Thông tin tài liệu
CẤU HÌNH AAA - Việc cấu hình AAA được thực hiện theo ba bước như sau: Bước 1: Bật tính năng cho phép cấu hình AAA trên router. Trong suốt quá trình xác định AAA, router phải cấu hình sao cho nó luôn nói chuyện được với TACACS/RADIUS server. Bước 2: Xác định người nào sẽ được xác thực, được cấp quyền như thế nào, và cái gì sẽ giám sát cơ sở dữ liệu. Bước 3: Cho phép hoặc định nghĩa phương thức trên giao tiếp. - Các phần tiếp theo sẽ nói một cách chi tiết cách thức bật chức năng AAA (bước 1), cách thức xác định phương thức để xác thực, cấp quyền, và tính cước (bước 2), và cách thức xác định AAA trên một interface (bước 3). Để cho gọn và dễ dàng hiểu hơn, ta có thể gộp hai bước 2 và 3 lại làm một. - Chú ý rằng một khi AAA đã được cho phép trên router, bất kì interface và phương thức kết nối nào cũng phải định nghĩa hoặc không cho phép truy cập vào. Do đó, điều quan trọng nhất là phải tạo một “cánh cửa hậu” (back door) hay là cách thức truy cập cục bộ (local) trong suốt quá trình triển khai ban đầu để bảo đảm rằng router luôn có thể truy cập được nếu ta quên những gì đã cấu hình trước đó. 1. Bước 1- Cho phép chức năng AAA trên router: - Để cho phép AAA trên router, ta sử dụng câu lệnh sau: Router(config)#aaa new-model - Một khi AAA được cho phép thì router phải chỉ đến địa chỉ source của AAA server. Với TACACS server, thì câu lệnh sẽ là: Router(config)#tacacs-server host host-ip-address [single-connection] Router(config)#tacacs-server key serverkey Tham số host-ip-address xác định địa chỉ của TACACS server. Tham số single-connection cho biết router duy trì một kết nối đơn trong suốt phiên làm việc giữa router và AAA server. - Một password chung được dùng giữa access router và AAA server để bảo mật thông tin. Ví dụ, câu lệnh cho phép thiết lập password trên router như sau: Router(config)#tacacs-server key cisco Password được chọn phải giống password cấu hình như trên AAA server. Password phân biệt kí tự hoa, kí tự thường. - Quá trình cho phép AAA trên RADIUS server cũng tương tự như TACACS, chủ yếu gồm các câu lệnh sau: Router(config)#aaa new-model Router(config)#radius-server host host-ip-address [single-connection] Router(config)#radius-server key serverkey 2. Bước 2 và bước 3 - Xác thực, cấp quyền và tính cước: 2.1. Xác thực (authentication): 2.1.1. AAA Authentication: - Một khi đã cho phép AAA trên router, nhà quản trị có thể xác định cách thức dùng để xác thực. Vấn đề chủ yếu ở đây là nhà quản trị có cách thức truy cập vào router nếu AAA server bị down. Nếu không cung cấp cách truy cập dự phòng thì có thể dẫn đến mất kết nối với router và ta có thể không thể truy cập vào cổng console được. Do đó ta phải luôn cẩn thận để cung cấp cách thức cấu hình truy cập cục bộ cho bất kì sự cài đặt AAA nào. - Cú pháp để cấu hình AAA trên router có thể rất khó nhớ. Do đó ta phải phân chia ra nhiều trường hợp để có thể dễ hiểu hơn. Ta có thể xét các phương pháp cụ thể như login, enable, arap, để xem xét cách thức xác thực người dùng trên router. - Câu lệnh tổng quát cho xác thực là: aaa authentication service-type {default | list-name} method1 [method2] [method3] [method4] Trong đó: service-type là một trong các cách truy cập như login, enable, arap ppp, nasi. Tham số tiếp theo là từ khóa default hoặc tên một danh sách. Tên danh sách có thể là một từ ảo bất kì nào đó ngoại trừ từ default, và được dùng như là tên của một danh sách các phương pháp xác thực. Tham số method1, method2, method3, method4 được dùng để xác định thứ tự xác thực. Ta có thể tham khảo các phương pháp xác thực trong phần sau. - Các cách truy cập được xác thực như sau: • aaa authentication login: câu lệnh này trả lời cho câu hỏi: “Tôi có thể xác thực khi login vào hệ thống như thế nào?” • aaa authentication enable: câu lệnh này trả lời cho câu hỏi:”Người dùng có thể đi vào chế độ thực thi (exec privilege) hay không?” • aaa authentication arap: câu lệnh này trả lời cho câu hỏi: “Có phải người dùng giao thức ARAP sử dụng TACACS/RADIUS hay không?” • aaa authentication ppp: câu lệnh này trả lời cho câu hỏi: “Nếu người dùng đến từ kết nối PPP thì sẽ sử dụng phương pháp nào?” • aaa authentication nasi: câu lệnh này trả lời cho câu hỏi: “Nếu người dùng đến từ NASI thì sẽ sử dụng phương pháp nào?” 2.1.2. AAA Authentication Login: - Phương pháp xác thực được sử dụng trong suốt tiến trình login là gì? Câu hỏi đó được giải quyết trong câu lệnh sau: aaa authentication login {default | list-name} method1 [method2] [method3] [method4] Từ khóa default cho biết router không sử dụng bất kì listname nào trên interface. Nếu có một listname đã được xác định, thì login có thể theo điều khiển trong listname đó. Ví dụ câu lệnh sau: aaa authentication ppp myaaa argument1 argument2 argument3 xác định cách thức list myaaa được chấp nhận. Một interface xác định là sử dụng cách xác thực myaa. Các tham số theo sau có thể là: [enable|line|local|none|tacacs+|radius|guest] - Mỗi một tham số xác định một cách xác thực riêng như sau: • line: phương pháp này xác định sử dụng password để xác thực vào interface. Câu lệnh này được sử dụng trong câu lệnh login và password trong từng line (console, vty, ) • enable: phương pháp này xác định rằng sẽ sử dụng câu lệnh enable password để xác thực trên interface. Việc xác thực được thực hiện bằng việc so sánh password người dùng nhập vào với password trong câu lệnh enable password hay enable secret của router. • local: phương pháp này xác định xác thực bằng việc sử dụng cặp username yyyy password xxxx trên router. • none: phương pháp này xác định rằng không cần sử dụng phương pháp xác thực nào cả. • tacacs+: phương pháp này xác định sử dụng TACACS server để xác thực. • radius: phương pháp này xác định sử dụng RADIUS server để xác thực. - Sau khi cấu hình authentication, ta có thể chỉ rõ interface hoặc line sẽ được xác thực cụ thể: Router(config)#line con 0 Router(config-line)#login authentication myaaa Ví dụ: Router(config)#aaa authentication login myaaa tacacs+ radius local Router(config)#aaa authentication login default tacacs+ Router(config)#line vty 0 4 Router(config-line)#login authentication myaaa - Câu lệnh đầu tiên xác định một listname tên là myaaa sử dụng TACACS+ và sau đó là RADIUS và cuối cùng là username/password lưu cục bộ trong router để xác thực. Câu lệnh thứ tư xác định line vty từ 0 đến 4 xác thực sử dụng trong list myaaa. Chú ý rằng nếu một người muốn truy cập vào port console, họ có thể xác thực chỉ bằng TACACS+ bởi vì là mặc định (default) không có câu lệnh xác thực login nào cụ thể trên port console. - Ở ví dụ trên ta thấy thứ tự xác thực là điều rất quan trọng: nếu user thất bại trong việc xác thực với TACACS+, thì user đó sẽ bị từ chối truy cập. Nếu router thất bại trong việc truy cập với TACACS+, thì router sẽ cố gằng thử tiếp xúc với RADIUS server. Vấn đề chính ở đây là phương pháp thứ hai chỉ được sử dụng nếu phương pháp thứ nhất không phù hợp trên router. - Nếu TACACS+ là tùy chọn duy nhất để xác thực thì khi dịch vụ TACACS+ bị down, không ai có thể login vào hệ thống. Nếu các phương thức xác thực là TACACS+ và local thì username/password lưu cục bộ trên router có thể thay thế để sử dụng nhằm tránh trường hợp không thể login vào router. - Thứ tự phương pháp lựa chọn để login vào là rất quan trọng. Thông thường thì local nên được dùng làm phương pháp cuối cùng để cho phép truy cập vào router ít nhất cũng là bằng một cặp username/password cục bộ trên router. 2.1.3. AAA Authentication Enable: - Có câu hỏi đặt ra là: “Phương thức gì được sử dụng nếu một user cố thử truy cập vào privileged mode trên router? Nếu không có phương thức AAA được thiết lập, user phải có enable password. Password này được đòi hỏi bởi Cisco IOS. Nếu AAA được dùng và không thiết lập chế độ mặc định thì người dùng có thể cần enable password để truy cập vào chế độ privileged mode. - Cấu trúc của AAA tương tự như trong câu lệnh login authentication: aaa authentication enable {default | list-name} method1 [method2] [method3] [method4] Trong đó các tham số có ý nghĩa tương tự như trong câu lệnh aaa authentication login. - Các phương pháp dùng cho câu lệnh trên là: • enable: phương pháp này xác định rằng sẽ sử dụng câu lệnh enable password để xác thực trên interface. Việc xác thực được thực hiện bằng việc so sánh password người dùng nhập vào với password trong câu lệnh enable password hay enable secret của router. • line: phương pháp này xác định sử dụng password để xác thực vào interface. Câu lệnh này được sử dụng trong câu lệnh login và password trong từng line (console, vty, ) • none: phương pháp này xác định rằng không cần sử dụng phương pháp xác thực nào cả. • tacacs+: phương pháp này xác định sử dụng TACACS server để xác thực. • radius: phương pháp này xác định sử dụng RADIUS server để xác thực. - Ví dụ: Router(config)#aaa authentication enable myaaa tacacs+ enable Câu lệnh trên xác định việc truy cập trở lại vào chế độ privilege mode. Trong đó, TACACS+ sẽ được kiểm tra đầu tiên, và chỉ khi TACACS+ trả về lỗi (error) hoặc trạng thái không phù hợp (unavailable) thì lúc đó mới kiểm tra enable password. Khi nhiều phương pháp được thiết lập cho AAA, thì phương pháp thứ hai chỉ được dùng nếu phương pháp trước đó trả về một lỗi (error) hoặc không phù hợp (unavailable). Nếu nó trả về thông điệp “thất bại” (fail) thì router sẽ không thử xác thực thêm phương pháp tiếp theo trong listname nữa. 2.1.4. AAA Authentication ARAP: - Câu lệnh aaa authentication arap được sử dụng kết hợp với lệnh arap authentication trong việc cấu hình line. Nó mô tả cách thức mà ARAP user đang thử truy cập vào router. Cú pháp câu lệnh như sau: aaa authentication arap {default | list-name} method1 [method2] [method3] [method4] - Các phương pháp được dùng trong câu lệnh này: • line: phương pháp này xác định sử dụng password để xác thực vào interface. Câu lệnh này được sử dụng trong câu lệnh login và password trong từng line (console, vty, ) • local: phương pháp này xác định xác thực bằng việc sử dụng cặp username yyyy password xxxx trên router. • tacacs+: phương pháp này xác định sử dụng TACACS server để xác thực. • guest: phương pháp này cho phép login vào nếu username là guest. Tùy chọn này chỉ phù hợp với ARAP. • auth-guest: phương pháp này cho phép khách chỉ được login vào nếu user đã login vào chế độ EXEC trên router và đang khởi tạo tiến trình ARAP. - Chú ý rằng mặc định thì khách viếng thăm không thể login thông qua ARAP khi ta khởi tạo AAA. Câu lệnh aaa authentication arap với hai từ khóa guest hoặc auth-guest sẽ cần thiết để khách truy cập khi sử dụng AAA. - Ví dụ: Router(config)#aaa authentication arap myaaa tacacs+ local Router(config)#line 1 12 Router(config-line)#arap authentication myaaa Ở ví dụ trên, câu lệnh đầu tiên xác định rằng dùng xác thực TACACS+ trước tiên, sau đó mới dùng username/password cục bộ trên router nếu TACACS+ trả về một lỗi (error) hoặc không phù hợp (unavailable). Từ line 1 đến line 12 sẽ sử dụng xác thực trong listname vừa tạo. 2.1.5. AAA Authentication PPP: - Câu lệnh aaa authentication ppp được sử dụng kết hợp với lệnh ppp authentication trong việc cấu hình line để mô tả phương thức được sử dụng khi một user sử dụng PPP muốn truy cập vào router. Cú pháp câu lệnh như sau: aaa authentication ppp {default | list-name} method1 [method2] [method3] [method4] - Các phương pháp được dùng trong câu lệnh này: • local: phương pháp này xác định xác thực bằng việc sử dụng cặp username yyyy password xxxx trên router. • none: phương pháp này xác định rằng không cần sử dụng phương pháp xác thực nào cả. • tacacs+: phương pháp này xác định sử dụng TACACS server để xác thực. • radius: phương pháp này xác định sử dụng RADIUS server để xác thực. • krb5: phương pháp này dùng Kerberos 5 chỉ phù hợp cho thao tác (operation) PPP và các liên lạc với một Kerberos server đã được thiết lập. Xác thực login sử dụng Kerberos chỉ làm việc với giao thức PPP PAP. • if-needed: phương pháp này ngừng xác thực nếu một user đã được xác thực trước đó trên line tty. - Ví dụ: Router(config)#aaa authentication ppp myaaa tacacs+ local Router(config)#line 1 12 Router(config-line)#ppp authentication myaaa - Cùng một dạng cú pháp được sử dụng thông qua nhiều câu lệnh AAA. Với câu lệnh ppp được thiết lập, thì câu lệnh trên interface là ppp authentication option(s) với option(s) là các tùy chọn pap, chap, pap chap, chap pap, ms-chap. Thêm vào đó, các phương pháp trong AAA có thể sử dụng. Ở ví dụ trên thì TACACS+ sẽ được kiểm tra trước tiên, sau đó username/password cục bộ trên máy sẽ được sử dụng nếu TACACS+ không phù hợp hay trả về một lỗi (error). 2.1.6. AAA Authentication ANSI: - Câu lệnh aaa authentication ansi được sử dụng kết hợp với lệnh ansi authentication trong việc cấu hình line để mô tả phương thức được sử dùng khi một NASI user muốn truy cập vào router.Cú pháp câu lệnh như sau: aaa authentication ansi {default | list-name} method1 [method2] [method3] [method4] - Các phương pháp được dùng trong câu lệnh này: • local: phương pháp này xác định xác thực bằng việc sử dụng cặp username yyyy password xxxx trên router. • enable: phương pháp này xác định rằng sẽ sử dụng câu lệnh enable password để xác thực trên interface. Việc xác thực được thực hiện bằng việc so sánh password người dùng nhập vào với password trong câu lệnh enable password hay enable secret của router. • line: phương pháp này xác định sử dụng password để xác thực vào interface. Câu lệnh này được sử dụng trong câu lệnh login và password trong từng line (console, vty, ) • none: phương pháp này xác định rằng không cần sử dụng phương pháp xác thực nào cả. • tacacs+: phương pháp này xác định sử dụng TACACS server để xác thực. - Khi AAA được cho phép, tất cả các line và port trên router đều sử dụng AAA, vì thế default group nên cấu hình cho bất kì sự truy cập nào mà router nhìn thấy được. - Ví dụ: Router(config)#aaa authentication ansi myaaa tacacs+ local Router(config)#line 1 12 Router(config-line)#ansi authentication myaaa Với các phương pháp truy cập khác, khi một user sử dụng ANSI thì sẽ bị yêu cầu xác thực TACACS+ trước tiên và sau đó sẽ sử dụng username/password cục bộ nếu TACACS+ bị lỗi hay không thích hợp. 2.2. Cấp quyền (Authorization): - Một khi user đã được xác thực, thì ta cần giới hạn những quyền mà họ được phép sử dụng. Điều đó được thực hiện thông qua câu lệnh aaa authorization. Những giới hạn có thể áp đặt vào hoạt động hay dịch vụ được yêu cầu bởi router. Với việc cấp thẩm quyền, AAA thiết lập một subadministrator để cho phép truy cập vào chế độ configuration mode, nhưng với khả năng là chỉ có thể sử dụng một tập nhỏ các lệnh được phép. Mặc dù có thể, việc cấu hình router sẽ bị hạn chế. - Cú pháp dùng để cấp quyền khá đơn giản, nó xác định hoạt động hay dịch vụ (network, exec, command level, config-command, reverse-access) được sử dụng cho user. Dạng tổng quát của câu lệnh cấp thẩm quyền là: aaa authorization service-type {default | list-name} method1 [method2] [method3] [method4] Câu lệnh trên có ý nghĩa như sau: aaa authorization do-what? check-how? Mệnh đề do-what? có thể là: • network: tham số này dùng phương pháp check-how? để cấp quyền và thiết lập các yêu cầu dịch vụ có liên quan đến mạng như là SLIP, PPP. • exec: tham số này dùng phương pháp check-how? để cấp quyền nếu user được phép tạo hoặc chạy trong chế độ EXEC shell. Nếu TACACS+ hoặc RADIUS được sử dụng, thì có thể cơ sở dữ liệu sẽ trả về một thông tin với câu lệnh tự động cho người dùng. • command level: tham số này dùng phương pháp check-how? để cấp quyền cho các lệnh tại mức phân quyền xác định trước. Mức phân quyền (privilege) có giá trị từ 1 đến 15. • reverse-access: tham số này dùng phương pháp check-how? để cấp quyền cho phép thực thi reverse telnet. Mệnh đề check-how? giống như các phương pháp dùng trong việc xác thực. check-how? chỉ đơn giản chỉ ra xác thực nên tiến hành ở đâu. Tham số check-how? có thể thuộc bất kì loại nào trong các dạng sau: • tacacs+: trong tham số này, thẩm quyền TACACS+ sẽ được tiến hành trước bằng cặp giá trị thuộc tính AV (attribute-value) đến từng user riêng biệt. Khi một user muốn làm một do-what? thì cơ sở dữ liệu TACACS sẽ được kiểm tra. • if-authenticated: với tham số này, nếu một user được xác thực rồi, thì họ được phép thiết lập chức năng. Chú ý rằng ở đây không kiểm tra thẩm quyền mà chỉ cần user có trong cơ sở dữ liệu là đã phù hợp. • none: với tham số này, router không đòi hỏi thông tin thẩm quyền cho do-what?. Thẩm quyền không được thiết lập và một câu truy vấn sẽ được gởi đến cơ sở dữ liệu. • local: với tham số này, router hoặc access server sẽ kiểm tra username/password được cấu hình ở chế độ configure mode lưu cục bộ trong router. • radius: với tham số này, thẩm quyền RADIUS sẽ được thực hiện bằng việc gắn các thuộc tính cho username trên RADIUS server. Mỗi username cùng với thuộc tính được lưu trữ bên trong RADIUS database. • krb5-instance: với tham số này, router sẽ truy vấn đến Kerberos server để yêu cầu cấp thẩm quyền. Thẩm quyền sẽ được lưu trong Kerberos server. - Nhìn chung, thẩm quyền có thể cài đặt theo nhiều cách. Vấn đề là tìm kiếm xem thử trong database hay tài nguyên nào có cặp AV hay thuộc tính để cung cấp cho router câu trả lời khi có yêu cầu cấp thẩm quyền. - Ví dụ: Router(config)#aaa new-model Router(config)#aaa authentication login myaaa tacacs+ local Router(config)#aaa authorization exec tacacs+ local Router(config)#aaa authorization command 1 tacacs+ local Router(config)#aaa authorization command 15 tacacs+ local Trong ví dụ trên, AAA được cho phép với câu lệnh aaa new-model, phương thức xác thực được xác định với tên là “myaaa”. Dòng thứ 3 xác định rằng nếu một user đã login vào rồi thì có thể truy cập trực tiếp vào EXEC mode. TACACS+ sẽ được xét xem thử user có được phép thiết lập chức năng hay không? Hai dòng cuối tương tự nhau. Nếu user đã login vào rồi sẽ được kiểm tra trong TACACS database xem xét mức phân quyền của user đó. Các mức phân quyền có thể có trên router là từ 1 – 15. 2.3. Tính cước (Accounting): - AAA accounting có thể cung cấp thông tin liên quan đến hoạt động của user và ghi vào database. Đây là một khái niệm rất hữu dụng với các dịch vụ Internet. Ngày nay nó càng phổ biến hơn cho khi các ISP thiết lập cho khách hàng thời gian truy cập không hạn chế. Tuy nhiên, điều này không làm hạn chế khả năng nhà quản trị giám sát các mức phân quyền không được cấp phát trước cũng như tính an toàn cho tài nguyên hệ thống. Thêm vào đó, accounting có thể giám sát việc sử dụng tài nguyên để có thể cấp phát cho hệ thống tốt hơn. - Accounting thường được sử dụng cho việc tính cước và lưu thông tin hoạt động của khách hàng. Cú pháp tổng quát của câu lệnh aaa accounting là: aaa accounting event-type {default | list-name} {start-stop | wait-start | stop-only | none} method1 [method2] Câu lệnh trên có dạng: aaa accounting what-to-track how-to-track where-to-send-the-information Tham số what-to-track như sau: • network: với tham số này, accounting mạng sẽ ghi lại thông tin về PPP, SLIP, ARAP session. Thông tin accounting cung cấp thời gian truy cập và sử dụng tài nguyên mạng tính theo gói hay theo byte. • connection: với tham số này, connection accounting sẽ log lại thông tin về kết nối bên ngoài được tạo ra từ router hay RAS, gồm cả phiên Telnet hay rlogin. Vấn đề chính là từ bên ngoài; nó cho phép theo dõi kết nối được tạo ra từ RAS cũng như nơi đã tạo ra kết nối. • exec: với tham số này, EXEC accounting sẽ log thông tin cho biết khi nào thì một user tạo ra một EXEC terminal session trên router. Thông tin gồm địa chỉ IP, số điện thoại (nếu là user gọi vào), thời gian và ngày giờ truy cập. Thông tin có thể có ích trong việc theo dõi những truy cập đến RAS mà không được xác thực. • command: với tham số này, command accounting sẽ log những thông tin về các câu lệnh đã thực thi trên router. Accounting chứa danh sách các lệnh đã thực thi trong suốt EXEC session, cùng với thời gian thực thi. • system: với tham số này, system accounting sẽ log những thông tin về hệ thống như thay đổi cấu hình hay reload lại hệ thống. - Như ta thấy, lượng thông tin được giám sát là rất có giá trị. Điều quan trọng là nhà quản trị phải biết theo dõi những thông tin có ích, không nên bám sát những thông tin không cần thiết vì điều đó có thể tạo ra một lượng overhead rất lớn của tài nguyên mạng. Tham số how-to-track có thể gồm: • start-stop: tùy chọn này gởi các accounting record khi tiến trình khởi tạo. Điều này được gởi đi như là một tiến trình nền tảng và yêu cầu người dùng được khởi tạo mà không có bất kì độ trễ nào. Khi tiến trình của user hoàn tất, thời gian kết thúc và thông tin sẽ được gửi đến AAA database. Tùy chọn này là cần thiết khi có yêu cầu cho biết thời gian mà user đã dùng cũng như thời gian còn lại mà user được phép sử dụng. • stop-only: tùy chọn này gửi thông tin được tập hợp lại dựa trên tham số what-to-track khi tiến trình của user kết thúc. Tùy chọn này sử dụng chỉ khi thông tin what-to-track là cần thiết. • wait-start: tùy chọn này không cho phép tiến trình người dùng khởi tạo trước khi một ACK được nhận từ accounting database của RAS. Tham số này thường quan trọng khi sự kiện giám sát có thể bị mất kết nối với accounting database. - Phần cuối cùng của thông tin cần thiết cho RAS hay router đó là nơi mà thông tin được giám sát gởi đến. Tham số where-to-send-the-information có thể là: • tacacs+: khi tùy chọn này được sử dụng, thông tin được gửi đến TACACS+ server. • radius: khi tùy chọn này được sử dụng thì thông tin được gửi đến RADIUS server database. Việc cài đặt hiện tại không hỗ trợ đặc tính này. - Ví dụ: Router(config)#aaa accounting command 15 start-stop tacacs+ Router(config)#aaa accounting connection start-stop tacacs+ Router(config)#aaa accounting system wait-start tacacs+ - Ở dòng đầu tiên, accounting được kích hoạt cho phép sử dụng tất cả các câu lệnh với user có mức phân quyền là 15. Dòng thứ hai sẽ log cơ sở dữ liệu khi một kết nối của user bắt đầu hay kết thúc. Dòng cuối cho thấy bất cứ sự kiện nào trong hệ thống như là thay đổi cấu hình hay reload lại đều được giám sát bởi thời gian bắt đầu và kết thúc. - Tham số wait-start đảm bảo rằng chỉ khi hệ thống được báo nhận ACK thì sự kiện mới khởi tạo. Vấn đề chính ở đây là nếu sự kiện là thao tác reload lại router, thì cần chú ý rằng sự kiện được log và được xác nhận ACK trước khi router reload lại. Nếu thông điệp bị mất trong khi truyền, sự kiện sẽ được ghi lại. - Vấn đề cơ bản của accounting là accounting record được gửi đến TACACS+ server hoặc RADIUS server. Thêm vào đó, các record được giám sát nên được ghi lại vào router với câu lệnh AAA accounting. Accounting có tác dụng rất mạnh để quản lý tài nguyên mạng; tuy nhiên, nó cũng là một con dao hai lưỡi. Càng thống kê nhiều, càng nhiều tài nguyên được sử dụng. Tham số stop-only chỉ nên sử dụng khi thời gian kết thúc là không cần thiết. AAA là một mô hình dịch vụ, triển khai ba dịch vụ trong một hệ thống mạng là authentication (xác thực), authorization (thẩm quyền) và accounting (tính cước). Mô hình dịch vụ này thường được triển khai dưới hình thức client/server. Trong đó, các AAA client thường là các thiết bị mạng có nhu cầu triển khai ba dịch vụ trên (xác thực, thẩm quyền, ). Để triển khai được AAA trong một hệ thống mạng, cần có một AAA server. Sản phẩm được bài viết trên mô tả để triển khai AAA server là Cisco secure ACS. Trong mô hình dịch vụ trên, các thiết bị thường đóng vai trò AAA client có thể là router, switch, firewall, RAS server. BẠn viewwow có đề cập đến NAS. Đây là tên gọi khác của commnication server. Hai giao thức TẤCACS+ và RADIUS là hai giao thức được dùng để các AAA client giao tiếp với AAA server. TAcacs là giao thức của Cisco, chạy trên TCP. radius là giao thức mở. Chạy UDP. Trong câu hỏi của bạn viewwow, ta vẫn cần thiết cấu hình các router hoặc các thiết bị mạng của ta như là một AAA client. Tùy thuộc vào giao thức nói chuyện giữa router và AAA server, ta sẽ cấu hình tacacs hay radius trên router. Trong bài viết này, bạn vietwow cần chú ý đến cách dùng các từ giao thức, dịch vụ, clients, server 2.1.Cấu hình AAA Việc cấu hình AAA [1] được thực hiện theo ba bước như sau: Bước 1: Bật tính năng cho phép cấu hình AAA trên router. Trong suốt quá trình xác định AAA, router phải cấu hình sao cho nó luôn nói chuyện được với TACACS/RADIUS server. Bước 2: Xác định người nào sẽ được xác thực, được cấp quyền như thế nào, và cái gì sẽ giám sát cơ sở dữ liệu. Bước 3: Cho phép hoặc định nghĩa phương thức trên giao tiếp. Các phần tiếp theo sẽ nói một cách chi tiết cách thức bật chức năng AAA (bước 1), cách thức xác định phương thức để xác thực, cấp quyền, và tính cước (bước 2), và cách thức xác định AAA trên một interface (bước 3). Để cho gọn và dễ dàng hiểu hơn, ta có thể gộp hai bước 2 và 3 lại làm một. Chú ý rằng một khi AAA đã được cho phép trên router, bất kì interface và phương thức kết nối nào cũng phải định nghĩa hoặc không cho phép truy cập vào. Do đó, điều quan trọng nhất là phải tạo một “cánh cửa hậu” (back door) hay là cách thức truy cập cục bộ (local) trong suốt quá trình triển khai ban đầu để bảo đảm rằng router luôn có thể truy cập được nếu ta quên những gì đã cấu hình trước đó. 2.1.1.Bước 1- Cho phép chức năng AAA trên router Để cho phép AAA trên router, ta sử dụng câu lệnh sau: Router(config)#aaa new-model Một khi AAA được cho phép thì router phải chỉ đến địa chỉ source của AAA server. Với TACACS server, thì câu lệnh sẽ là: Router(config)#tacacs-server host host-ip-address [single- connection]Router(config)#tacacs-server key serverkey Tham số host-ip-address xác định địa chỉ của TACACS server. Tham số single-connection cho biết router duy trì một kết nối đơn trong suốt phiên làm việc giữa router và AAA server. Một password chung được dùng giữa access router và AAA server để bảo mật thông tin. Ví dụ, câu lệnh cho phép thiết lập password trên router như sau: Router(config)#tacacs-server key cisco Password được chọn phải giống password cấu hình như trên AAA server. Password phân biệt kí tự hoa, kí tự thường. Quá trình cho phép AAA trên RADIUS server cũng tương tự như TACACS, chủ yếu gồm các câu lệnh sau: Router(config)#aaa new-modelRouter(config)#radius-server host host-ip-address [single-connection]Router(config)#radius-server key serverkey 2.1.2.Bước 2 và bước 3 - Xác thực, cấp quyền và tính cước 2.1.2.1. Xác thực (authentication) 2.1.2.1.1.AAA Authentication Một khi đã cho phép AAA trên router, nhà quản trị có thể xác định cách thức dùng để xác thực. Vấn đề chủ yếu ở đây là nhà quản trị có cách thức truy cập vào router nếu AAA server bị down. Nếu không cung cấp cách truy cập dự phòng thì có thể dẫn đến mất kết nối với router và ta có thể không thể truy cập vào cổng console được. Do đó ta phải luôn cẩn thận để cung cấp cách thức cấu hình truy cập cục bộ cho bất kì sự cài đặt AAA nào. Cú pháp để cấu hình AAA trên router có thể rất khó nhớ. Do đó ta phải phân chia ra nhiều trường hợp để có thể dễ hiểu hơn. Ta có thể xét các phương pháp cụ thể như login, enable, arap, để xem xét cách thức xác thực người dùng trên router. Câu lệnh tổng quát cho xác thực là: aaa authentication service-type {default | list-name} method1 [method2] [method3] [method4] Trong đó: service-type là một trong các cách truy cập như login, enable, arap ppp, nasi. Tham số tiếp theo là từ khóa default hoặc tên một danh sách. Tên danh sách có thể là một từ ảo bất kì nào đó ngoại trừ từ default, và được dùng như là tên của một danh sách các phương pháp xác thực. Tham số method1, method2, method3, method4 được dùng để xác định thứ tự xác thực. Ta có thể tham khảo các phương pháp xác thực trong phần sau. Các cách truy cập được xác thực như sau: aaa authentication login: câu lệnh này trả lời cho câu hỏi: “Tôi có thể xác thực khi login vào hệ thống như thế nào?” aaa authentication enable: câu lệnh này trả lời cho câu hỏi:”Người dùng có thể đi vào chế độ thực thi (exec privilege) hay không?” aaa authentication arap: câu lệnh này trả lời cho câu hỏi: “Có phải người dùng giao thức ARAP sử dụng TACACS/RADIUS hay không?” aaa authentication ppp: câu lệnh này trả lời cho câu hỏi: “Nếu người dùng đến từ kết nối PPP thì sẽ sử dụng phương pháp nào?” aaa authentication nasi: câu lệnh này trả lời cho câu hỏi: “Nếu người dùng đến từ NASI thì sẽ sử dụng phương pháp nào?” 2.1.2.1.2.AAA Authentication Login [...]... quyền Ví dụ: Router(config) #aaa new-modelRouter(config) #aaa authentication login myaaa tacacs+ localRouter(config) #aaa authorization exec tacacs+ local Router(config) #aaa authorization command 1 tacacs+ localRouter(config) #aaa authorization command 15 tacacs+ local Trong ví dụ trên, AAA được cho phép với câu lệnh aaa new-model, phương thức xác thực được xác định với tên là “myaaa” Dòng thứ 3 xác định... pháp này xác định sử dụng TACACS server để xác thực Khi AAA được cho phép, tất cả các line và port trên router đều sử dụng AAA, vì thế default group nên cấu hình cho bất kì sự truy cập nào mà router nhìn thấy được Ví dụ: Router(config) #aaa authentication ansi myaaa tacacs+ localRouter(config)#line 1 12Router(config-line)#ansi authentication myaaa Với các phương pháp truy cập khác, khi một user sử dụng... server để xác thực Sau khi cấu hình authentication, ta có thể chỉ rõ interface hoặc line sẽ được xác thực cụ thể: Router(config)#line con 0Router(config-line)#login authentication myaaa Ví dụ: Router(config) #aaa authentication login myaaa tacacs+ radius localRouter(config) #aaa authentication login default tacacs+Router(config)#line vty 0 4 Router(config-line)#login authentication myaaa Câu lệnh đầu tiên... mặc định thì khách viếng thăm không thể login thông qua ARAP khi ta khởi tạo AAA Câu lệnh aaa authentication arapvới hai từ khóa guest hoặc auth-guest sẽ cần thiết để khách truy cập khi sử dụng AAA Ví dụ: Router(config) #aaa authentication arap myaaa tacacs+ localRouter(config)#line 1 12Router(config-line)#arap authentication myaaa Ở ví dụ trên, câu lệnh đầu tiên xác định rằng dùng xác thực TACACS+ trước... (unavailable) Từ line 1 đến line 12 sẽ sử dụng xác thực trong listname vừa tạo 2.1.1.1.1 .AAA Authentication PPP Câu lệnh aaa authentication pppđược sử dụng kết hợp với lệnh ppp authentication trong việc cấu hình line để mô tả phương thức được sử dụng khi một user sử dụng PPP muốn truy cập vào router Cú pháp câu lệnh như sau: aaa authentication ppp {default | list-name} method1 [method2] [method3] [method4]... Router(config) #aaa authentication ppp myaaa tacacs+ localRouter(config)#line 1 12Router(config-line)#ppp authentication myaaa Cùng một dạng cú pháp được sử dụng thông qua nhiều câu lệnh AAA Với câu lệnh ppp được thiết lập, thì câu lệnh trên interface là ppp authentication option(s) với option(s) là các tùy chọn pap, chap, pap chap, chap pap, ms-chap Thêm vào đó, các phương pháp trong AAA có thể sử dụng... máy sẽ được sử dụng nếu TACACS+ không phù hợp hay trả về một lỗi (error) 2.1.1.1.2 .AAA Authentication ANSI Câu lệnh aaa authentication ansiđược sử dụng kết hợp với lệnh ansi authentication trong việc cấu hình line để mô tả phương thức được sử dùng khi một NASI user muốn truy cập vào router.Cú pháp câu lệnh như sau: aaa authentication nasi {default | list-name} method1 [method2] [method3] [method4]... (fail) thì router sẽ không thử xác thực thêm phương pháp tiếp theo trong listname nữa 2.1.2.1.4 AAA Authentication ARAP Câu lệnh aaa authentication arapđược sử dụng kết hợp với lệnh arap authentication trong việc cấu hình line Nó mô tả cách thức mà ARAP user đang thử truy cập vào router Cú pháp câu lệnh như sau: aaa authentication arap {default | list-name} method1 [method2] [method3] [method4] Các phương... �2.1.2.1.3 .AAA Authentication Enable Có câu hỏi đặt ra là: “Phương thức gì được sử dụng nếu một user cố thử truy cập vào privileged mode trên router? Nếu không có phương thức AAA được thiết lập, user phải có enable password Password này được đòi hỏi bởi Cisco IOS Nếu AAA được dùng và không thiết lập chế độ mặc định thì người dùng có thể cần enable password để truy cập vào chế độ privileged mode Cấu trúc của AAA. .. sử dụng Điều đó được thực hiện thông qua câu lệnh aaa authorization Những giới hạn có thể áp đặt vào hoạt động hay dịch vụ được yêu cầu bởi router Với việc cấp thẩm quyền, AAA thiết lập một subadministrator để cho phép truy cập vào chế độ configuration mode, nhưng với khả năng là chỉ có thể sử dụng một tập nhỏ các lệnh được phép Mặc dù có thể, việc cấu hình router sẽ bị hạn chế Cú pháp dùng để cấp quyền . CẤU HÌNH AAA - Việc cấu hình AAA được thực hiện theo ba bước như sau: Bước 1: Bật tính năng cho phép cấu hình AAA trên router. Trong suốt quá trình xác định AAA, router phải cấu hình sao. 2.1 .Cấu hình AAA Việc cấu hình AAA [1] được thực hiện theo ba bước như sau: Bước 1: Bật tính năng cho phép cấu hình AAA trên router. Trong suốt quá trình xác định AAA, router phải cấu hình. được. Do đó ta phải luôn cẩn thận để cung cấp cách thức cấu hình truy cập cục bộ cho bất kì sự cài đặt AAA nào. - Cú pháp để cấu hình AAA trên router có thể rất khó nhớ. Do đó ta phải phân chia
Ngày đăng: 25/07/2014, 08:20
Xem thêm: CẤU HÌNH AAA pot
