这是 Cisco 设备的一个通用示例。localadmin 用户只能使用console 口，除非tacacs 不可用，否则用户可以远程登录。

username localadmin password xyz priv 15
aaa authentication login CONSOLE local
aaa authentication login VTY group tacacs+ local
aaa authorization exec VTY if-authenticated 
aaa authorization exec CONSOLE if-authenticated 
aaa authorization commands 15 default group tacacs+ if-authenticated 
aaa accounting commands 15 default start-stop group tacacs+
!
line con 0
 exec-timeout 5 0
 logging synchronous
 login authentication CONSOLE
 stopbits 1
line vty 0 4
 access-class MANAGEMENT-ACL in
 exec-timeout 5 0
 login authentication VTY

编辑：

如果远程身份验证服务器可访问，standardUser 和 EmergencyUser 可以通过 SSH 登录设备。standardUser 将访问远程身份验证服务器，而 EmergencyUser 将身份验证到本地设备。

除了将紧急用户添加到身份验证服务器以及在本地配置之外，我不知道有什么方法可以做到这一点。

我想避免紧急备份用户在网络出现问题时不得不超时到远程身份验证服务器。

您可以缩短超时时间。我相信较新的 IOS 的默认值为 5 秒，NX-OS 的默认值为 1 秒。
使用命令

tacacs-server timeout x

这在运行 IOS 15.2 的 Cisco Catalyst 3850 上对我有用（您需要配置 AAA 系统的其余部分，这就是神奇发生的地方）：

aaa authentication login default local group radius

这首先尝试本地数据库，然后尝试 RADIUS 身份验证组。您可以使用 TACACS+ 代替 RADIUS。

如果本地数据库中不存在通过 SSH 提交的用户名，则此配置将转到 RADIUS 服务器并成功通过身份验证。但是如果账户是本地的，就会在本地账户数据库中找到，并在本地进行认证。

当然，这要求本地用户名与任何域/RADIUS 用户名不同。

我相信我的类似配置也可以在 IOS-XE 上正常工作。不确定 NX-OS 或 CatOS。