Tweet
Sử dụng CLI để Khắc Phục Sự Cố AAA Trên Router Cisco
Một công cụ hữu ích khi khắc phục sự cố AAA (Authentication, Authorization, Accounting) trên các router Cisco là lệnh debug. Bạn có thể sử dụng ba lệnh debug riêng biệt để kiểm tra từng khía cạnh cụ thể của AAA:
Để tắt gỡ lỗi cho bất kỳ chức năng nào, sử dụng cú pháp no trước lệnh, ví dụ:
nginx
Copy
Edit
no debug aaa authentication
Nếu bạn muốn tắt tất cả các tiến trình gỡ lỗi, dùng lệnh:
css
Copy
Edit
undebug all
hoặc
pgsql
Copy
Edit
no debug all
🔍 Ví dụ thực tế: Kiểm tra đăng nhập và phân quyền
Dưới đây là ví dụ 6-27 minh họa cách gỡ lỗi quá trình xác thực khi đăng nhập, ủy quyền cấp độ EXEC, và kiểm soát lệnh cấp độ 15:
plaintext
Copy
Edit
Router# debug aaa authentication Router# debug aaa authorization Router# debug aaa accounting Router# terminal monitor Router# exit
Sau đó, khi người dùng thử đăng nhập từ xa qua SSH hoặc Telnet, màn hình sẽ hiển thị thông báo chi tiết:
plaintext
Copy
Edit
AAA/AUTHEN/LOGIN (0000000F): Pick method list 'default' AAA/AUTHEN/LOGIN (0000000F): Method 1, RADIUS AAA/AUTHEN/LOGIN (0000000F): Authentication OK AAA/AUTHOR/EXEC (0000000F): Processing Exec authorization AAA/AUTHOR/CMD (00000010): Processing Command authorization for command 'show running-config'
⚠ Mẹo khi sử dụng debug
Một công cụ hữu ích khi khắc phục sự cố AAA (Authentication, Authorization, Accounting) trên các router Cisco là lệnh debug. Bạn có thể sử dụng ba lệnh debug riêng biệt để kiểm tra từng khía cạnh cụ thể của AAA:
- debug aaa authentication: Sử dụng để hiển thị thông điệp gỡ lỗi liên quan đến xác thực người dùng (authentication).
- debug aaa authorization: Hiển thị thông điệp gỡ lỗi liên quan đến ủy quyền hành động (authorization).
- debug aaa accounting: Hiển thị thông điệp gỡ lỗi liên quan đến ghi nhận hoạt động (accounting).
📌 Các lệnh này đều được thực hiện ở chế độ EXEC đặc quyền (privileged EXEC mode).
Để tắt gỡ lỗi cho bất kỳ chức năng nào, sử dụng cú pháp no trước lệnh, ví dụ:
nginx
Copy
Edit
no debug aaa authentication
Nếu bạn muốn tắt tất cả các tiến trình gỡ lỗi, dùng lệnh:
css
Copy
Edit
undebug all
hoặc
pgsql
Copy
Edit
no debug all
🔍 Ví dụ thực tế: Kiểm tra đăng nhập và phân quyền
Dưới đây là ví dụ 6-27 minh họa cách gỡ lỗi quá trình xác thực khi đăng nhập, ủy quyền cấp độ EXEC, và kiểm soát lệnh cấp độ 15:
plaintext
Copy
Edit
Router# debug aaa authentication Router# debug aaa authorization Router# debug aaa accounting Router# terminal monitor Router# exit
Sau đó, khi người dùng thử đăng nhập từ xa qua SSH hoặc Telnet, màn hình sẽ hiển thị thông báo chi tiết:
plaintext
Copy
Edit
AAA/AUTHEN/LOGIN (0000000F): Pick method list 'default' AAA/AUTHEN/LOGIN (0000000F): Method 1, RADIUS AAA/AUTHEN/LOGIN (0000000F): Authentication OK AAA/AUTHOR/EXEC (0000000F): Processing Exec authorization AAA/AUTHOR/CMD (00000010): Processing Command authorization for command 'show running-config'
🧠 Giải thích:
- AUTHEN/LOGIN: Gỡ lỗi xác thực khi người dùng đăng nhập.
- AUTHOR/EXEC: Gỡ lỗi việc cấp quyền truy cập vào chế độ EXEC.
- AUTHOR/CMD: Gỡ lỗi việc kiểm tra quyền thực thi lệnh cụ thể.
⚠ Mẹo khi sử dụng debug
- Gỡ lỗi (debug) có thể tiêu tốn nhiều CPU, đặc biệt trên thiết bị đang vận hành thực tế, vì vậy nên sử dụng cẩn thận.
- Trước khi dùng debug trên thiết bị đang hoạt động, nên chuyển log đến vty line hoặc syslog server thay vì chỉ trên console.
- Nhớ dùng terminal monitor nếu bạn đang SSH vào router, để có thể thấy được kết quả debug.