Announcement

**admin** · 10-02-2006, 11:13 AM

2.1.1.1.1.AAA Authentication PPP

Câu lệnh aaa authentication pppđược sử dụng kết hợp với lệnh ppp authentication trong việc cấu hình line để mô tả phương thức được sử dụng khi một user sử dụng PPP muốn truy cập vào router. Cú pháp câu lệnh như sau:

aaa authentication ppp {default | list-name} method1 [method2] [method3] [method4] Các phương pháp được dùng trong câu lệnh này:
·local: phương pháp này xác định xác thực bằng việc sử dụng cặp username yyyy password xxxx trên router.
·none: phương pháp này xác định rằng không cần sử dụng phương pháp xác thực nào cả.
·tacacs+: phương pháp này xác định sử dụng TACACS server để xác thực.
·radius: phương pháp này xác định sử dụng RADIUS server để xác thực.
·krb5: phương pháp này dùng Kerberos 5 chỉ phù hợp cho thao tác (operation) PPP và các liên lạc với một Kerberos server đã được thiết lập. Xác thực login sử dụng Kerberos chỉ làm việc với giao thức PPP PAP.
·if-needed: phương pháp này ngừng xác thực nếu một user đã được xác thực trước đó trên line tty.

Ví dụ:

Router(config)#aaa authentication ppp myaaa tacacs+ localRouter(config)#line 1 12Router(config-line)#ppp authentication myaaa Cùng một dạng cú pháp được sử dụng thông qua nhiều câu lệnh AAA. Với câu lệnh ppp được thiết lập, thì câu lệnh trên interface là ppp authentication option(s) với option(s) là các tùy chọn pap, chap, pap chap, chap pap, ms-chap. Thêm vào đó, các phương pháp trong AAA có thể sử dụng. Ở ví dụ trên thì TACACS+ sẽ được kiểm tra trước tiên, sau đó username/password cục bộ trên máy sẽ được sử dụng nếu TACACS+ không phù hợp hay trả về một lỗi (error).

2.1.1.1.2.AAA Authentication ANSI

Câu lệnh aaa authentication ansiđược sử dụng kết hợp với lệnh ansi authentication trong việc cấu hình line để mô tả phương thức được sử dùng khi một NASI user muốn truy cập vào router.Cú pháp câu lệnh như sau:
aaa authentication nasi {default | list-name} method1 [method2] [method3] [method4] Các phương pháp được dùng trong câu lệnh này:
·local: phương pháp này xác định xác thực bằng việc sử dụng cặp username yyyy password xxxx trên router.
·enable: phương pháp này xác định rằng sẽ sử dụng câu lệnh enable password để xác thực trên interface. Việc xác thực được thực hiện bằng việc so sánh password người dùng nhập vào với password trong câu lệnh enable password hay enable secret của router.
·line: phương pháp này xác định sử dụng password để xác thực vào interface. Câu lệnh này được sử dụng trong câu lệnh login và password trong từng line (console, vty,...)
·none: phương pháp này xác định rằng không cần sử dụng phương pháp xác thực nào cả.
·tacacs+: phương pháp này xác định sử dụng TACACS server để xác thực.

Khi AAA được cho phép, tất cả các line và port trên router đều sử dụng AAA, vì thế default group nên cấu hình cho bất kì sự truy cập nào mà router nhìn thấy được.

Ví dụ:

Router(config)#aaa authentication ansi myaaa tacacs+ localRouter(config)#line 1 12Router(config-line)#ansi authentication myaaa Với các phương pháp truy cập khác, khi một user sử dụng NASI thì sẽ bị yêu cầu xác thực TACACS+ trước tiên và sau đó sẽ sử dụng username/password cục bộ nếu TACACS+ bị lỗi hay không thích hợp.

2.1.1.2.Cấp quyền (Authorization)

Một khi user đã được xác thực, thì ta cần giới hạn những quyền mà họ được phép sử dụng. Điều đó được thực hiện thông qua câu lệnh aaa authorization. Những giới hạn có thể áp đặt vào hoạt động hay dịch vụ được yêu cầu bởi router. Với việc cấp thẩm quyền, AAA thiết lập một subadministrator để cho phép truy cập vào chế độ configuration mode, nhưng với khả năng là chỉ có thể sử dụng một tập nhỏ các lệnh được phép. Mặc dù có thể, việc cấu hình router sẽ bị hạn chế.
Cú pháp dùng để cấp quyền khá đơn giản, nó xác định hoạt động hay dịch vụ (network, exec, command level, config-command, reverse-access) được sử dụng cho user. Dạng tổng quát của câu lệnh cấp thẩm quyền là:
aaa authorization service-type {default | list-name} method1 [method2] [method3] [method4] Câu lệnh trên có ý nghĩa như sau:
aaa authorization do-what? check-how? Mệnh đề do-what? có thể là:
·network: tham số này dùng phương pháp check-how? để cấp quyền và thiết lập các yêu cầu dịch vụ có liên quan đến mạng như là SLIP, PPP.
·exec: tham số này dùng phương pháp check-how? để cấp quyền nếu user được phép tạo hoặc chạy trong chế độ EXEC shell. Nếu TACACS+ hoặc RADIUS được sử dụng, thì có thể cơ sở dữ liệu sẽ trả về một thông tin với câu lệnh tự động cho người dùng.
·command level: tham số này dùng phương pháp check-how? để cấp quyền cho các lệnh tại mức phân quyền xác định trước. Mức phân quyền (privilege) có giá trị từ 1 đến 15.
·reverse-access: tham số này dùng phương pháp check-how? để cấp quyền cho phép thực thi reverse telnet.

Mệnh đề check-how? giống như các phương pháp dùng trong việc xác thực. check-how? chỉ đơn giản chỉ ra xác thực nên tiến hành ở đâu. Tham số check-how? có thể thuộc bất kì loại nào trong các dạng sau:
·tacacs+: trong tham số này, thẩm quyền TACACS+ sẽ được tiến hành trước bằng cặp giá trị thuộc tính AV (attribute-value) đến từng user riêng biệt. Khi một user muốn làm một do-what? thì cơ sở dữ liệu TACACS sẽ được kiểm tra.
·if-authenticated: với tham số này, nếu một user được xác thực rồi, thì họ được phép thiết lập chức năng. Chú ý rằng ở đây không kiểm tra thẩm quyền mà chỉ cần user có trong cơ sở dữ liệu là đã phù hợp.
·none: với tham số này, router không đòi hỏi thông tin thẩm quyền cho do-what?. Thẩm quyền không được thiết lập và một câu truy vấn sẽ được gởi đến cơ sở dữ liệu.
·local: với tham số này, router hoặc access server sẽ kiểm tra username/password được cấu hình ở chế độ configure mode lưu cục bộ trong router.
·radius: với tham số này, thẩm quyền RADIUS sẽ được thực hiện bằng việc gắn các thuộc tính cho username trên RADIUS server. Mỗi username cùng với thuộc tính được lưu trữ bên trong RADIUS database.
·krb5-instance: với tham số này, router sẽ truy vấn đến Kerberos server để yêu cầu cấp thẩm quyền. Thẩm quyền sẽ được lưu trong Kerberos server.
Nhìn chung, thẩm quyền có thể cài đặt theo nhiều cách. Vấn đề là tìm kiếm xem thử trong database hay tài nguyên nào có cặp AV hay thuộc tính để cung cấp cho router câu trả lời khi có yêu cầu cấp thẩm quyền.

Ví dụ:

Router(config)#aaa new-modelRouter(config)#aaa authentication login myaaa tacacs+ localRouter(config)#aaa authorization exec tacacs+ local Router(config)#aaa authorization command 1 tacacs+ localRouter(config)#aaa authorization command 15 tacacs+ local Trong ví dụ trên, AAA được cho phép với câu lệnh aaa new-model, phương thức xác thực được xác định với tên là “myaaa”. Dòng thứ 3 xác định rằng nếu một user đã login vào rồi thì có thể truy cập trực tiếp vào EXEC mode. TACACS+ sẽ được xét xem thử user có được phép thiết lập chức năng hay không?
Hai dòng cuối tương tự nhau. Nếu user đã login vào rồi sẽ được kiểm tra trong TACACS database xem xét mức phân quyền của user đó. Các mức phân quyền có thể có trên router là từ 1 – 15.

2.1.1.3.Tính cước (Accounting)

AAA accounting có thể cung cấp thông tin liên quan đến hoạt động của user và ghi vào database. Đây là một khái niệm rất hữu dụng với các dịch vụ Internet. Ngày nay nó càng phổ biến hơn cho khi các ISP thiết lập cho khách hàng thời gian truy cập không hạn chế. Tuy nhiên, điều này không làm hạn chế khả năng nhà quản trị giám sát các mức phân quyền không được cấp phát trước cũng như tính an toàn cho tài nguyên hệ thống. Thêm vào đó, accounting có thể giám sát việc sử dụng tài nguyên để có thể cấp phát cho hệ thống tốt hơn.
Accounting thường được sử dụng cho việc tính cước và lưu thông tin hoạt động của khách hàng. Cú pháp tổng quát của câu lệnh aaa accounting là:
aaa accounting event-type {default | list-name} {start-stop | wait-start | stop-only | none} method1 [method2] Câu lệnh trên có dạng:
aaa accounting what-to-track how-to-track where-to-send-the-information Tham số what-to-track như sau:
·network: với tham số này, accounting mạng sẽ ghi lại thông tin về PPP, SLIP, ARAP session. Thông tin accounting cung cấp thời gian truy cập và sử dụng tài nguyên mạng tính theo gói hay theo byte.
·connection: với tham số này, connection accounting sẽ log lại thông tin về kết nối bên ngoài được tạo ra từ router hay RAS, gồm cả phiên Telnet hay rlogin. Vấn đề chính là từ bên ngoài; nó cho phép theo dõi kết nối được tạo ra từ RAS cũng như nơi đã tạo ra kết nối.
·exec: với tham số này, EXEC accounting sẽ log thông tin cho biết khi nào thì một user tạo ra một EXEC terminal session trên router. Thông tin gồm địa chỉ IP, số điện thoại (nếu là user gọi vào), thời gian và ngày giờ truy cập. Thông tin có thể có ích trong việc theo dõi những truy cập đến RAS mà không được xác thực.
·command: với tham số này, command accounting sẽ log những thông tin về các câu lệnh đã thực thi trên router. Accounting chứa danh sách các lệnh đã thực thi trong suốt EXEC session, cùng với thời gian thực thi.
·system: với tham số này, system accounting sẽ log những thông tin về hệ thống như thay đổi cấu hình hay reload lại hệ thống.

Như ta thấy, lượng thông tin được giám sát là rất có giá trị. Điều quan trọng là nhà quản trị phải biết theo dõi những thông tin có ích, không nên bám sát những thông tin không cần thiết vì điều đó có thể tạo ra một lượng overhead rất lớn của tài nguyên mạng.

Tham số how-to-track có thể gồm:

·start-stop: tùy chọn này gởi các accounting record khi tiến trình khởi tạo. Điều này được gởi đi như là một tiến trình nền tảng và yêu cầu người dùng được khởi tạo mà không có bất kì độ trễ nào. Khi tiến trình của user hoàn tất, thời gian kết thúc và thông tin sẽ được gửi đến AAA database. Tùy chọn này là cần thiết khi có yêu cầu cho biết thời gian mà user đã dùng cũng như thời gian còn lại mà user được phép sử dụng.
·stop-only: tùy chọn này gửi thông tin được tập hợp lại dựa trên tham số what-to-track khi tiến trình của user kết thúc. Tùy chọn này sử dụng chỉ khi thông tin what-to-track là cần thiết.
·wait-start: tùy chọn này không cho phép tiến trình người dùng khởi tạo trước khi một ACK được nhận từ accounting database của RAS. Tham số này thường quan trọng khi sự kiện giám sát có thể bị mất kết nối với accounting database.

Phần cuối cùng của thông tin cần thiết cho RAS hay router đó là nơi mà thông tin được giám sát gởi đến. Tham số where-to-send-the-information có thể là:
·tacacs+: khi tùy chọn này được sử dụng, thông tin được gửi đến TACACS+ server.
·radius: khi tùy chọn này được sử dụng thì thông tin được gửi đến RADIUS server database. Việc cài đặt hiện tại không hỗ trợ đặc tính này.

Ví dụ:

Router(config)#aaa accounting command 15 start-stop tacacs+Router(config)#aaa accounting connection start-stop tacacs+Router(config)#aaa accounting system wait-start tacacs+ Ở dòng đầu tiên, accounting được kích hoạt cho phép sử dụng tất cả các câu lệnh với user có mức phân quyền là 15. Dòng thứ hai sẽ log cơ sở dữ liệu khi một kết nối của user bắt đầu hay kết thúc. Dòng cuối cho thấy bất cứ sự kiện nào trong hệ thống như là thay đổi cấu hình hay reload lại đều được giám sát bởi thời gian bắt đầu và kết thúc.

Tham số wait-start đảm bảo rằng chỉ khi hệ thống được báo nhận ACK thì sự kiện mới khởi tạo. Vấn đề chính ở đây là nếu sự kiện là thao tác reload lại router, thì cần chú ý rằng sự kiện được log và được xác nhận ACK trước khi router reload lại. Nếu thông điệp bị mất trong khi truyền, sự kiện sẽ được ghi lại.
Vấn đề cơ bản của accounting là accounting record được gửi đến TACACS+ server hoặc RADIUS server. Thêm vào đó, các record được giám sát nên được ghi lại vào router với câu lệnh AAA accounting.

Accounting có tác dụng rất mạnh để quản lý tài nguyên mạng; tuy nhiên, nó cũng là một con dao hai lưỡi. Càng thống kê nhiều, càng nhiều tài nguyên được sử dụng. Tham số stop-only chỉ nên sử dụng khi thời gian kết thúc là không cần thiết.

**mystery83** · 18-10-2008, 12:17 PM

con cau hinh tren AP1420 va C2960 thi se cau hinh nhu the nao ?anh admin chi giup?
thank admin

**phamhiepst** · 04-07-2012, 09:39 AM

Với mô hình thế này, AAA Server sử dụng CISCO ACS. Khai báo user và IP gán cho client trong CISCO ACS. Cho client tiến hành đăng nhập. Việc chứng thực theo capture thì đã SUCCESS và trên ACS cũng đã bắt đầu accouting. Nhưng kiểm tra lại thì CLIENT vẫn chưa có IP. Mong mọi người giúp đỡ

Cấu hình BRAS:

Code:

!
hostname BRAS
!
aaa new-model
!
!
aaa authentication ppp default group radius local
aaa authorization network default group radius local 
aaa accounting network default start-stop group radius
aaa session-id common
ip subnet-zero
!
!
!
ip cef
ip audit po max-events 100
vpdn enable
!
vpdn-group ADSL-SERVICE
 accept-dialin
  protocol pppoe
  virtual-template 1
!
username user1 password 0 user123
username user2 password 0 user123
username user3 password 0 user123
!
interface Loopback0
 ip address 205.1.1.1 255.255.255.255
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
 pppoe enable
!
interface FastEthernet1/0
 ip address 172.16.0.1 255.255.255.252
 duplex auto
 speed auto
!
terface Virtual-Template1
 ip unnumbered Loopback0
 peer default ip address pool CLIENT
 ppp authentication chap
 ppp ipcp dns 8.8.8.8 8.8.4.4
!
router ospf 1
 log-adjacency-changes
 redistribute connected subnets
 network 210.245.24.0 0.0.0.3 area 0
!
ip local pool CLIENT 205.1.1.2 205.1.1.100
ip classless
no ip http server
no ip http secure-server
!
no cdp advertise-v2
!
radius-server host 172.16.0.2 auth-port 1645 acct-port 1646 key 123456
!
gatekeeper
 shutdown
!
!
line con 0
 stopbits 1
line aux 0
 stopbits 1
line vty 0 4
!
end

Announcement

Cấu hình AAA

Cấu hình AAA

Comment

Comment

Comment