我继承了 DoD 网络（与 Internet 完全分离）。我正在查看配置，我看到一堆我认为不需要但我从未使用过 TACACS 的东西，只是 Radius。

交换机配置为通过 TACACS 对 Active Directory 进行身份验证，因此我可以使用常规用户名和密码登录。在我之前的网络中，我们有两条线路来进行 Radius 身份验证和授权，并且效果很好。这是配置的顶部

aaa new-model

aaa group server tacacs+ TACACS-GROUP
 server-private x.x.x.x key 7 ****
 server-private x.x.x.x key 7  *****
 ip tacacs source-interface Loopback0
!
aaa authentication login default group TACACS-GROUP local
aaa authentication login CON group TACACS-GROUP local
aaa authentication login VTY group TACACS-GROUP local
aaa authorization console
aaa authentication login console group TACACS-GROUP local
aaa authorization exec default group TACACS-GROUP local
aaa authorization commands 1 default group TACACS-GROUP if-authenticated
aaa authorization commands 15 default group TACACS-GROUP if-authenticated
aaa accounting exec default start-stop group TACACS-GROUP
aaa accounting commands 15 default start-stop group TACACS-GROUP

然后是 con 和 vty 配置。

line con 0
 logging synchronous
 login authentication CON
 transport output ssh
 stopbits 1
line vty 0 4
 access-class VTY_IN in vrf-also
 privilege level 15
 logging synchronous
 login authentication VTY
 transport input ssh
 transport output ssh
line vty 5 15
 access-class VTY_IN in vrf-also
 logging synchronous
 login authentication VTY
 transport input ssh
 transport output ssh

我在考虑一个默认组，而不是默认、CON 和 VTY 组。另外，我想我可以摆脱 CON 和 VTY 中的登录身份验证行。另外，我可以摆脱传输输出 SSH。

我错过了什么吗？很多非常老的网络人都建立了这个，所以我想有些家伙认为你需要它，或者你以前确实需要它，他们只是不断地把这些东西放进去，因为“这是我们一直在做的”。

在 Active Directory 端有两个安全组。networkRO 和 networkRW 希望是不言自明的。