- Định nghĩa các phương thức truy nhập vào Router qua cac line console, vty Routerconfig#aaa authentication login {default | list-name} method1 [method2…] Có một phương thức như sau Taca
Trang 1Lab 19-2: Giới thiệu cơ bản về AAA.
AAA quản lý hoạt động cơ bản của user qua các thiết bị như Switch, Router… Nó được
sử dụng để xác thực, cấp phát quyền, và loggig hay accounting
Authentication (Xác thực)
Để xác định xem user có quền để truy nhập vào thiết bị hay không
- Ta có thể cấu hình để enable AAA trên Router hay Switch
Router(config)#aaa new-model
- Ta có thể cấu hình user nội bộ trong thiết bị
Router(config)#username username password password
- Định nghĩa TACACS+ hay RADIUS server : AAA server như:Secure Access Control Server(ACS)
Router(config)#tacacs-server host {hostname | ip-address } [key string]
Ở đây thì key ta cấu hình ở router phải trùng với key cấu hình ở server
- Định nghĩa các phương thức truy nhập vào Router qua cac line (console, vty) Router(config)#aaa authentication login {default | list-name} method1 [method2…]
Có một phương thức như sau
Tacacs+: Mỗi TACACS+ server được cấu hình thì Router sẽ cố gắng theo trình tự được cấu hình ở trên
Radius: Tương tự như tacacs
Local: Nó sẽ lấy các user nội bộ bằng lệnh username
Line: Line password có thể được sử dụng cho bất kỳ user nào
Nếu ta sử dụng default thì nó sẽ áp dụng vào tất cả các line, còn đối với name-list thì ta phải áp dụng nó vào từng line mà ta muốn
Áp dụng các phương thức vào Line(console hoặc vty) bằng lệnh( list-name khai báo ở trên)
Router(config-line)#login authentication {default | list-name}
Ta cấu hình bảo vệ bằng enable password ở privilege
Router(config)#aaa authentication enable default method1 [ [method4]]
Command : Server sẽ trả về quyền cho phép user các lệnh có thể ở privilege level
Config-command: Server sẽ trả về quyền cho phép user có thể sử dụng bất kỳ lệnh nào trên thiết bị
Exec: Nó sẽ áp dụng các thuộc tính thích hợp với exec terminal session
Network: Áp dụng cho các kết nối như SLIP, PPP, kết nối ARAP
Reverse-access: Server sẽ trả về quyền được reverse telnet từ Router
Accounting:
Để cho phép server thu thập thông tin từ thiết bị
Router(config)#aaa accounting {system | exec |command | level} {default | list-name} {start-stop | stop-only | wait-start | none } metod1 [method2 …]
System : Cung cấp các sự kiện liên quan đên hệ thống như: reload
Netword: cung cấp các sự kiện liên quan đến kết nối như : PPP, SLIP, ARAP
Trang 2Exec:Cung cấp thông tin về exec của user như địa chỉ ip của user, và thời gian của session.
Start-stop cung cấp sự kiện từ lúc bắt đầu đến lúc kết thúc
Stop-only: Cung cấp sự kiện chỉ khi kết thúc sự kiện
Wait-start: Các yêu cầu của user chưa đựơc khởi tạo cho đến khi accounting record ackCấu hình cho Server(ACS) theo sơ đồ sau:
Trước hết ta tạo aaa client: Khởi đông AAA server: từ của sổ chính ta kích vào Network
configuration thì nó sẽ cho ta cửa sổ sau:
aaa client hostname: ta gỏ host name của router
aaa client address: ta gõ địa chỉ add của router:
Về khóa, ta nhập khóa trùng với key ở router trong lệnh tacacs-server
Authentication using: chọn tacacs+(cisco ios) nếu sử dung tacacs Nếu ta muốn dùng Radius, ta có thể chọn vào Radius:
Tiếp theo ta cấu hình cho user: Trước hết ta kích vào user setup: Rồi các bước làm trình
tự như sau:
Định nghĩa số session mà user có thể log vào được
- Định nghĩa thời gian mà user bị disable hay enable
Xác định max pivilege cho user khi sử dụng authorization
Xác định password cho user
Xác định password cho user
Trang 3Cấu hình cho router:
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default local “Cho phép user thực hiện session”
aaa authorization commands 0 default local
aaa authorization commands 7 default local
aaa authorization commands 15 default local
“yêu cầu user authorization ở các level 0,7.,15”
Trang 4aaa session-id common
enable password cisco
!
username cuong password 0 cisco
username c1 privilege 0 password 0 cisco
username c2 privilege 7 password 0 cisco
username c3 privilege 15 password 0 cisco
privilege configure level 7 snmp-server host
privilege configure level 7 interface
privilege configure level 7 line
privilege configure level 7 host
privilege exec level 7 ping
privilege exec level 7 config terminal
privilege exec level 7 config config
end
Kiểm tra bằng các telnet vào từ một host cho ta kết quả sau:
Ở đây ta thấy user được trả về ở level 7 ta sử dụng lệnh show privilege để kiểm tra
Ta thấy user chỉ có một số lệnh mà ta đã cấu hình trên router
Introduction
This document explains how to configure Authentication, Authorization, and
Accounting (AAA) on a Cisco router using Radius or TACACS+ protocols The goal of this document is not to cover all AAA features, but to explain the main commands and provide some examples and guidelines.
Note: Please read the section on General AAA Configuration before proceeding with
the Cisco IOS? configuration Failure to do so may result in misconfiguration and subsequent lockout.
Before You Begin
Trang 5understand the potential impact of any command before using it.
Note: Until this command is enabled, all other AAA commands are hidden.
Warning: The aaa new-model command immediately applies local
authentication to all lines and interfaces (except console line line con 0) If a telnet
session is opened to the router after enabling this command (or if a connection times out and has to reconnect), then the user has to be authenticated using the the local database of the router To avoid being locked out of the router, we recommend that you define a username and password on the access server before starting the AAA configuration Do this a follows:
Router(config)# username xxx password yyy
Tip: Save your configuration prior to configuring your AAA commands Only after you
have completed all your AAA configuration (and are satisfied that it works correctly) should you save the configuration again This allows you to recover from unforeseen lockouts (prior to saving the configuration) by reloading the router.
Specifying the External AAA Server
Trang 6In global configuration, define the security protocol used with AAA (Radius,
TACACS+) If you do not want to use either of these two protocols, you can use the local database on the router.
If you are using TACACS+, use the tacacs-server host <IP address of the AAA
server> <key> command.
If you are using Radius, use the radius-server host <IP address of the AAA server>
<key> command.
AAA Server Configuration
On the AAA server, configure the following parameters:
• The name of the access server.
• The IP address the access server uses to communicate with the AAA server.
Note: If both devices are on the same Ethernet network then, by default, the
access server uses the IP address defined on the Ethernet interface when sending out the AAA packet This issue is important when the router has multiple interfaces (and hence multiple addresses).
• The exact same key <key> configured in the access server.
Note: The key is case-sensitive.
• The protocol used by the access server (TACACS+ or Radius).
Refer to your AAA server documentation for the exact procedure used to configure the above parameters If the AAA server is not correctly configured, then AAA
requests from the NAS will be ignored by the AAA server and the connection may fail.
The AAA server has to be IP reachable from the access server (conduct a ping test to
verify connectivity).
Configuring Authentication
Authentication verifies users before they are allowed access to the network and network services (which are verified with authorization).
To configure AAA authentication :
1 First define a named list of authentication methods (in global configuration mode).
2 Apply that list to one or more interfaces (in interface configuration mode) The only exception is the default method list (which is named "default") The default method list is automatically applied to all interfaces except those that have a named method list explicitly defined A defined method list overrides the default method list The authentication examples below use Radius, login and Point-to-Point Protocol (PPP) authentication (the most commonly-used) to explain concepts such as methods, and named lists In all the examples, TACACS+ can be substituted for Radius or local authentication.
The Cisco IOS software uses the first method listed to authenticate users If that method fails to respond (indicated by an ERROR), the Cisco IOS software selects the
Trang 7next authentication method listed in the method list This process continues until there is successful communication with a listed authentication method, or all
methods defined in the method list are exhausted.
It is important to note that the Cisco IOS software attempts authentication with the next listed authentication method only when there is no response from the previous method If authentication fails at any point in this cycle, meaning that the AAA server
or local username database responds by denying the user access (indicated by a FAIL), the authentication process stops and no other authentication methods are attempted.
To allow a user authentication, you must configure the username and the password
on the AAA server.
Login Authentication
You can use the aaa authentication login command to authenticate users who
want exec access into the access server (tty, vty, console and aux).
Example 1: Exec Access using Radius then Local
Router(config)# aaa authentication login default group radius local
In the command above:
• the named list is the default one (default).
• there are two authentication methods (group radius and local).
All users are authenticated using the Radius server (the first method) If the Radius server doesn't respond, then the router's local database is used (the second method) For local authentication, define the username name and password:
Router(config)# username xxx password yyy
Because we are using the list default in the aaa authentication login command,
login authentication is automatically applied for all login connections (such as tty, vty, console and aux).
Note: The server (Radius or TACACS+) will not reply to an aaa
authentication request sent by the access server if there is no IP connectivity, if the
access server is not correctly defined on the AAA server or the AAA server is not correctly defined on the access server.
Note: Using the example above, if we do not include the local keyword, we have: Router(config)# aaa authentication login default group radius
Note: If the AAA server does not reply to the authentication request, the
authentication will fail (since the router does not have an alternate method to try).
Note: The group keyword provides a way to group existing server hosts The feature
allows the user to select a subset of the configured server hosts and use them for a particular service For more information on this advanced feature, refer to the
document AAA Server-Group
Example 2: Console Access Using Line Password
Let's expand the configuration from Example 1 so that console login is only
authenticated by the password set on line con 0.
Trang 8The list CONSOLE is defined and then applied to line con 0.
We configure:
Router(config)# aaa authentication login CONSOLE line
In the command above:
• the named list is CONSOLE.
• there is only one authentication method (line).
Once a named list (in this example, CONSOLE) is created, it must be applied to a line
or interface for it to come into effect This is done using the login
authentication list_name command:
Router(config)# line con 0
Router(config-line)# exec-timeout 0 0
Router(config-line)# password cisco
Router(config-line)# login authentication CONSOLE
The CONSOLE list overrides the default method list default on line con 0 You need to enter the password "cisco" (configured on line con 0) to get console access The default list is still used on tty, vty and aux.
Note: To have console access authenticated by a local username and password, use: Router(config)# aaa authentication login CONSOLE local
Note: In this case, a username and password have to be configured in the local
database of the router The list must also be applied to the line or interface.
Note: To have no authentication, use
Router(config)# aaa authentication login CONSOLE none
Note: In this case, there is no authentication to get to the console access The list
must also be applied to the line or interface.
Example 3: Enable Mode Access Using External AAA Server
You can issue authentication to get to enable mode (privilege 15).
We configure :
Router(config)# aaa authentication enable default group radius enable
Only the password will be requested, the username is $enab15$ Hence the
username $enab15$ must be defined on the AAA server.
If the Radius server doesn't reply, the enable password configured locally on the router will have to be entered.
PPP Authentication
The aaa authentication ppp command is used to authenticate a PPP connection
It's typically used to authenticate ISDN or analog remote users who want to access the Internet or a central office through an access server.
Example 1: Single PPP Authentication Method for All Users
The access server has an ISDN interface which is configured to accept PPP dialin
clients We use a dialer rotary-group 0 but the configuration can be done on the
main interface or dialer profile interface.
We configure
Trang 9Router(config)# aaa authentication ppp default group radius local
This command authenticates all PPP users using Radius If the Radius server doesn't reply, the local database is used.
Example 2: PPP Authentication using a Specific List
To use a named list rather than the default list, configure the following commands:
Router(config)# aaa authentication ppp ISDN_USER group radius
Router(config)# int dialer 0
Router(config-if)# ppp authentication chap ISDN_USER
In this example, the list is ISDN_USER and the method is Radius.
Example 3 : PPP Launched from within Character Mode Session
The access-server has an internal modem card (Mica, Microcom or Next Port) Let's
assume that both aaa authentication login and aaa authentication
ppp commands are configured.
If a modem user first accesses the router using a character mode exec session (for example, using Terminal Window after Dial), the user is authenticated on a tty line To
launch into a packet mode session, users must typeppp default or ppp Since PPP authentication is explicitly configured (with aaa authentication ppp), the user is
authenticated at the PPP level again.
To avoid this second authentication, we can use the if-needed keyword.
Router(config)# aaa authentication login default group radius local
Router(config)# aaa authentication ppp default group radius local if-needed
Note: If the client starts a PPP session directly, PPP authentication is directly
performed since there is no login access to the access server.
For more information on AAA authentication, refer to the documents IOS 12.2 Security Configuration Guide: Configuring Authentication and Cisco AAA Implementation Case Study
Configuring Authorization
Authorization is the process by which you can control what a user can and cannot do AAA authorization has the same rules as authentication:
1 First define a named list of authorization methods.
2 Then apply that list to one or more interfaces (except for the default method list).
3 The first listed method is used If it fails to respond, the second one is used, and so on.
Method lists are specific to the authorization type requested This document focusses
on the Exec and Network authorization types.
For more information on the other types of authorization, please refer to the Cisco IOS Security Configuration Guide, Release 12.2
Exec Authorization
The aaa authorization exec command determines if the user is allowed to run an
EXEC shell This facility might return user profile information such as autocommand
Trang 10information, idle timeout, session timeout, access-list and privilege and other user factors.
per-Exec authorization is only carried out over vty and tty lines.
The following example uses Radius.
Example 1: Same Exec Authentication Methods for All Users
Once authenticated with:
Router(config)# aaa authentication login default group radius local
All users who want to log in to the access server have to be authorized using Radius (first method) or local database (second method).
We configure:
Router(config)# aaa authorization exec default group radius local
Note: On the AAA server, Service-Type=1 (login) must be selected.
Note: With this example, if the local keyword is not included and the AAA server
does not respond, then authorization will never be possible and the connection will fail.
Note: In Examples 2 and 3 below, we don't need to add any command on the router
but only configure the profile on the access server.
Example 2: Assigning Exec Privilege Levels from the AAA Server
Based on Example 1, if a user who logs into the access server is to be allowed to enter enable mode directly, configure the following Cisco AV-pair on the AAA server:
shell:priv-lvl=15
This means that the user will go directly to the enable mode.
Note: If the first method fails to respond, then the local database is used However,
the user will not go directly to the enable mode, but will have to enter the enable
command and supply the enable password.
Example 3 : Assigning Idle-Timeout from the AAA Server
To configure an idle timeout (so that the session is disconnected in case of no traffic after the idle timeout) use the the IETF Radius attribute 28: Idle-Timeout under the user's profile.
Network Authorization
The aaa authorization network command runs authorization for all network-related service requests such as PPP, SLIP and ARAP This section focusses on PPP, which is most commonly used.
The AAA server checks if a PPP session by the client is allowed Moreover, PPP
options can be requested by the client: callback, compression, IP address, and so on These options have to be configured on the user profile on the AAA server Moreover, for a specific client, the AAA profile can contain idle-timeout, access-list and other per-user attributes which will be downloaded by the Cisco IOS software and applied for this client.
The following example show authorization using Radius:
Example 1: Same Network Authorization Methods for All Users
Trang 11The access server is used to accept PPP dialin connections.
Firstly, users are authenticated (as was previously configured) using:
Router(config)# aaa authentication ppp default group radius local
then they have to be authorized using:
Router(config)# aaa authorization network default group radius local
Note: On the AAA server, configure:
• Service-Type=7 (framed)
• Framed-Protocol = PPP
Example 2: Applying User-Specific Attributes
You can use the AAA server to assign per-user attributes such IP address, callback number, dialer idle timeout value or access-list etc In such an implementation, the NAS downloads the appropriate attributes from the AAA server user profile.
Example 3: PPP Authorization with a Specific List
Like for authentication, we can configure a list name rather than using the default one :
Router(config)# aaa authorization network ISDN_USER group radius local
Then, this list is applied to the interface:
Router(config)# int dialer 0
Router(config-if)# ppp authorization ISDN_USER
For more information on AAA authentication, refer to the documents IOS 12.2 Security Configuration Guide: Configuring Authentication and Cisco AAA Implementation Case Study
Configuring Accounting
The AAA accounting feature enables you to track the services that users are
accessing and the amount of network resources that they are consuming.
AAA accounting has the same rules as authentication and authorization:
1 You must first define a named list of accounting methods.
2 Then apply that list to one or more interfaces (except for the the default method list).
3 The first listed method is used, if it fails to respond, the second one is used and so on.
The first listed method is used, if it fails to respond, the second one is used and so on.
• Network accounting provides information for all PPP, Slip and AppleTalk
Remote Access Protocol (ARAP) sessions: packet count, octects count, session time, start and stop time.
• Exec accounting provides information about user EXEC terminal sessions (a telnet session for instance) of the network access server: session time, start and stop time.
Trang 12For more information on the other types of authorization, please refer to the Cisco IOS Security Configuration Guide, Release 12.2
The examples below focus on how information can be sent to the AAA server.
Configuring Accounting Examples
Example 1: Generating Start and Stop Accounting Records
For every dialin PPP session, accounting information is sent to the AAA server once
the client is authenticated and after the disconnect using the keyword start-stop.
Router(config)# aaa accounting network default start-stop group radius local
Example 2 : Generating Only Stop Accounting Records
If accounting information has to be sent only after a client's disconnection, use the
keyword stop and configure the following line:
Router(config)# aaa accounting network default stop group radius local
Example 3 : Generating Resource Records for Authentication and
Negotiation Failures
Until this point, AAA accounting provides start and stop record support for calls that have passed user authentication.
If authentication or PPP negotiation fails, there is no record of authentication.
The solution is to use AAA resource failure stop accounting:
Router(config)# aaa accounting send stop-record authentication failure
A stop record is sent to the AAA server.
Example 4 : Enabling Full Resource Accounting
To enable full resource accounting, which generates both a start record at call setup and a stop record at call termination, configure:
Router(config)# aaa accounting resource start-stop
This command was introduced in Cisco IOS Software Release 12.1(3)T.
With this command, a call setup and call disconnect start-stop accounting record tracks the progress of the resource connection to the device A separate user
authentication start-stop accounting record tracks the user management progress These two sets of accounting records are interlinked using a unique session ID for the call.
For more information on AAA authentication, refer to the documents IOS 12.2 Security Configuration Guide: Configuring Authentication and Cisco AAA Implementation Case Study
Related Information
• Technical Support - Cisco Systems
Contributed by Cisco Engineers
Was this Document Helpful?
Trang 13Let Us Help
• Open a Support Case
• (Requires a Cisco Service Contract )
Ready to Replace an Old Switch?
Upgrade your network and get discounts on replacement switches and support services
Learn How
Share
•Quản lý router bằng TACACS+ server & Privilege Levels
Posted on July 15, 2013by hnaeht
Mô hình triển khai
TACACS+/ RADIUS server cung cấp khả năng quản lý truy cập các thiết
bị trong mạng một cách tập trung với nhiều tính năng bảo mật tối ưu.Privilege levels trong router Cisco là sự phân cấp về quyền của từng user đối với thiết bị
Dựa vào việc kết hợp hai yếu tố trên để cung cấp một giải pháp quản
lý mềm dẻo và nâng cao tính an toàn cho hệ thống mạng
Cả TACACS+ và RADIUS đều là hai giao thức có chức năng tương tự nhau Vậy câu hỏi đặt ra là tại sao lại chọn TACACS+? Để trả lời câu hỏithì ta hãy xem ưu điểm của TACACS+ trong vấn đề quản lý router:RADIUS không cho phép kiểm soát những lệnh mà user được và không được phép sử dụng trên router TACACS+ tỏ ra mềm dẻo và hữu dụng hơn trong vấn đề quản lý router nhờ vào việc cung cấp 2 phương thức kiểm soát việc uỷ quyền (authentication) cả trên phương diện user và group:
Gán những câu lệnh có thể thực thi vào privilege levels và thông qua TACACS+ server để áp sự phân cấp về quyền này đến user truy cập vào
Xác định những lệnh mà có thể thực thi trên router lên user hoặc group thông qua những cấu hình trên TACACS+ server
Phần 1: Chỉ sử dụng Privilege Levels
Trang 14Mặc định trên router có sẵn 3 previlege levels:
Privilege level 0: ít sử dụng Gồm 5 lệnh: disable, enable, exit, help và log out
Privilege level 1: non-privilege Tương đương “ router>”
Privilege level 15: privilege – tương đương bạn vào chế độ enable( router#)
Levels từ 2-14 không được cấu hinh mặc định nhưng ta có thể cấu hình
để chuyển đổi những lệnh giữa các levels với nhau Để biết đang truy
cập router ở level nào, ta gõ lệnhshow privilege Để biết những lệnh
có thể sử dụng trong level tương ứng thì ta gõ ? khi đang truy cập ở level cần xác định
Mô tả yêu cầu
Cài đặt, cấu hình chứng thực và uỷ quyền cho user dựa vào
privilege levels trên TACACS+ server
Cấu hình AAA service trên router
Dùng client với chương trình terminal kiểm tra kết quả
Thiết bị & Cài đặt
Router Cisco 2691 được giả lập trên GNS
Máy ảo VMware cài HĐH Winserver2008 và Windows XP làm client.Chương trình Cisco Secure ACS 4.2 cài trên Windows Server 2008
Các bước thực hiện
1 Cài đặt và cấu hình TACACS+ server:
Trước khi cài ta cần chú ý các vấn đề sau:
Dùng Internet Explorer 6SP1 hoặc Nescape 7 trở lên
Cài đặt Java Link: http://www.java.com
Check tất cả các ô trong quá trình cài đặt ACS 4.2
Sau khi cài đặt xong Click vào biểu tượng ACS admin trên destop để truy cập vào server thông qua trình duyệt web
Trang 15Hình 1: Giao diện chính của chương trình Cisco Secure ACS 4.2
Cấu hình TACACS+ Server
Bước 1: Tạo group
Ở đây chúng ta sẽ tạo ra 2 nhóm
Nhóm 1 là Administrator có quyền privilege level 15
Nhóm 2 là guest có quyền privilege level 0.
Vào menu Group Setup
Trang 16Hình 2: Tạo Group
Chọn một group bất kỳ rồi chọn Rename Group Nhập vào
Administrator rồi Submit.
Hình 3: Tạo Group mang tên Administrator
Làm tương tự để tạo ra thêm một group nữa tên Guest.
Tiếp đến ta phân quyền cho 2 nhóm theo privilege level như đã nói ở
trên
Trước hết ta phân quyền cho nhóm Administrator
Chọn Group là Administrator rồi sau đó chọn Edit Settings
Trang 17Hình 4: Cấu hình cho từng group
Trong cửa sổ Group Setup tiếp theo ta làm lần lượt như sau;
Chọn TACACS+ trong mục Jump to
Check vào Shell (exec)
Check vào Privilege Level và nhập vào thông số 15 Chọn Submit + Restart
Trang 18Hình 5: Cấu hình cho nhóm Admin ở mức Privilege Level 15
Như vậy, những user nào thuộc group Adminstrator khi kết nối vào router thông qua TACACS+ server sẽ có bộ quyền ở mức 15
Việc cấu hình cho nhóm Guest ở Privỉlege Level 0 tương tự như vậy
Bước 2: Tạo user và add user vào group
Chúng ta sẽ tạo user admin thuộc group Aministrator và user guest thuộc nhóm Guest
Vào menu User, nhập vào tên balcony, chọn Add/Edit
Trang 19Hình 6: Thêm user mang tên AdminTrong màn hình User Setup tiếp theo ta cần nhập các thông số sau:
Password authentication: ACS internet Database
Password cho user admin
Chọn nhóm cho user này là Administrator
Trang 20Hình 7: Cấu hình cho user adminViệc tạo và cấu hình cho user Guest và group Guest ta làm tương tự.
Bước 3: Cấu hình AAA server và Client:
Vào menu Network Configuration Trước tiên ta cấu hình AAA
client.
Click vào Add Entry trong phần AAA Client
Trang 21Hình 8: Chọn phần cấu hình AAA ClientTrong cửa sổ tiếp theo ta cần nhập các thông số sau:
AAA Client hostname: hostname của router
AAA IP address: địa chỉ của router 10.145.30.33
Key: khoá thương lượng giữa router và server ( ta chọn tuỳ ý và cần phải khớp với giá trị sẽ nhập khi cấu hình router)
Authentication Using: Tất nhiên là chọn TACACS+
Sau đó ta chọn Submit + Apply
Trang 22Hình 9: Cấu hình cho AAA client
Tiếp theo ta sẽ cấu hình cho AAA Server.
Chọn Add Entry trong phần AAA server:
Hình 10: Chọn cấu hình thêm một AAA server.
Nhập vào các giá trị sau:
AAA server name: đặt tùy ý
AAA server IP: địa chỉ IP của máy cài TACACS+
Key: khoá giao trước ( trùng với khoá lúc nãy là 123456)