AAA AAA란라우터로접속하는사용자에대한인증, 권한, 과금을수행하기위한보안관련기능을수행하며, 클라이언트장비가서버쪽장비와연결되어네트워크서비스연결을시도할때도 AAA 기능을통해서장비인증및권한을실시한다. AAA 기능을사용하기이전에는라우터접근제어는 Console 라인과 VTY

제 9 장 AAA 블로그 : net123.tistory.com - 1 - 저자김정우

AAA AAA란라우터로접속하는사용자에대한인증, 권한, 과금을수행하기위한보안관련기능을수행하며, 클라이언트장비가서버쪽장비와연결되어네트워크서비스연결을시도할때도 AAA 기능을통해서장비인증및권한을실시한다. AAA 기능을사용하기이전에는라우터접근제어는 Console 라인과 VTY 라인에설정된패스워드를통하여접속제어를실시하였다. 그러나 AAA 기능이활성화되면, 다음과같이모든접속인증및권한, 과금은 AAA를통해서실시한다. [ 그림 9-1] AAA 활성화이후접속인증 / 권한 / 과금 라우터에 AAA 기능을활성화하려면다음과같이 aaa new-model 명령어를실행하고, 사용자정보를기본적으로 1개이상은만들어야한다. 이유는 AAA 기능이활성화되면, VTY 라인으로접속되는사용자들에대해서 Username과 Password를기본적으로물어보게된다. 그렇기때문에사용자정보를생성하지않으면, 다시 VTY 라인으로텔넷접속을하게되면, 사용자정보가없기때문에접속할수없게된다. 단, 콘솔라인으로접속할경우에는 Username과 Password를기본적으로물어보지않는다. ( 이유 : 콘솔라인마저도 Username과 Password를물어보면, 라우터를접속할수있는방법이없기때문이다.) [ 예제 9-1] AAA 기능활성화및사용자정보생성 R1(config)#aaa new-model R1(config)#username test password test AAA 기능이활성화되면, 콘솔라인과 VTY 라인에설정된 login 명령어가사라진다. 이유는 AAA 인증을통하 여접속하기때문이다. [ 예제 9-2] AAA 기능활성화이후콘솔및 VTY 라인설정변경내용 ( 좌 : 활성화이전, 우 : 활성화이후 ) R1#show run section line R1#show run section line line con 0 line con 0 password ciscocon password ciscocon login!! line vty 0 4 line vty 0 4 password ciscovty password ciscovty login 블로그 : net123.tistory.com - 2 - 저자김정우

AAA 는다음과같이 3 가지기능을그룹화하여말하는용어이다. [ 표 9-1] AAA 기능및용어압축 Authentication Authorization Accounting 내용 - 라우터로접속하는콘솔, VTY 라인에대한로그인인증을수행한다. - PPP 연결인증및 dot1x 인증을통하여호스트를연결한다. - 인증된사용자에게라우터접근모드및명령어권한을할당한다. - 인증된클라이언트에게네트워크관련서비스권한을할당한다. - 인증된사용자및클라이언트가로컬장비로접속및접속해지한시간 / 날짜, 그리고수행하는명령어및접근내용을기록한다. - 이정보를근거로사용내역및침해흔적을검색할수있다. 인증 (Authentication) 인증은라우터콘솔및 VTY 라인으로접속하는사용자를인증하거나, PPP 및 dot1q 방식을통하여연결되는 호스트를인증할때사용한다. AAA 인증관련명령어는다음과같다. [ 예제 9-3] AAA 인증명령어 R1(config)#aaa authentication? 1 arap Set authentication lists for arap. 2 attempts Set the maximum number of authentication attempts 3 banner Message to use when starting login/authentication. 4 dot1x Set authentication lists for IEEE 802.1x. 5 enable Set authentication list for enable. 6 fail-message Message to use for failed login/authentication. 7 login Set authentication lists for logins. 8 password-prompt Text to use when prompting for a password 9 ppp Set authentication lists for ppp. 10 username-prompt Text to use when prompting for a username 1 Radius or Tacacs+ 인증서버를사용하는 Appletalk Remote Access 프로토콜사용자에대한 AAA 인증을활성화할때사용한다. 2 인증시도회수를지정한다. 기본값은 3 으로설정되어있다. 3 로그인배너를설정한다. 4 dot1x 인증을통하여호스트를연결할때사용한다. 5 Privilege Exec 모드접속인증을구현할때사용한다. enable secret, line 패스워드, Radius/Tacacs+ 서버를통하여인증할수있다. 6 인증실패출력메시지를변경할때사용한다. 기본적으로 % Authentication failed 문구로출력한다. 7 라우터콘솔및 VTY 라인으로접속인증을구현할때사용한다. enable, secret, line 패스워드, Local 사용자정보, Radius/Tacacs+ 서버를통하여인증할수있다. 8 패스워드프롬프트 password: 을다른문구로변경할때사용한다. 블로그 : net123.tistory.com - 3 - 저자김정우

영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. 9 PPP 네트워크연결인증을실시할때사용한다. 10 사용자이름 username: 을다른문구로변경할때사용한다. 다양한인증옵션이지원되지만, 그중에 login 설정을중점적으로알아보도록하자. login 은라우터로콘솔 및 VTY 라인으로접속할때사용자를인증하기위한설정이다. 이때접속인증방법은다음과같이여러개로 나눠진다. [ 예제 9-4] aaa authentication login default 명령어 R1(config)#aaa authentication login default? 1 2 enable Use enable password for authentication. 3 group Use Server-group 4 krb5 Use Kerberos 5 authentication. 5 krb5-telnet Allow logins only if already authenticated via Kerberos V Telnet. 6 line Use line password for authentication. 7 local Use local username authentication. 8 local-case Use case-sensitive local username authentication. 9 none NO authentication. 1 aaa authentication login 명령어다음에는인증리스트이름을직접설정할수있다. 만약 default 로지정하면자동으로콘솔과 VTY 라인에인증리스트가적용된다. 2 사용자가콘솔및 VTY 라인으로접속하면, enable secret 패스워드로인증한다. 3 사용자가콘솔및 VTY 라인으로접속하면, Radius 또는 Tacacs+ 인증서버로부터인증한다. 4 사용자가콘솔및 VTY 라인으로커버로스 5를사용한다. 5 사용자가 VTY 라인으로접속할때커버로스 5 텔넷인증프로토콜을사용한다. 6 사용자가콘솔라인으로접속하면콘솔패스워드, VTY 라인으로접속하면 VTY 패스워드로인증한다. 7 사용자가콘솔및 VTY 라인으로접속하면, 사용자정보 (Username/Password) 로인증한다. 8 local 명령어와동일하지만, username에대해서대소문자를구분한다. 9 인증단계없이콘솔및 VTY 라인으로접속가능하다. aaa authentication login default enable 명령어 이방법은라우터콘솔및 VTY 라인으로접속할때, 인증패스워드를 enable secret 패스워드를사용한다. R1 에서설정하도록하자. [ 예제 9-5] enable secret 패스워드를이용하는인증설정 R1(config)#aaa authentication login default enable 설정이완료되었다면, R4 에서 R1 으로텔넷접속을실시하여확인하도록하자. 블로그 : net123.tistory.com - 4 - 저자김정우

영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. [ 예제 9-6] enable secret 패스워드를이용하는인증정보확인 r1 User Access Verification Password: <cisco> R1>exit 이때, R1 콘솔접속시패스워드는 cisco 를사용한다. 확인이완료되었다면, 다음내용을알아보기위해서설 정을삭제하도록하자. [ 예제 9-7] enable secret 패스워드를이용하는인증설정삭제 R1(config)#no aaa authentication login default enable aaa authentication login default line 명령어 이방법은라우터콘솔및 VTY 라인으로접속할때, 인증패스워드를각각의라인패스워드를사용한다. R1 에서설정하도록하자. [ 예제 9-8] enable secret 패스워드를이용하는인증설정 R1(config)#aaa authentication login default line 설정이완료되었다면, R4 에서 R1 으로텔넷접속을실시하여확인하도록하자. [ 예제 9-9] 라인패스워드를이용하는인증정보확인 r1 User Access Verification Password: <ciscovty> R1>exit 블로그 : net123.tistory.com - 5 - 저자김정우

이때, R1 콘솔접속시패스워드는 ciscocon 을사용한다. 확인이완료되었다면, 다음내용을알아보기위해서 설정을삭제하도록하자. [ 예제 9-10] 라인패스워드를이용하는인증설정삭제 R1(config)#no aaa authentication login default line aaa authentication login default local 명령어 이방법은라우터콘솔및 VTY 라인으로접속할때, 사용자정보 (username/password) 사용한다. 만약, localcase 로설정하면, 사용자정보의 username 에대해서대소문자를구분한다. R1 에서설정하도록하자. [ 예제 9-11] 사용자정보를이용하는인증설정 R1(config)#aaa authentication login default local 설정이완료되었다면, R4 에서 R1 으로텔넷접속을실시하여확인하도록하자. [ 예제 9-12] 사용자정보를이용하는인증정보확인 r1 User Access Verification Username: test Password: <test> R1>exit 이때, R1 콘솔접속시에도사용자정보를이용하여인증한다. 확인이완료되었다면, 다음내용을알아보기 위해서설정을삭제하도록하자. [ 예제 9-13] 사용자정보를이용하는인증설정삭제 R1(config)#no aaa authentication login default local 블로그 : net123.tistory.com - 6 - 저자김정우

aaa authentication login default none 명령어 이방법은라우터콘솔및 VTY 라인으로접속할때, 인증을하지않는다. R1 에서설정하도록하자. [ 예제 9-14] 인증하지않는설정 R1(config)#aaa authentication login default none 설정이완료되었다면, R4 에서 R1 으로텔넷접속을실시하여확인하도록하자. [ 예제 9-15] 인증하지않는정보확인 r1 R1>exit 이때, R1 콘솔접속시에도인증하지않는다. 확인이완료되었다면, 다음내용을알아보기위해서설정을삭 제하도록하자. [ 예제 9-16] 사용자정보를이용하는인증설정삭제 R1(config)#no aaa authentication login default none aaa authentication login default group radius 명령어 이방법은라우터콘솔및 VTY 라인으로접속할때, Radius 인증서버로부터인증을실시한다. 이때, 라우터 는인증클라이언트가되며, 사용자정보 (username/password) 를 Radius 인증서버에게전송하여, 서버로부 터인증을받게된다. R1 에서설정하도록하자. [ 예제 9-17] Radius 서버인증설정 R1(config)#aaa authentication login default group radius local R1(config)#radius-server host 13.13.11.100 key cisco1234 Radius 인증서버 (13.13.11.100) 로부터인증하기때문에 Radius 서버를지정해야하며, Radius 서버연결이안될것을대비하여 2차인증방법을명시하는것을권장한다. 설정이완료되었다면, R4에서 R1으로텔넷접속을실시하여확인하도록하자. 이때, Radius 서버연결이없기때문에라우터에서사용자정보를이용한인증을실시할것이다. 블로그 : net123.tistory.com - 7 - 저자김정우

영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. [ 예제 9-18] Radius 서버인증정보확인 r1 User Access Verification Username: test Password: <test> R1>exit 이때, R1 콘솔접속시에도 Radius 서버인증을실시한다. 현재 Radius 서버연결이없기때문에라우터에서 사용자정보를이용한인증을실시한다. 확인이완료되었다면, 다음내용을알아보기위해서설정을삭제하 도록하자. [ 예제 9-19] Radius 서버인증설정삭제 R1(config)#no aaa authentication login default group radius local R1(config)#no radius-server host 13.13.11.100 key cisco1234 aaa authentication login default group tacacs+ 명령어 이방법은라우터콘솔및 VTY 라인으로접속할때, Tacacs+ 인증서버로부터인증을실시한다. 이때, 라우터 는인증클라이언트가되며, 사용자정보 (username/password) 를 Radius 인증서버에게전송하여, 서버로부 터인증을받게된다. R1 에서설정하도록하자. [ 예제 9-20] Tacacs+ 서버인증설정 R1(config)#aaa authentication login default group tacacs+ local R1(config)#tacacs-server host 13.13.11.100 key cisco1234 Tacacs+ 인증서버 (13.13.11.100) 로부터인증하기때문에 Tacacs+ 서버를지정해야하며, Tacacs+ 서버연결이안될것을대비하여 2차인증방법을명시하는것을권장한다. 설정이완료되었다면, R4에서 R1으로텔넷접속을실시하여확인하도록하자. 이때, Tacacs+ 서버연결이없기때문에라우터에서사용자정보를이용한인증을실시할것이다. [ 예제 9-21] Tacacs+ 서버인증정보확인 r1 블로그 : net123.tistory.com - 8 - 저자김정우

User Access Verification Username: test Password: <test> R1>exit 이때, R1 콘솔접속시에도 Tacacs+ 서버인증을실시한다. 현재 Tacacs+ 서버연결이없기때문에라우터에 서사용자정보를이용한인증을실시한다. 확인이완료되었다면, 다음내용을알아보기위해서설정을삭제 하도록하자. [ 예제 9-22] Tacacs+ 서버인증설정삭제 R1(config)#no aaa authentication login default group tacacs+ local R1(config)#no tacacs-server host 13.13.11.100 key cisco1234 Radius 인증과정 IETF 에서정의한프로토콜이며 UDP 를사용한다. 인증과권한은 UDP 포트번호 1645 과 1812 을사용하며, 과금은 UDP 포트번호 1646 과 1813 을사용한다. 동작과정은다음과같다. [ 그림 9-2] Radius 인증과정 1 R1이사용자에게 username: 프롬프트를표시한다. 2 사용자는 username test 를입력한다. 3 R1이사용자에게 password: 프롬프트를표시한다. 4 사용자는 password test 를입력한다. 5 R1은 username과 password를암호화하여 Radius 서버에게 access-request 메세지로전송한다. 6 Radius 서버는사용자정보를검색하며, 인증이허용된사용자에게제공할권한내용을 access-accept 메세지를전송한다. 만약, 인증이실패되면 access-reject 메세지를전송하여거부한다. 블로그 : net123.tistory.com - 9 - 저자김정우

Tacacs+ 인증과정 Cisco 전용프로토콜이며 TCP 를사용한다. 인증, 권한, 과금전부 TCP 포트번호 49 를사용한다. 또한, Radius 에서는사용자정보 (username/password) 만암호화했던반면에, Tacacs+ 는 TCP 헤더를제외한나머지 정보를암호화한다. 동작과정은다음과같다. [ 그림 9-3] Tacacs+ 인증과정 1 사용자가접근요청을실시한다. 2 R1은 Tacacs+ 서버로부터 username 프롬프트를요청한다. 3 Tacacs+ 서버는 username 프롬프트를제공한다 4 R1은사용자에게 username: 프롬프트를표시한다. 5 사용자는 username test 를입력한다. 6 R1은 Tacacs+ 서버에게 username test 를전송한다. 7 R1은 Tacacs+ 서버로부터 password 프롬프트를요청한다. 8 Tacacs+ 서버는 password 프롬프트를제공한다 9 R1은사용자에게 password: 프롬프트를표시한다. 10 사용자는 password test 를입력한다. 11 R1은 Tacacs+ 서버에게 password test 를전송한다. 12 Tacacs+ 서버는사용자정보를검색하며, 인증이허용되면 accept 메세지를전송하고, 인증이실패되면 reject 메세지를전송하여접근을거부한다. 기타인증명령어 [ 예제 9-23] PPP 연결인증설정 R1(config)#aaa authentication ppp default local 1 R1(config)#aaa authentication dot1x default local 2 1 PPP 로동작하는인터페이스에서호스트 / 라우터를네트워크로연결하기위한인증을실시할때사용한다. 2 dot1x 인증을실시하여스위치포트로연결되는호스트를인증할때사용한다. 블로그 : net123.tistory.com - 10 - 저자김정우

권한 (Authorization) 본교재는수업용으로제작된게시물입니다. 권한은인증된사용자에게라우터에서사용할수있는명령어범위및네트워크연결서비스에대한범위를 할당할때사용한다. AAA 권한관련명령어는다음과같다. [ 예제 9-24] AAA 권한명령어 R1(config)#aaa authorization? 1 commands For exec (shell) commands. 2 configuration For downloading configurations from AAA server 3 console For enabling console authorization 4 exec For starting an exec (shell). 5 network For network services. (PPP, SLIP, ARAP) 6 reverse-access For reverse access connections 1 특정특권레벨을갖고있는사용자에게제공하는명령어범위를지정할때사용한다. 2 AAA 서버로부터설정내용을다운로드할수있는권한을설정할때사용한다. 3 콘솔접속시에도권한을할당할때사용한다. 4 Privilege Exec 모드로접속할수있는권한을설정할때사용한다. 5 네트워크관련서비스요청에대한권한을설정할때사용한다. 6 리버스텔넷과같은리버스접근연결에대한권한을설정할때사용한다. 다양한권한옵션이지원되지만, 그중에 exec 와 command 설정을중점적으로알아보도록하자. aaa authorization exec default 명령어 이권한설정은인증된사용자에게라우터 Privilege Exec 모드로바로접근할수있게할때사용한다. 이때, 각사용자들은자신들의특권레벨로접근한다. 그럼 R1 에서사용자정보 2 개를생성하고권한을설정하도 록하자. [ 예제 9-25] Privilege Mode 접근권한설정 R1(config)#username admin privilege 15 password cisco R1(config)#username guest privilege 5 password cisco1234 R1(config)# R1(config)#aaa authorization exec default group tacacs+ local 만약, 권한설정시마지막에 if-authenticated 명령어를사용하면, 권한설정이전에이미인증된사용자는 해당권한이자동으로적용된다. 설정이완료되었다면, R4 에서 R1 으로텔넷접속을실시하되, admin 으로접 속하도록하자. 이때, Tacacs+ 서버가없기때문에라우터에서로컬인증을실시한다. 블로그 : net123.tistory.com - 11 - 저자김정우

영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. [ 예제 9-26] admin 을이용한 Privilege Mode 접근권한정보확인 r1 User Access Verification Username: admin Password: <cisco> R1# R1#show privilege Current privilege level is 15 R1# R1#exit 이때, admin 는특권레벨이 15 이므로모든명령어가허용된다. 이번에는 guest 로접속하도록하자. [ 예제 9-27] guest 를이용한 Privilege Mode 접근권한정보확인 r1 User Access Verification Username: guest Password: <cisco1234> R1# R1#show privilege Current privilege level is 5 R1# R1#conf t ^ % Invalid input detected at '^' marker. R1#exit 블로그 : net123.tistory.com - 12 - 저자김정우

영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. 정보확인결과, guest 는특권레벨이 5이므로기본명령어만수행할수있기때문에 conf t 명령어가허허용되지않는다. 이때, 특권레벨 0~14는기본명령어만수행할수있으며, 특권레벨 15는모든명령어가가능하다. aaa authorization command [level 0~15] default 명령어 이권한설정은인증된사용자에게특권레벨에따라서사용할수있는명령어범위를지정할때사용한다. 현재 Tacacs+ 서버연결이없기때문에로컬라우터에서명령어권한을할당해야한다. 그럼 R1 에서명령어 권한및로컬라우터에서할당한명령어범위를설정하도록하자. [ 예제 9-28] 명령어사용권한설정 R1(config)#aaa authorization commands 5 default group tacacs+ local R1(config)#aaa authorization commands 15 default group tacacs+ local R1(config)# R1(config)#privilege exec level 5 debug ip rip 1 R1(config)#privilege exec level 5 conf t 2 R1(config)#privilege configure level 5 interface 3 R1(config)#privilege interface level 5 ip address 4 1 특권레벨 5에대해서 Privilege Mode에서 debug ip rip 명령어가가능하도록한다. 2 특권레벨 5에대해서 Privilege Mode에서 conf t 명령어가가능하도록한다. 3 특권레벨 5에대해서 Global Mode에서 interfacae 명령어가가능하도록한다. 4 특권레벨 5에대해서 Interface Setup Mode에서 ip address 명령어가가능하도록한다. 설정이완료되었다면, R4 에서 R1 으로 guest 로접속하여, 위에설정한명령어를사용할수있는지확인하도 록하자. [ 예제 9-29] guest 가사용할수있는명령어정보확인 r1 User Access Verification Username: guest Password: <cisco1234> R1# R1#debug ip rip RIP protocol debugging is on 블로그 : net123.tistory.com - 13 - 저자김정우

영리목적으로사용할경우저작권법제30조항에의거법적처벌을받을수있습니다. R1#conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)# R1(config)#interface fa0/1 R1(config-if)#ip address 13.13.11.1 255.255.255.0 R1(config-if)#end R1# R1#exit aaa authorization network default 명령어 이권한설정은인증된사용자에게 PPP 와같은네트워크관련서비스요청에대한권한을할당할때사용한 다. 즉, 네트워크서비스사용을허가하기위해서인증을실시한이후, 인증이허용되면네트워크서비스를 사용하게되며, 인증이실패되면모든네트워크서비스를사용할수없게된다. 명령어는다음과같다. [ 예제 9-30] 네트워크서비스요청권한설정 R1(config)#aaa authorization network default group tacacs+ local aaa authorization console 명령어 이권한설정은콘솔접속시인증된사용자에게바로 Privilege Mode 로접근가능한권한을할당할때사용 한다. 이때, 인증된사용자정보특권레벨에따라서권한이적용된다. 명령어는다음과같다. [ 예제 9-31] 콘솔접속시권한할당설정 R1(config)#aaa authentication login default group tacacs+ local R1(config)#aaa authorization console 다음내용을알아보기위해서여태까지설정한권한설정을삭제하도록하자. [ 예제 9-32] 권한할당설정삭제 R1(config)#no aaa authentication login default group tacacs+ local R1(config)#no aaa authorization console R1(config)#no aaa authorization exec default group tacacs+ local R1(config)#no aaa authorization commands 5 default group tacacs+ local R1(config)#no aaa authorization commands 15 default group tacacs+ local R1(config)#no aaa authorization network default group tacacs+ local 블로그 : net123.tistory.com - 14 - 저자김정우

과금 (Accounting) 본교재는수업용으로제작된게시물입니다. 과금은인증된사용자들이라우터를접속한날짜 / 시간및수행하는명령어를기록에남기는기능을수행한다. 또한네트워크연결서비스에대한기록을실시하여요금청구나보안을위한리포트를기록하는기능을수행 한다. AAA 과금관련명령어는다음과같다. [ 예제 9-33] AAA 과금명령어 R1(config)#aaa accounting exec default start-stop group tacacs+ R1(config)#aaa accounting commands 5 default start-stop group tacacs+ R1(config)#aaa accounting commands 15 default stop-only group tacacs+ R1(config)#aaa accounting connection default start-stop group tacacs+ R1(config)#aaa accounting system default start-stop group tacacs+ 과금옵션명령어는다음과같다. [ 표 9-2] 과금옵션명령어 명령어 내용 auth-proxy 인증된모든프록시사용자이벤트에관한정보를제공 exec Privilege Mode에서하는내용들에대한과금을제공함 command 지정된특권레벨에서모든명령어에대한과금을실행함 connection 라우터에서만들어진모든아웃바운드연결에관한정보를제공함 system 사용자와연계되지않는시스템레벨의모든이벤트에대한과금을수행함 start-stop 프로세서가시작할때 'start', 프로세서가끝날때 'stop' 과금공지를전송함 stop-only 요청된사용자프로세서의마지막에 'stop' 과금공지를전송함 다음내용을알아보기위해서과금설정을삭제하도록하자. [ 예제 9-34] AAA 과금명령어삭제 R1(config)#no aaa accounting exec default start-stop group tacacs+ R1(config)# no aaa accounting commands 5 default start-stop group tacacs+ R1(config)# no aaa accounting commands 15 default stop-only group tacacs+ R1(config)# no aaa accounting connection default start-stop group tacacs+ R1(config)# no aaa accounting system default start-stop group tacacs+ 블로그 : net123.tistory.com - 15 - 저자김정우

AAA 설정예제 본교재는수업용으로제작된게시물입니다. 그럼 R1 에서 AAA 기능을이용한인증, 권한, 과금을구현하도록하자. [ 예제 9-35] AAA 설정예제 R1(config)#aaa new-model R1(config)# R1(config)#username test password test R1(config)# R1(config)#aaa authentication login CON local R1(config)#aaa authentication login VTY group tacacs+ local R1(config)# R1(config)#tacacs-server host 13.13.11.100 key cisco1234 R1(config)# R1(config)#line con 0 R1(config-line)#login authentication CON R1(config-line)# R1(config-line)#line vty 0 4 R1(config-line)#login authentication VTY R1(config-line)#username admin privilege 15 password cisco R1(config)#username guest privilege 5 password cisco1234 R1(config)# R1(config)#aaa authorization console R1(config)#aaa authorization exec default group tacacs+ local R1(config)#aaa authorization network default group tacacs+ local R1(config)#aaa authorization commands 15 default group tacacs+ local R1(config)#aaa authorization commands 5 default group tacacs+ local R1(config)#aaa accounting exec default start-stop group tacacs+ R1(config)#aaa accounting commands 5 default start-stop group tacacs+ R1(config)#aaa accounting commands 15 default stop-only group tacacs+ R1(config)#aaa accounting connection default start-stop group tacacs+ R1(config)#aaa accounting system default start-stop group tacacs+ 인증설정 권한설정 과금설정 이와같은설정은 SDM 툴을이용하여 GUI 기반으로도설정이가능하다. 또한, Tacacs+ 서버는 Cisco ACS 서 버에서구현할수있으며, Cisco ACS 서버도 GUI 기반으로사용자정보, 인증, 권한, 과금설정이가능하다. 블로그 : net123.tistory.com - 16 - 저자김정우