Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Lab AAA BCRAN

Collapse
This is a sticky topic.
X
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Lab AAA BCRAN

    I. Giới thiệu cơ bản về AAA.
    AAA quản lý hoạt động cơ bản của user qua các thiết bị như Switch, Router…. Nó được sử dụng để xác thực, cấp phát quyền, và loggig hay accounting
    1. Authentication (Xác thực)
    - Để xác định xem user có quền để truy nhập vào thiết bị hay không.
    - Ta có thể cấu hình để enable AAA trên Router hay Switch
    Router(config)#aaa new-model
    - Ta có thể cấu hình user nội bộ trong thiết bị
    Router(config)#username username password password
    - Định nghĩa TACACS+ hay RADIUS server : AAA server như:Secure Access Control Server(ACS)

    Router(config)#tacacs-server host {hostname | ip-address } [key string]
    Ở đây thì key ta cấu hình ở router phải trùng với key cấu hình ở server
    - Định nghĩa các phương thức truy nhập vào Router qua cac line (console, vty)
    Router(config)#aaa authentication login {default | list-name} method1 [method2…]
    Có một phương thức như sau
    Tacacs+: Mỗi TACACS+ server được cấu hình thì Router sẽ cố gắng theo trình tự được cấu hình ở trên.
    Radius: Tương tự như tacacs
    Local: Nó sẽ lấy các user nội bộ bằng lệnh username
    Line: Line password có thể được sử dụng cho bất kỳ user nào
    - Nếu ta sử dụng default thì nó sẽ áp dụng vào tất cả các line, còn đối với name-list thì ta phải áp dụng nó vào từng line mà ta muốn.
    - Áp dụng các phương thức vào Line(console hoặc vty)
    Router(config-line)#login authentication {default | list-name}
    - Ta cấu hình bảo vệ bằng enable password ở privilege.
    Router(config)#aaa authentication enable default method1 [...[method4]]

    2. Authorization(Xác định thẩm quyền)
    Sau khi xác thực xong thì không phải tất cả các user đều có quyền như nhau mà ta sẽ phân cấp quyền cho các user theo nhiều cấp khác nhau, cho từng mode khác nhau.
    Router(config)#aaa authorization {command | configuration | exec | network| reverse-access} {default | list-name} method1 [method2 …]
    Command : Server sẽ trả về quyền cho phép user các lệnh có thể ở privilege level
    Config-command: Server sẽ trả về quyền cho phép user có thể sử dụng bất kỳ lệnh nào trên thiết bị
    Exec: Nó sẽ áp dụng các thuộc tính thích hợp với exec terminal session.
    Network: Áp dụng cho các kết nối như SLIP, PPP, kết nối ARAP
    Reverse-access: Server sẽ trả về quyền được reverse telnet từ Router.
    3. Accounting:Để cho phép server thu thập thông tin từ thiết bị
    Router(config)#aaa accounting {system | exec |command | level} {default | list-name} {start-stop | stop-only | wait-start | none } metod1 [method2 …]
    System : Cung cấp các sự kiện liên quan đên hệ thống như: reload..
    Netword: cung cấp các sự kiện liên quan đến kết nối như : PPP, SLIP, ARAP.
    Exec:Cung cấp thông tin về exec của user như địa chỉ ip của user, và thời gian của session.
    Start-stop cung cấp sự kiện từ lúc bắt đầu đến lúc kết thúc.
    Stop-only: Cung cấp sự kiện chỉ khi kết thúc sự kiện
    Wait-start: Các yêu cầu của user chưa đựơc khởi tạo cho đến khi accounting record ack

    II. Cấu hình cho Server(ACS)
    - Trước hết ta tạo aaa client: Khởi đông AAA server: từ của sổ chính ta kích vào Network configuration thì nó sẽ cho ta cửa sổ sau:
    - aaa client hostname: ta gỏ host name của router
    - aaa client address: ta gỏ địa chỉ add của router
    - Key ta gỏ key trùng với key đã gỏ ở router trong lệnh tacacs-server
    - Authentication using: chọn tacacs+(cisco ios) nếu sử dung tacacs





    - Tiếp theo ta cấu hình cho user: Trước hết ta kích vào user setup: Rồi các bước làm trình tự như sau:









    - Định nghĩa thời gian mà user bị disable hay enable



    - Xác định max pivilege cho user khi sử dụng authorization



    - Xác định password cho user

    III. Cấu hình cho router:
    1. authentication
    Router#show run
    Building configuration...

    Current configuration : 939 bytes
    !
    version 12.2
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    !
    hostname Router
    !
    aaa new-model “enable aaa”
    !
    aaa authentication login default group tacacs+ local “ cấu hình authentication cho các line”
    aaa authentication enable default group tacacs+ enable “Cấu hình enable cho privilege”
    aaa session-id common
    enable password cisco
    !
    username cuong password 0 cisco
    !
    no ip domain lookup
    !
    interface Ethernet0/0
    ip address 192.168.2.1 255.255.255.0
    full-duplex
    !
    tacacs-server host 192.168.2.2 key cuong
    !
    end

    2. Authorization local

    Router#show run
    Building configuration...

    Current configuration : 1449 bytes
    !
    hostname Router
    !
    aaa new-model
    !
    aaa authentication login default group tacacs+ local
    aaa authentication enable default group tacacs+ enable
    aaa authorization exec default local “Cho phép user thực hiện session”
    aaa authorization commands 0 default local
    aaa authorization commands 7 default local
    aaa authorization commands 15 default local
    “yêu cầu user authorization ở các level 0,7.,15”
    aaa session-id common
    enable password cisco
    !
    username cuong password 0 cisco
    username c1 privilege 0 password 0 cisco
    username c2 privilege 7 password 0 cisco
    username c3 privilege 15 password 0 cisco
    memory-size iomem 10
    ip subnet-zero
    !
    !
    no ip domain lookup
    !
    voice call carrier capacity active
    !

    mta receive maximum-recipients 0

    - Ở đây ta thấy user được trả về ở level 7 ta sử dụng lệnh show privilege để kiểm tra
    - Ta thấy user chỉ có một số lệnh mà ta đã cấu hình trên router.

    interface Ethernet0/0
    ip address 192.168.2.1 255.255.255.0
    full-duplex
    !
    ip classless
    ip http server
    tacacs-server host 192.168.2.2
    tacacs-server key cuong
    call rsvp-sync
    !
    privilege configure level 7 snmp-server “Các lệnh cho phép ở user ở Privilege level 7”
    privilege configure level 7 snmp-server enable
    privilege configure level 7 snmp-server host
    privilege configure level 7 interface
    privilege configure level 7 line
    privilege configure level 7 host
    privilege exec level 7 ping
    privilege exec level 7 config terminal
    privilege exec level 7 config config
    line con 0
    password cisco
    logging synchronous
    line aux 0
    line vty 0 4
    password cisco
    end
    - Kiểm tra bằng các telnet vào từ một host cho ta kết quả sau:



    - Ở đây ta thấy user được trả về ở level 7 ta sử dụng lệnh show privilege để kiểm tra
    - Ta thấy user chỉ có một số lệnh mà ta đã cấu hình trên router.
    Email : vnpro@vnpro.org
    ---------------------------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

  • #2
    Xin lỗi thầy có thể upload hình lại được ko ạh

    Comment


    • #3
      Thầy có bài nào về ACS replication Database và Add hai thằng ACS này vào một aaa server group radius không ạ?

      Thấy có thể demo giúp chúng em được không ạ?

      Cảm ơn Thầy,
      Dương Văn Khoa
      Mail:khoadv@hsp-vn.com (HSPVietNam)
      Mobile:01668 24 88 88

      Comment


      • #4
        Chào bạn,

        Bạn xem bài này rồi thử replicate 2 ACS database nhé.
        Phạm Minh Tuấn

        Email : phamminhtuan@vnpro.org
        Yahoo : phamminhtuan_vnpro
        -----------------------------------------------------------------------------------------------
        Trung Tâm Tin Học VnPro
        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
        Tel : (08) 35124257 (5 lines)
        Fax: (08) 35124314

        Home page: http://www.vnpro.vn
        Support Forum: http://www.vnpro.org
        - Chuyên đào tạo quản trị mạng và hạ tầng Internet
        - Phát hành sách chuyên môn
        - Tư vấn và tuyển dụng nhân sự IT
        - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

        Network channel: http://www.dancisco.com
        Blog: http://www.vnpro.org/blog

        Comment


        • #5
          Mình đã cấu hình replicate 2 ACS database thành công rồi, nhưng khi add vào Group AAA và test ngắt kết nối tại con Chính, thì con phụ chỉ có thể authentication login vào thiết bị mạng, còn authen dot1x thì fail.
          Dương Văn Khoa
          Mail:khoadv@hsp-vn.com (HSPVietNam)
          Mobile:01668 24 88 88

          Comment

          Working...
          X