10.X平台交换机开启了AAA服务后对console,vty线路登入验证的影响
1)对console口的影响
a、如果line console 0下此前没有做密码校验,那么开启AAA服务后,也不需要密码即可登入,当然enable密码还是不变的,需要输入;
b、如果line console 0下配置了登入密码的校验,那么开启AAA服务后,默认console口登入将不再需要密码了,主要是因为配置此时会发生一些变化
开启AAA服务前的show 结果
line con 0
login
password ruijie
开启AAA服务后的show 结果
aaa new-model
line con 0
password ruijie //这个password将失效
c、如果开启AAA服务后还希望console口要进行密码校验的话,可以增加如下的配置,但是此时只能采用用户名+密码的方式来检验,无法只用单纯的密码校验
username ruijie password ruijie //必须配置数据库,否则退出console口后由于没有用户名+密码的数据库,将无法登入
aaa authentication login default local
或者
aaa authentication login con local
line con 0
login authentication con //推荐这种方式,可以通过自定义方法列表的方式来单独的针对console进行检验,而不采用default列表会同时影响其他的login校验,比如telnet
2)对vty链路,比如telnet登入的影响
a、如果line vty下配置了登入密码的校验,那么开启AAA服务后,vty口登入将不能采用原来的密码登入了,需要改用用户名+密码的方式来检验,所以开启AAA服务前,请确保增加了如下数据库的配置,username ruijie password ruijie 否则telnet将无法成功。
开启AAA服务前的show 结果
line vty 0 4
login
password ruijie
!
开启AAA服务后的show结果
aaa new-model
username ruijie password ruijie //必须配置数据库,否则退出telnet后由于没有用户名+密码的数据库,将无法登入
line con 0
password ruijie //这个password将失效
b、如果需要改变vty接口的认证方式,或者与TACACS+,RADIUS服务器配合做登入账号的校验的话,可以修改认证列表,与调用方法,举例
aaa authentication login vtylog group radius local
line vty 0 4
login authentication vtylog