PDA

View Full Version : Lab AAA BCRAN



admin
19-03-2005, 02:28 PM
I. Giới thiệu cơ bản về AAA.
AAA quản lý hoạt động cơ bản của user qua các thiết bị như Switch, Router…. Nó được sử dụng để xác thực, cấp phát quyền, và loggig hay accounting
1. Authentication (Xác thực)
- Để xác định xem user có quền để truy nhập vào thiết bị hay không.
- Ta có thể cấu hình để enable AAA trên Router hay Switch
Router(config)#aaa new-model
- Ta có thể cấu hình user nội bộ trong thiết bị
Router(config)#username username password password
- Định nghĩa TACACS+ hay RADIUS server : AAA server như:Secure Access Control Server(ACS)

Router(config)#tacacs-server host {hostname | ip-address } [key string]
Ở đây thì key ta cấu hình ở router phải trùng với key cấu hình ở server
- Định nghĩa các phương thức truy nhập vào Router qua cac line (console, vty)
Router(config)#aaa authentication login {default | list-name} method1 [method2…]
Có một phương thức như sau
Tacacs+: Mỗi TACACS+ server được cấu hình thì Router sẽ cố gắng theo trình tự được cấu hình ở trên.
Radius: Tương tự như tacacs
Local: Nó sẽ lấy các user nội bộ bằng lệnh username
Line: Line password có thể được sử dụng cho bất kỳ user nào
- Nếu ta sử dụng default thì nó sẽ áp dụng vào tất cả các line, còn đối với name-list thì ta phải áp dụng nó vào từng line mà ta muốn.
- Áp dụng các phương thức vào Line(console hoặc vty)
Router(config-line)#login authentication {default | list-name}
- Ta cấu hình bảo vệ bằng enable password ở privilege.
Router(config)#aaa authentication enable default method1 [...[method4]]

2. Authorization(Xác định thẩm quyền)
Sau khi xác thực xong thì không phải tất cả các user đều có quyền như nhau mà ta sẽ phân cấp quyền cho các user theo nhiều cấp khác nhau, cho từng mode khác nhau.
Router(config)#aaa authorization {command | configuration | exec | network| reverse-access} {default | list-name} method1 [method2 …]
Command : Server sẽ trả về quyền cho phép user các lệnh có thể ở privilege level
Config-command: Server sẽ trả về quyền cho phép user có thể sử dụng bất kỳ lệnh nào trên thiết bị
Exec: Nó sẽ áp dụng các thuộc tính thích hợp với exec terminal session.
Network: Áp dụng cho các kết nối như SLIP, PPP, kết nối ARAP
Reverse-access: Server sẽ trả về quyền được reverse telnet từ Router.
3. Accounting:Để cho phép server thu thập thông tin từ thiết bị
Router(config)#aaa accounting {system | exec |command | level} {default | list-name} {start-stop | stop-only | wait-start | none } metod1 [method2 …]
System : Cung cấp các sự kiện liên quan đên hệ thống như: reload..
Netword: cung cấp các sự kiện liên quan đến kết nối như : PPP, SLIP, ARAP.
Exec:Cung cấp thông tin về exec của user như địa chỉ ip của user, và thời gian của session.
Start-stop cung cấp sự kiện từ lúc bắt đầu đến lúc kết thúc.
Stop-only: Cung cấp sự kiện chỉ khi kết thúc sự kiện
Wait-start: Các yêu cầu của user chưa đựơc khởi tạo cho đến khi accounting record ack

II. Cấu hình cho Server(ACS)
- Trước hết ta tạo aaa client: Khởi đông AAA server: từ của sổ chính ta kích vào Network configuration thì nó sẽ cho ta cửa sổ sau:
- aaa client hostname: ta gỏ host name của router
- aaa client address: ta gỏ địa chỉ add của router
- Key ta gỏ key trùng với key đã gỏ ở router trong lệnh tacacs-server
- Authentication using: chọn tacacs+(cisco ios) nếu sử dung tacacs

http://vnpro.org/forum/files/labbcran/aaa1.JPG

http://vnpro.org/forum/files/labbcran/aaa2.JPG

- Tiếp theo ta cấu hình cho user: Trước hết ta kích vào user setup: Rồi các bước làm trình tự như sau:

http://vnpro.org/forum/files/labbcran/aaa3.JPG

http://vnpro.org/forum/files/labbcran/aaa4.JPG

http://vnpro.org/forum/files/labbcran/aaa5.JPG

http://vnpro.org/forum/files/labbcran/aaa6.JPG

- Định nghĩa thời gian mà user bị disable hay enable

http://vnpro.org/forum/files/labbcran/aaa7.JPG

- Xác định max pivilege cho user khi sử dụng authorization

http://vnpro.org/forum/files/labbcran/aaa8.JPG

- Xác định password cho user

III. Cấu hình cho router:
1. authentication
Router#show run
Building configuration...

Current configuration : 939 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
aaa new-model “enable aaa”
!
aaa authentication login default group tacacs+ local “ cấu hình authentication cho các line”
aaa authentication enable default group tacacs+ enable “Cấu hình enable cho privilege”
aaa session-id common
enable password cisco
!
username cuong password 0 cisco
!
no ip domain lookup
!
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
full-duplex
!
tacacs-server host 192.168.2.2 key cuong
!
end

2. Authorization local

Router#show run
Building configuration...

Current configuration : 1449 bytes
!
hostname Router
!
aaa new-model
!
aaa authentication login default group tacacs+ local
aaa authentication enable default group tacacs+ enable
aaa authorization exec default local “Cho phép user thực hiện session”
aaa authorization commands 0 default local
aaa authorization commands 7 default local
aaa authorization commands 15 default local
“yêu cầu user authorization ở các level 0,7.,15”
aaa session-id common
enable password cisco
!
username cuong password 0 cisco
username c1 privilege 0 password 0 cisco
username c2 privilege 7 password 0 cisco
username c3 privilege 15 password 0 cisco
memory-size iomem 10
ip subnet-zero
!
!
no ip domain lookup
!
voice call carrier capacity active
!

mta receive maximum-recipients 0

- Ở đây ta thấy user được trả về ở level 7 ta sử dụng lệnh show privilege để kiểm tra
- Ta thấy user chỉ có một số lệnh mà ta đã cấu hình trên router.

interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
full-duplex
!
ip classless
ip http server
tacacs-server host 192.168.2.2
tacacs-server key cuong
call rsvp-sync
!
privilege configure level 7 snmp-server “Các lệnh cho phép ở user ở Privilege level 7”
privilege configure level 7 snmp-server enable
privilege configure level 7 snmp-server host
privilege configure level 7 interface
privilege configure level 7 line
privilege configure level 7 host
privilege exec level 7 ping
privilege exec level 7 config terminal
privilege exec level 7 config config
line con 0
password cisco
logging synchronous
line aux 0
line vty 0 4
password cisco
end
- Kiểm tra bằng các telnet vào từ một host cho ta kết quả sau:

http://vnpro.org/forum/files/labbcran/aaa9.JPG

- Ở đây ta thấy user được trả về ở level 7 ta sử dụng lệnh show privilege để kiểm tra
- Ta thấy user chỉ có một số lệnh mà ta đã cấu hình trên router.

LuckyLuke1986
24-03-2011, 11:26 PM
Xin lỗi thầy có thể upload hình lại được ko ạh

bem_pro
14-04-2011, 02:35 PM
Thầy có bài nào về ACS replication Database và Add hai thằng ACS này vào một aaa server group radius không ạ?

Thấy có thể demo giúp chúng em được không ạ?

Cảm ơn Thầy,

phamminhtuan
17-04-2011, 10:10 AM
Chào bạn,

Bạn xem bài này (http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a0080742f60.sht ml) rồi thử replicate 2 ACS database nhé.

bem_pro
17-04-2011, 03:42 PM
Mình đã cấu hình replicate 2 ACS database thành công rồi, nhưng khi add vào Group AAA và test ngắt kết nối tại con Chính, thì con phụ chỉ có thể authentication login vào thiết bị mạng, còn authen dot1x thì fail.