кроме того, вы можете нажать любую клавишу (кроме Enter или Пробел), чтобы выйти из встроенной справочной системы и вернуться к приглашению:
Switch1#show ? aaa Show AAA values
access-expression List access expression
access-lists List access lists
adjacency Adjacent nodes
aliases Display alias commands
…
vtp VTP information
wsma Show Web Services Management Agents information
xdr Show details about XDR
xos Cross-OS Library Information and Traces
xsd-format Show the ODM XSD for the command Switch1#show
Настройка маршрутизации
Настройка OSPFv3:
----------------RTR1: Client----------------
router ospfv3 1 (создание процесса ospf)
router-id 1.1.1.1 (настройка процесса)
exit
interface loopback 100 (создание loopback по топологии)
ip address 1.1.1.1 255.255.255.255
ipv6 enable (включение)
ipv6 address 2001:A:B::1/64
ipv6 ospf 1 area 1 (указываем, в какой зоне находится ipv6)
exit
interface tunnel 100
ipv6 ospf 1 area 0 (указываем, в какой зоне находится ipv6)
exit
interface ethernet 0/0.100 (настройка sub интерфейс)
ipv6 ospf 1 area 1
exit
interface ethernet 0/0.300
ipv6 ospf 1 area 0 (указываем, в какой зоне находится ipv6)
exit
----------------BR1----------------
ipv6 unicast-routing
router ospfv3 1 (создание самого процесса ospf)
router-id 2.2.2.2
exit
interface loopback 101
ip address 2.2.2.2 255.255.255.255
ipv6 enable
ipv6 address 2001:B:A::1/64
ipv6 ospf 1 area 2
exit
interface ethernet 1/0
no shutdown
ipv6 enable
ipv6 address 2001:B:C::1/64
ipv6 ospf 1 area 2
exit
interface tunnel 100
ipv6 ospf 1 area 0
exit
-------------------------------
Настраиваем суммаризацию:
router ospfv3 1
address-family ipv6 unicast (режим настройки для агрегирования сети)
area 2 range 2001:b::0/32 (настройка 2 зоны по заданию, range - диапазон)
exit
-------------------------------------------------------
Настройка протокола динамической маршрутизации EIGRP с номером автономной системы 2019
Настройка EIGRP:
----------------RTR1----------------
router eigrp 2019 (настройка условия)
network 5.5.5.0 0.0.0.3 (включаем в обновления тунели, указываем обратную маску)
network 1.1.1.1 0.0.0.0 (сетка лупбека)
passive-interface default (отключаем отправку обновлений маршрутизации на всех интерфейсах)
no passive-interface tunnel 100 (оставляем отправку обновлений маршрутизации на всех интерфейсах)
no passive-interface loopback 100 (оставляем отправку обновлений маршрутизации на всех интерфейсах)
exit
key chain EIGRP
key 1 (создаем ключ)
key-string wsrvuz (пароль с ключевым словом)
exit
exit
interface tunnel 100
ip authentication mode eigrp 2019 md5 (указываем что настраиваем аутентификацию для протокола eigrp алгоритмом хэширования md5)
ip authentication key-chain eigrp 2019 EIGRP (задаем цепочку ключей с аутентификацией md5)
exit
----------------BR1----------------
router eigrp 2019
network 5.5.5.0 0.0.0.3
network 2.2.2.2 0.0.0.0
passive-interface default
no passive-interface tunnel 100
no passive-interface loopback 101
exit
key chain EIGRP
key 1
key-string wsrvuz
exit
exit
interface tunnel 100
ip authentication mode eigrp 2019 md5
ip authentication key-chain eigrp 2019 EIGRP
exit
show key chin EIGRP
do show ip route eigr
------------------------------------------------------
Настройка DHCPv6 сервер с отслеживанием состояния для сети OFFICE со следующими характеристиками.
Настройка DHCPv6:
ipv6 dhcp pool DHCPv6 (Настройка dhcpv6 - название любое)
address prefix 2001:300::/64 (Из этой сети будут выдаваться ip адреса, по заданию)
dns-server 2001:300::3
domain-name wsrvuz19.ru
exit
interface ethernet 0/0.300
ipv6 nd managed-config-flag (задаем состояние отслеживания)
ipv6 dhcp server DHCPv6 (указываем, какие настройки задаем)
exit
Если вам показалось, что первый список команд show был слишком велик и непонятен, то общее количество возможных команд show намного ужаснее. К счастью, есть только несколько команд, которые вам действительно нужно запомнить. Давайте посмотрим на одну из них.
В первом списке подкоманд show ip, примерно наполовину страницы, вы видите слово interface, за которым следует текст IP interface status and configuration.
Выполните команду interface ? (полная команда show ip interface ?). Теперь вы получите гораздо более короткий список, состоящий в основном из таких типов интерфейсов, как FastEthernet и GigabitEthernet, с последующим их кратким описанием:
Обратите внимание на оператор в конце последней строки, <cr>. Он обозначает «возврат каретки», который является причудливым термином для клавиши Enter. <cr> указывает, что вы можете нажать клавишу Enter без добавления дополнительных подкоманд. Это удобная подсказка, что команда show, которую вы ввели, вероятно, будет работать без ошибок. Если вы не видите строку <cr> в нижней части списка, это означает, что перед нажатием клавиши Enter вам нужно указать дополнительные подкоманды. Нажмите клавишу Enter на команде show ip interface brief.
Вы должны увидеть список всех интерфейсов коммутатора вместе со всеми назначенными IP-адресами. Ваш интерфейс Vlanl имеет назначенный IP- адрес 192.168.1.101. Не кажется ли он вам знакомым? Это IP-адрес, к которому вы подключены!
show ipv6 dhcp binding
------------------------------------------------------
Назначьте в качестве сервера синхронизации времени маршрутизатор *** (по заданию)
Настройка NTP:
----------RTR1----------
clock timezone MSK 3 (Задаем временную зону имени MSK - 3 смещение времени)
ntp master 2 (указываем, какой стратум у нас будет)
ntp authenticate (включаем аутентификацию)
ntp authentication-key 1 md5 WSR (Испульзуем для синхронизации клиентов *** аутентификацию MD5 с ключом WSR - по условию)
ntp trusted-key 1
show ntp status
show ntp associations
show clocl detail
----------SW3-----------
Настройка клиента:
ntp server 2001:100::1 (ip адрес RTR1)
ntp authenticate
ntp authentication-key 1 md5 WSR
ntp trusted-key 1
-----------------------------------------------------
На порту коммутатора *** включите и настройте Port Security со следующими параметрами:
Параметры по условию
Настройка Port Security:
----------SW1:----------
interface ethernet 0/3
switchport port-security maximum 3 (разрешено не более 3х адресов на интерфейсе)
switchport port-security mac-address sticky (адреса должны динамически пополняться и сохраняться в текущем конфиге)
switchport port-security violation restrict (при попытке подключения устройства с адресом, нарушающим политику, порт не должен быть отключен, уведомления не передаются)
switchport port-security
-----------------------------------------------------
Конфигурация виртуальных частных сетей
Настройка Tunnel GRE:
--------------BR1------------------
interface tunnel 100 (100- номер тунелля)
ip address 5.5.5.2 255.255.255.252
ipv6 enable (включили ipv6)
ipv6 address 2001::2/64
tunnel source 10.10.10.2
tunnel destination 20.20.20.2
exit
ip route 0.0.0.0 0.0.0.0 10.10.10.1 (шлюз по умолчанию)
---------------RTR1----------------
interface tunnel 100 (все аналогично, меняем ip адреса по топологии)
ip address 5.5.5.1 255.255.255.252
ipv6 enable
ipv6 address 2001::1/64
tunnel source 20.20.20.2
tunnel destination 10.10.10.2
exit
ip route 0.0.0.0 0.0.0.0 20.20.20.1
----------------BR1-----------------
interface tunnel 101
ip address 5.5.5.6 255.255.255.252
ipv6 enable
ipv6 address 2001:BAC::6/64
tunnel source 10.10.10.2
tunnel destination 30.30.30.2
exit
---------------RTR2------------------
interface tunnel 101
ip address 5.5.5.5 255.255.255.252
ipv6 enable
ipv6 address 2001:BAC::5/64
tunnel source 30.30.30.2
tunnel destination 10.10.10.2
exit
ip route 0.0.0.0 0.0.0.0 30.30.30.1
------------------------------------------------------
На маршрутизаторах настройте IKEv1 IPsec Site-to-Site VPN и примените его к созданному GRE-туннелю
Настройка IPsec на Cisco:
---------------RTR1----------------
crypto isakmp enable
crypto isakmp policy 1 (создаем политику, которую настраиваем согласно условиям)
hash md5 (проверка целостности)
encryption des (шифрование - des)
group 14 (группа Диффи-Хэлмана)
authentication pre-share (задаем метод аутентификации pre shair)
exit
crypto isakmp key cisco address 10.10.10.2 (ip адрес соседа - BR1)
Параметры преобразования трафика для второф фазы.
crypto ipsec transform-set Transf esp-des esp-md5-hmac ( Протокол esp, Шифрование DES, Проверка целостности - MD5)
mode transport
exit
crypto map MAP1 1 ipsec-isakmp
set peer 10.10.10.2 (ip адрес соседа - BR1)
set transform-set Transf (указали, какая 2 фаза будет использоваться)
match address 102 (номер accec листа)
exit
ip access-list extended 102 (создаем расширенный список доступа)
permit gre host 20.20.20.2 host 10.10.10.2 (разрешаем хост 20.20.20.2, ip BR1)
exit
interface multilink 1
crypto map MAP1 (применяем карту шифрования)
exit
----------------BR1-----------------
crypto isakmp enable
crypto isakmp policy 1
hash md5
encryption des
group 14
authentication pre-share
exit (аналогичная настройка первой фазы)
crypto isakmp key cisco address 20.20.20.2
crypto ipsec transform-set Transf esp-des esp-md5-hmac
mode transport
exit
crypto map MAP1 1 ipsec-isakmp
set peer 20.20.20.2
set transform-set Transf
match address 102
exit
ip access-list extended 102
permit gre host 10.10.10.2 host 20.20.20.2
exit
interface dialer 1
crypto map MAP1
exit
--------------------------------------------------------------
Настройка аутентификации по RADIUS - отдельный список методов:
aaa new-model
radius server method_man
address ipv4 192.168.23.132 auth-port 1812 acct-port 1813
key cisco
exit
aaa group server radius method_man
server name method_man
exit
aaa authentication login method_man group radius local
aaa authorization exec method_man group radius local
line vty 0 4
authorization exec method_man
login authentication method_man
exit
aaa authorization console
line console 0
authorization exec method_man
login authentication method_man
exit
--------------------------------------------------------------
Простая настройка аутентификации RADIUS:
aaa new-model
radius server RS
address ipv4 192.168.23.132 auth-port 1812
key cisco
exit
aaa authentication login default group radius local
line vty 0 4
login authentication default
exit
line console 0
login authentication default
exit