我们用的是Cisco ASR 1001-X这个路由器来做BGP的。
前两天做多线BGP的时候,也不知道是遇到Bug了,还是操作顺序有问题,大断网,然后重启路由器。
事后想回顾的时候也是各自有各自的记录,细节语焉不详……
干脆搭建一个日志服务器来记录下来所有的操作,便于事后复盘
首先在CentOS 7 的系统上安装TACACS+软件,居然在7上用的是6的软件,这点也很怪异
1cat << EOF >/etc/yum.repos.d/tacacs-plus.repo
2[tacacs-plus]
3name=Tacacs Plus
4baseurl=http://li.nux.ro/download/nux/misc/el6/x86_64/
5enabled=0
6gpgcheck=1
7gpgkey=http://li.nux.ro/download/nux/RPM-GPG-KEY-nux.ro
8EOF
安装tacacs_plus
1 yum –enablerepo=tacacs-plus install tac_plus
注意,我们只是用tacacs_plus来记录操作日志,不是用来限制用户登录和权限的,所以只需要关注两行:
1vi /etc/tac_plus.conf
2key = "FuckFuckFuck"
3accounting file = /var/log/tac_acct.log
4......
启动,centos 6 没有systemctl,只有service
1service tac_plus start
ok, tacacs+配置好了,继续,去Cisco路由器上配
1Router1#configure terminal
2Enter configuration commands, one per line. End with CNTL/Z.
3Router1(config)#tacacs-server host 192.168.171.13
4Router1(config)#tacacs-server timeout 10
5Router1(config)#tacacs-server key FuckFuckFuck
6Router1(config)#aaa new-model
7Router1(config)#aaa accounting commands 0 default stop-only group tacacs+
8Router1(config)#aaa accounting commands 1 default stop-only group tacacs+
9Router1(config)#aaa accounting commands 15 default stop-only group tacacs+
10Router1(config)#end
11Router1#
-
“0” 用来审计exit和end命令,这样可以明确知道用户的登录。
-
“1” 用来审计非特权用户的show命令。
-
“15” 用来审计特权命令对路由器配置的改动。
看看日志里有没有记录:
注意,tacacs-server的语法可能在ios版本不同的情况下语法不同:
1# tacacs server TS-AAA
2 address ipv4 192.168.171.13
3 key FuckFuckFuck
4 timeout 10