Cấu hình xác thực AAA bao gồm vài lệnh để định nghĩa các phương thức xác thực. Một phương thức xác thực là cách thức để xác thực hoặc thẩm định một ngườI dùng. Ví dụ, một phương thức là yêu cầu RADIUS server xác thực một ngườI dùng đang login, một cách thức khác là để router tìm kiếm các lệnh định nghĩa username trong cấu hình cục bộ của router.

Một tập hợp của các phương thức cấu hình được đại diện bằng một danh sách có thứ tự, trong đó từng phương thức được thử theo thứ tự cho đến khi nào một phương thức nào đó trả về một thông điệp là từ chối hay chấp nhận người dùng.

Cấu hình đơn giản nhất của AAA sẽ định nghĩa một tập hợp của các phương thức xác thực được dùng một cách mặc định cho các truy cập login vào router hay vào switch. Ngoài ra, một tập hợp mặc định của các phương thức xác thực được dùng bởi lệnh enable. Phương thức xác thực mặc định áp dụng vào tất cả các tiến trình truy cập: console, Telnet và aux.

Phương thức xác định mặc định được dùng bởI lệnh enable đơn giản mô tả Cisco IOS làm gì khi ngườI dùng gõ lệnh enable. Cấu hình tổng thể sử dụng các bước sau:

Bước 1: Bật xác thực AAA bằng lệnh ở chế độ toàn cục aaa new-model.

Bước 2: Nếu dùng RADIUS hay TACACS+, hãy định nghĩa địa chỉ IP và khóa mã hóa được dùng bởI server bằng cách dùng lệnh radius-server host, radius-server key, tacacs-server host, và tacacs-server key.

Bước 3: Định nghĩa tập hợp các phương thức mặc định được dùng bởI tất cả các truy cập CLI bằng cách dùng lệnh aaa authentication login default.

Bước 4: Định nghĩa tập hợp mặc định của các phương thức xác thực được dùng cho chế độ enable-mode bằng cách dùng lệnh aaa authentication enable default.

Ví dụ dướI đây hiển thị một cấu hình router mẫu dùng các lệnh này. Trong trường hợp này, hai RADIUS server được cấu hình. Một server dùng port mặc định 1645 và server còn lạI dùng port 1812. Theo cấu hình dưới đây, router này cố gắng xác thực như sau:

Khi có một cố gắng truy cập vào router được thực hiện, Cisco IOS cố gắng xác thực dùng server RAIDUS đầu tiên. Nếu không có thông điệp trả lờI, IOS sẽ cố thử vớI server RADIUS thứ hai, nếu cũng không có trả lời, người dùng sẽ được phép vào router mà không cần xác thực (chế độ authentication none).

Khi bất cứ ngườI dùng nào thực hiện lệnh enable, router sẽ cố gắng thử với RADIUS server trước, theo thứ tự đó, nếu không có RADIUS server nào trả lời, router sẽ chấp nhận tên ngườI dùng và password được cấu hình cục bộ trên router là cisco/cisco.

Lệnh kế tiếp mô tả rằng mật khẩu enable secret password vẫn được cấu hình nhưng sẽ không được dùng. Lệnh username định nghĩa một username/password sẽ được dùng cho quá trình xác thực nếu RADIUS server không được thấy bởI server. Chú ý rằng số 0 trong câu lệnh username có ý nghĩa chỉ ra rằng mật khẩu không được mã hóa.

R1# show running-config
! lines omitted for brevity
enable secret 5 $1$GvDM$ux/PhTwSscDNOyNIyr5Be/
username cisco password 0 cisco

Kế tiếp, AAA được bật lên. Các phương thức xác thực mặc định và phương thức xác thực để vào chế độ enable được định nghĩa.

aaa new-model
aaa authentication enable default group radius local
aaa authentication login default group radius none

Trong cấu hình của bạn "côgáimù", có thể bạn đã quên chỉ định cách thức router sẽ làm gì khi người admin gõ câu lệnh enable. Thành ra là, trong trường hợp của bạn, bạn thử khai báo thêm theo ví dụ bên trên.

Thân mến,

trong trường hợp mình quên chưa cấu hình username thì làm thế nào mà login vào được ạ

Trường hợp của bạn chắc không được gọi vì AAA server nhập user là một bước trong cấu hình mà . Nếu mình hiểu lầm ý bạn , mong bạn post chi tiết hơn .

Chúc bạn vui !!!

Em cũng gặp lỗi như vây sau khi em cấu hình lệnh:
aaa authentication enable default group tacacs+ enable
Sau đó thỉ vào cấu hình enable gặp lỗi Error Authentication,
Làm sao để vào được chế độ enable,
Ai biết chỉ giúp