aaa new-model
!—激活AAA访问控制
aaa authentication login default tacacs+ local
①用户登录时默认起用Tacacs+（这个是默认的名字，可以通过命令更改这个默认列表名）做AAA认证，不成功就用本地数据库（username）；

② 当vty上设了pssword时，只有在local后面加上line才起作用，这时登录界面还是以username开头，这时用户名和密码都是在vty设的password密码，如pass zy；登录时，username：zy / pssword：zy，这样进入用户exec，然后通过在router上设置的enable进入特权exec；

③如果在列表最后加none，那么就不需要认证直接进入用户exec界面，然后再根据enable密码进入特权exec；
aaa authentication login vty local
!—列表名为vty，调用才能生效，如logging authen vty，加了前面那句后，这句加上就没什么意义了
aaa authentication enable default group tacacs+ enable
!—enable密码的授权交给tacacs+，如果失败，用本地enable密码进行验证
aaa authentication ppp default tacacs+
!—在运行PPP的串行线上采用Tacacs+做认证
aaa authorization exec default if-authenticated group tacacs+ local
!—如果认证通过，AAA授权exec（这里其实跟linux中的shell差不多），根据版本不同，命令的写法可能也不同。
aaa authorization network tacacs+
!—由TACACS+服务器授权与网络相关的服务请求。
aaa accounting exec default start-stop group tacacs+
!—为EXEC会话运行记帐.进程开始和结束时发通告给TACACS+服务器。
aaa accounting network start-stop tacacs+
!—为与网络相关的服务需求运行记帐包括SLIP，PPP，PPP NCPs，ARAP等。在进程开始和结束时发通告给TACACS+服务器。
aaa accounting commands 15 default stop-only group tacacs+
!—用AAA来记录权限为15的命令
tacacs-server host 10.111.4.2
!—指定Tacacs服务器地址
tacacs-server key tac
!—在Tacacs+服务器和访问服务器设定共享的关键字，访问服务器和Tacacs+服务器使用这个关键字去加密口令和响应信息。这里使用tac作为关键字。

注意：以上如果用了自定义的列表名，那么必须在相应的接口上激活认证，才能生效！

以上只是介绍了router下AAA的配置，在ACS上也需要做相应的操作，才能达到预期的效果！

2017-5-18 更新：在9k上，telnet/ssh 通过AAA认证，但不包含console
可以参考下面配置实例，console不应用AAA认证的template，AAA只针对特定的template，这样default list就没特别定义，不走AAA了：

RP/0/RSP0/CPU0:SZ-BR2#sh run aaa
Mon May 18 03:23:38.992 UTC
radius source-interface MgmtEth0/RSP0/CPU0/0 vrf default
radius-server host 10.x.x.x auth-port 1812 acct-port 1813
key 7 05080F1C22431F5B4A
!
aaa authentication login AUTH group radius local
 
RP/0/RSP0/CPU0:SZ-BR2#sh run line console
Mon May 18 03:23:47.019 UTC
line console
exec-timeout 5 0
stopbits 1
length 0
!
 
RP/0/RSP0/CPU0:SZ-BR2#sh run line default
Mon May 18 03:23:51.874 UTC
line default
session-limit 10
!
 
RP/0/RSP0/CPU0:SZ-BR2#
RP/0/RSP0/CPU0:SZ-BR2#sh run line template vty
Mon May 18 03:23:58.473 UTC
line template vty
login authentication AUTH
session-limit 10
!
 
RP/0/RSP0/CPU0:SZ-BR2#
RP/0/RSP0/CPU0:SZ-BR2#show run vty-pool default 0 9
Mon May 18 03:24:40.333 UTC
vty-pool default 0 9 line-template vty

2018-1-12 更新：在9k上，telnet/ssh 通过AAA认证，但不包含console
这是第二种解决方法，先local，后tacacs，这样local不ok后，会自动跳转到tacacs，如下配置：

local user/pass: zelda/zelda
ACS user/pass: test/cisco
Enable debug: “debug aaa authentication” and “debug telnetd detail”

RP/0/RSP0/CPU0:ASR9001-A#sh run aaa
Fri Jan 12 18:46:46.340 Beijing
tacacs source-interface MgmtEth0/RSP0/CPU0/0 vrf default
tacacs-server host 10.x.x.x port 49
key 7 104D000A0618
!
aaa authentication login default local group tacacs+