Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

配置 TACACS + 系统核算

 

您可以使用 TACACS + 来跟踪和记录软件登录、配置更改和交互式命令。要审核这些事件,请在[edit system accounting]层次结构级别包括以下语句:

配置 TACACS + 系统记帐的任务包括:

指定 TACACS + 审核和计费事件

要在使用 TACACS + 服务器进行身份验证时指定要审核的事件,请将events语句包含在[edit system accounting]层次结构级别:

events是以下一个或多个选项:

  • login—审核登录

  • change-log—审核配置更改

  • interactive-commands—审核交互式命令(任何命令行输入)

配置 TACACS + 服务器记帐

要配置 TACACS + 服务器记帐,请将server语句包含在[edit system accounting destination tacplus]层次结构级别:

server-address指定 TACACS + 服务器的地址。要配置多个 TACACS + 服务器,请server包含多个语句。

注意

如果在[edit system accounting destination tacplus]语句层次结构级别上未配置 tacacs + 服务器,Junos OS 将使用在[edit system tacplus-server]层次结构级别上配置的 tacacs + 服务器。

我们建议您在[edit system accounting destination tacplus]语句层次结构级别添加以下配置,以识别目标并帮助避免产生错误情况:

port-number指定 TACACS + 服务器端口号。

routing-instance routing-instance路由实例的名称,用于发送和接收 TACACS + 数据包。默认情况下,Junos OS 路由通过默认路由实例的 TACACS + 的认证、授权和计费数据包。 从 Junos OS Release 17.4 R1 开始,现有的 TACACS + 行为通过名为 mgmt_junos 的非默认 VRF 实例中的管理接口进行增强,支持路由 TACACS + 数据包。有关此 VRF 管理实例的详细信息,请将 TACACS + 配置为使用管理实例参阅。 从 Junos OS Release 18.2 R1 开始,您可以通过在计费中配置的任何路由实例路由 TACACS + 流量。

您必须指定本地路由器或交换机通过包含secret语句传递给 TACACS + 客户端的密码。如果密码包含空格,请将整个密码用引号(“ ”)引起来。本地路由器或交换机使用的密码必须与服务器使用的相同。

您也可以指定本地路由器或交换机通过包括timeout语句来等待从 TACACS + 服务器接收响应的时间长度。默认情况下,路由器或交换机等待 3 秒。您可以将其配置为1到 90 秒之间的值。

或者,您可以为多个请求保持一个开放 TCP 连接到服务器,而不是通过包括single-connection语句来打开每个连接尝试的连接。

为确保对登录事件进行记帐的启动和停止请求正确记录在记帐文件中,而不是在 TACACS + 服务器上的管理日志文件中,请no-cmd-attribute-value包括语句或exclude-cmd-attribute[edit system tacplus-options]层次结构级别。

如果使用此no-cmd-attribute-value语句,则在启动和停止cmd请求中,该属性的值设置为空字符串。如果使用此exclude-cmd-attribute语句,将从cmd启动和停止请求中完全排除该属性。两个语句都支持在记帐文件中正确记录记帐请求,而不是管理文件。

将 TACACS + 配置为使用管理实例

默认情况下,Junos OS 路由通过默认路由实例的 TACACS + 的认证、授权和计费数据包。 从 Junos OS Release 17.4 R1 开始,现有的 TACACS + 行为得到增强,可在非默认 VRF 实例中支持管理接口。

同时在routing-instance mgmt_junostacplus-server server-addresstacplus server server-ip语句中配置选项时,只要配置了management-instance语句,TACACS + 数据包将通过管理实例 mgmt_junos 路由。

注意

必须routing-instance mgmt_junos同时在tacplus-servertacplus server语句中配置该选项。如果不是这样,即使management-instance设置了语句,也只能使用默认路由实例来发送 TACACS + 数据包。

有关此管理实例的详细信息,请参阅管理实例

在 TX Matrix 路由器上配置 TACACS + 记帐

在 TX Matrix 路由器上,将仅应在组re0re1中配置 TACACS + 记帐。

注意

应在[edit system]层次结构中配置核算;在 TX Matrix 路由器上,控制仅在交换机卡机箱下完成。

Release History Table
版本
说明
从 Junos OS Release 18.2 R1 开始,您可以通过在计费中配置的任何路由实例路由 TACACS + 流量。
从 Junos OS Release 17.4 R1 开始,现有的 TACACS + 行为通过名为 mgmt_junos 的非默认 VRF 实例中的管理接口进行增强,支持路由 TACACS + 数据包。
从 Junos OS Release 17.4 R1 开始,现有的 TACACS + 行为得到增强,可在非默认 VRF 实例中支持管理接口。