多厂商3A TACACS+配置实战：思科、华为、华三、锐捷对比解析

1. 为什么你需要关心多厂商的TACACS+配置？

如果你管理着一个网络，而这个网络里恰好有思科的交换机、华为的防火墙、华三的路由器，可能还有几台锐捷的无线控制器，那你肯定对“统一管理”这个词又爱又恨。爱的是它带来的便捷和安全性，恨的是每次给不同品牌的设备配置认证授权审计（也就是我们常说的3A）时，那五花八门的命令行和配置逻辑，简直让人头大。今天，我就来跟你聊聊这个“甜蜜的烦恼”，并把我这些年踩过的坑、试出来的经验，掰开揉碎了讲给你听。

简单来说，TACACS+（Terminal Access Controller Access-Control System Plus）是一个专门为网络设备访问控制设计的协议。它比我们更熟悉的RADIUS协议在授权和审计方面更精细，尤其是对命令行（CLI）的授权，可以做到控制用户能执行哪一条具体的命令。想象一下，你可以让实习生只能使用 show 命令查看状态，而网络工程师可以配置接口，只有资深专家才能修改路由协议。这种精细度，对于运维安全至关重要。

那么，为什么多厂商配置是个难题呢？核心在于，虽然协议标准是统一的，但每个厂商在实现时，都有自己的一套“方言”。思科有它经典的 aaa new-model 和 tacacs-server 命令；华为和华三则发展出了自己的 hwtacacs（华为TACACS+）实现，并且和“域（domain）”、“方案（scheme）”这些概念深度绑定；锐捷的命令行看起来和思科很像，但细节上又有不少自己的“小脾气”。如果你只懂一家，到了另一家设备面前，很可能连从哪个配置模式下手都不知道。

这篇文章的目的，就是当你的“翻译官”和“实战手册”。我不会只给你扔几段配置命令就完事，而是会带你深入每个厂商的配置逻辑，对比它们之间的异同，让你真正理解背后的“为什么”。这样，无论你面对什么品牌的设备，都能快速找到配置脉络，实现跨网络的统一、安全的3A管理。我们从最基础的准备工作开始，一步步来。

2. 实战前的统一准备：理解核心概念与拓扑

在真正动手敲命令之前，我们先花点时间把基础打牢。这就像盖房子，地基不稳，后面配置得再漂亮也容易出问题。这里有几个核心概念，不管你配置哪家的设备，都必须先搞清楚。

第一个是3A服务器。 这是整个体系的“大脑”，负责认证（你是谁？）、授权（你能做什么？）和审计（你做了什么？）。常见的服务器有Cisco ISE、FreeRADIUS（搭配tac_plus模块）等。在我们的实战场景里，假设有两台服务器用于冗余：主服务器IP是 192.168.11.122，备服务器是 192.168.11.123，共享密钥都是 free。记住这个密钥，它相当于设备和服务器之间的“暗号”，必须完全一致。

第二个是网络设备（NAS）。 也就是我们的思科、华为、华三、锐捷设备。它们作为客户端，将用户的登录和操作请求转发给3A服务器。

第三个是“源接口”（Source Interface）。 这是一个非常关键但容易被忽略的配置。网络设备可能有多个IP地址，它需要用哪个地址去和3A服务器通信呢？指定一个稳定的环回口（Loopback）或管理口地址是个好习惯。这能确保无论物理链路如何变化，3A服务器看到的客户端地址都是固定的，便于服务器端做策略匹配。我们后续配置中会统一使用 Loopback 0 或类似接口作为源。

为了更直观，我们用一个简单的表格来对比一下各厂商在核心术语上的对应关系，这能帮你快速建立概念映射：

看到区别了吗？思科和锐捷的思路比较“直给”，一条条命令堆叠起来。而华为和华三引入了“模板（Template/Scheme）”和“域（Domain）”的抽象层，结构上更模块化，初次接触会觉得复杂，但管理大型复杂网络时其实更清晰。理解了这个顶层设计，我们再深入每一家的配置细节时，就不会迷失在命令的海洋里了。

3. 思科设备配置：经典与直白的代表