Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 14 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
14
Dung lượng
30,03 KB
Nội dung
Giới thiệu AAA AAA quản lý hoạt động user qua thiết bị Switch, Router… Nó sử dụng để xác thực, cấp phát quyền, loggig hay accounting Authentication (Xác thực) Để xác định xem user có quền để truy nhập vào thiết bị hay không Ta cấu hình để enable AAA Router hay Switch Router(config)#aaa new-model Ta cấu hình user nội thiết bị Router(config)#username username password password Định nghĩa TACACS+ hay RADIUS server : AAA server như:Secure Access Control Server(ACS) Router(config)#tacacs-server host {hostname | ip-address } [key string] Ở key ta cấu hình router phải trùng với key cấu hình server Định nghĩa phương thức truy nhập vào Router qua cac line (console, vty) Router(config)#aaa authentication login {default | list-name} method1 [method2…] Có phương thức sau Tacacs+: Mỗi TACACS+ server cấu hình Router cố gắng theo trình tự cấu hình Radius: Tương tự tacacs Local: Nó lấy user nội lệnh username Line: Line password sử dụng cho user Nếu ta sử dụng default áp dụng vào tất line, name-list ta phải áp dụng vào line mà ta muốn Áp dụng phương thức vào Line(console vty) Router(config-line)#login authentication {default | list-name} Ta cấu hình bảo vệ enable password privilege Router(config)#aaa authentication enable default method1 [ [method4]] Authorization(Xác định thẩm quyền) Sau xác thực xong tất user có quyền mà ta phân cấp quyền cho user theo nhiều cấp khác nhau, cho mode khác Router(config)#aaa authorization {command | configuration | exec | network| reverse-access} {default | list-name} method1 [method2 …] Command : Server trả quyền cho phép user lệnh privilege level Config-command: Server trả quyền cho phép user sử dụng lệnh thiết bị Exec: Nó áp dụng thuộc tính thích hợp với exec terminal session Network: Áp dụng cho kết nối SLIP, PPP, kết nối ARAP Reverse-access: Server trả quyền reverse telnet từ Router Accounting: Để cho phép server thu thập thông tin từ thiết bị Router(config)#aaa accounting {system | exec |command | level} {default | listname} {start-stop | stop-only | wait-start | none } metod1 [method2 …] System : Cung cấp kiện liên quan đên hệ thống như: reload Netword: cung cấp kiện liên quan đến kết nối : PPP, SLIP, ARAP Exec:Cung cấp thông tin exec user địa ip user, thời gian session Start-stop cung cấp kiện từ lúc bắt đầu đến lúc kết thúc Stop-only: Cung cấp kiện kết thúc kiện Wait-start: Các yêu cầu user chưa đựơc khởi tạo accounting record ack 2.1.Cấu hình AAA Việc cấu hình AAA [1] thực theo ba bước sau: Bước 1: Bật tính cho phép cấu hình AAA router Trong suốt trình xác định AAA, router phải cấu hình cho nói chuyện với TACACS/RADIUS server Bước 2: Xác định người xác thực, cấp quyền nào, giám sát sở liệu Bước 3: Cho phép định nghĩa phương thức giao tiếp Các phần nói cách chi tiết cách thức bật chức AAA (bước 1), cách thức xác định phương thức để xác thực, cấp quyền, tính cước (bước 2), cách thức xác định AAA interface (bước 3) Để cho gọn dễ dàng hiểu hơn, ta gộp hai bước lại làm Chú ý AAA cho phép router, interface phương thức kết nối phải định nghĩa không cho phép truy cập vào Do đó, điều quan trọng phải tạo “cánh cửa hậu” (back door) cách thức truy cập cục (local) suốt trình triển khai ban đầu để bảo đảm router truy cập ta quên cấu hình trước 2.1.1.Bước 1- Cho phép chức AAA router Để cho phép AAA router, ta sử dụng câu lệnh sau: Router(config)#aaa new-model Một AAA cho phép router phải đến địa source AAA server Với TACACS server, câu lệnh là: Router(config)#tacacs-server host host-ip-address [singleconnection]Router(config)#tacacs-server key serverkey Tham số host-ipaddress xác định địa TACACS server Tham số single-connection cho biết router trì kết nối đơn suốt phiên làm việc router AAA server Một password chung dùng access router AAA server để bảo mật thông tin Ví dụ, câu lệnh cho phép thiết lập password router sau: Router(config)#tacacs-server key cisco Password chọn phải giống password cấu AAA server Password phân biệt kí tự hoa, kí tự thường Quá trình cho phép AAA RADIUS server tương tự TACACS, chủ yếu gồm câu lệnh sau: Router(config)#aaa new-modelRouter(config)#radius-server host host-ipaddress [single-connection]Router(config)#radius-server key serverkey 2.1.2.Bước bước - Xác thực, cấp quyền tính cước 2.1.2.1 Xác thực (authentication) 2.1.2.1.1.AAA Authentication Một cho phép AAA router, nhà quản trị xác định cách thức dùng để xác thực Vấn đề chủ yếu nhà quản trị có cách thức truy cập vào router AAA server bị down Nếu không cung cấp cách truy cập dự phòng dẫn đến kết nối với router ta truy cập vào cổng console Do ta phải cẩn thận để cung cấp cách thức cấu hình truy cập cục cho cài đặt AAA Cú pháp để cấu hình AAA router khó nhớ Do ta phải phân chia nhiều trường hợp để dễ hiểu Ta xét phương pháp cụ thể nhưlogin, enable, arap, để xem xét cách thức xác thực người dùng router Câu lệnh tổng quát cho xác thực là: aaa authentication service-type {default | list-name} method1 [method2] [method3] [method4] Trong đó: service-type cách truy cập login, enable, arap ppp, nasi Tham số từ khóa default tên danh sách Tên danh sách từ ảo ngoại trừ từ default, dùng tên danh sách phương pháp xác thực Tham số method1, method2, method3, method4 dùng để xác định thứ tự xác thực Ta tham khảo phương pháp xác thực phần sau Các cách truy cập xác thực sau: •aaa authentication login: câu lệnh trả lời cho câu hỏi: “Tôi xác thực login vào hệ thống nào?” •aaa authentication enable: câu lệnh trả lời cho câu hỏi:”Người dùng vào chế độ thực thi (exec privilege) hay không?” •aaa authentication arap: câu lệnh trả lời cho câu hỏi: “Có phải người dùng giao thức ARAP sử dụng TACACS/RADIUS hay không?” •aaa authentication ppp: câu lệnh trả lời cho câu hỏi: “Nếu người dùng đến từ kết nối PPP sử dụng phương pháp nào?” •aaa authentication nasi: câu lệnh trả lời cho câu hỏi: “Nếu người dùng đến từ NASI sử dụng phương pháp nào?” 2.1.2.1.2.AAA Authentication Login Phương pháp xác thực sử dụng suốt tiến trình login gì? Câu hỏi giải câu lệnh sau: aaa authentication login {default | list-name} method1 [method2] [method3] [method4] Từ khóa default cho biết router không sử dụng listname interface Nếu có listname xác định, login theo điều khiển listname Ví dụ câu lệnh sau: aaa authentication ppp myaaa argument1 argument2 argument3 xác định cách thức list myaaa chấp nhận Một interface xác định sử dụng cách xác thực myaa Các tham số theo sau là: [enable|line|local|none|tacacs+|radius|guest] Mỗi tham số xác định cách xác thực riêng sau: •line: phương pháp xác định sử dụng password để xác thực vào interface Câu lệnh sử dụng câu lệnh login password line (console, vty, ) •enable: phương pháp xác định sử dụng câu lệnh enable password để xác thực interface Việc xác thực thực việc so sánh password người dùng nhập vào với password câu lệnh enable password hay enable secret router •local: phương pháp xác định xác thực việc sử dụng cặp username yyyy password xxxx router •none: phương pháp xác định không cần sử dụng phương pháp xác thực •tacacs+: phương pháp xác định sử dụng TACACS server để xác thực •radius: phương pháp xác định sử dụng RADIUS server để xác thực Sau cấu hình authentication, ta rõ interface line xác thực cụ thể: Router(config)#line 0Router(config-line)#login authentication myaaa Ví dụ: Router(config)#aaa authentication login myaaa tacacs+ radius localRouter(config)#aaa authentication login default tacacs+Router(config)#line vty Router(config-line)#login authentication myaaa Câu lệnh xác định listname tên myaaa sử dụng TACACS+ sau RADIUS cuối username/password lưu cục router để xác thực Câu lệnh thứ tư xác định line vty từ đến xác thực sử dụng list myaaa Chú ý người muốn truy cập vào port console, họ xác thực TACACS+ mặc định (default) câu lệnh xác thực login cụ thể port console Ở ví dụ ta thấy thứ tự xác thực điều quan trọng: user thất bại việc xác thực với TACACS+, user bị từ chối truy cập Nếu router thất bại việc truy cập với TACACS+, router cố gằng thử tiếp xúc với RADIUS server Vấn đề phương pháp thứ hai sử dụng phương pháp thứ không phù hợp router Nếu TACACS+ tùy chọn để xác thực dịch vụ TACACS+ bị down, không login vào hệ thống Nếu phương thức xác thực TACACS+ local username/password lưu cục router thay để sử dụng nhằm tránh trường hợp login vào router Thứ tự phương pháp lựa chọn để login vào quan trọng Thông thường local nên dùng làm phương pháp cuối phép truy cập vào router cặp username/password cục router 2.1.2.1.3.AAA Authentication Enable Có câu hỏi đặt là: “Phương thức sử dụng user cố thử truy cập vào privileged mode router? Nếu phương thức AAA thiết lập, user phải có enable password Password đòi hỏi Cisco IOS Nếu AAA dùng không thiết lập chế độ mặc định người dùng cần enable password để truy cập vào chế độ privileged mode Cấu trúc AAA tương tự câu lệnh login authentication: aaa authentication enable {default | list-name} method1 [method2] [method3] [method4] Trong tham số có ý nghĩa tương tự câu lệnh aaa authentication login Các phương pháp dùng cho câu lệnh là: •enable: phương pháp xác định sử dụng câu lệnh enable password để xác thực interface Việc xác thực thực việc so sánh password người dùng nhập vào với password câu lệnh enable password hay enable secret router •line: phương pháp xác định sử dụng password để xác thực vào interface Câu lệnh sử dụng câu lệnh login password line (console, vty, ) •none: phương pháp xác định không cần sử dụng phương pháp xác thực •tacacs+: phương pháp xác định sử dụng TACACS server để xác thực •radius: phương pháp xác định sử dụng RADIUS server để xác thực Ví dụ: Router(config)#aaa authentication enable myaaa tacacs+ enable Câu lệnh xác định việc truy cập trở lại vào chế độ privilege mode Trong đó, TACACS+ kiểm tra đầu tiên, TACACS+ trả lỗi (error) trạng thái không phù hợp (unavailable) lúc kiểm tra enable password Khi nhiều phương pháp thiết lập cho AAA, phương pháp thứ hai dùng phương pháp trước trả lỗi (error) không phù hợp (unavailable) Nếu trả thông điệp “thất bại” (fail) router không thử xác thực thêm phương pháp listname 2.1.2.1.4 AAA Authentication ARAP Câu lệnh aaa authentication arapđược sử dụng kết hợp với lệnh arap authentication việc cấu hình line Nó mô tả cách thức mà ARAP user thử truy cập vào router Cú pháp câu lệnh sau: aaa authentication arap {default | list-name} method1 [method2] [method3] [method4] Các phương pháp dùng câu lệnh này: •line: phương pháp xác định sử dụng password để xác thực vào interface Câu lệnh sử dụng câu lệnh login password line (console, vty, ) •local: phương pháp xác định xác thực việc sử dụng cặp username yyyy password xxxx router •tacacs+: phương pháp xác định sử dụng TACACS server để xác thực •guest: phương pháp cho phép login vào username guest Tùy chọn phù hợp với ARAP •auth-guest: phương pháp cho phép khách login vào user login vào chế độ EXEC router khởi tạo tiến trình ARAP Chú ý mặc định khách viếng thăm login thông qua ARAP ta khởi tạo AAA Câu lệnh aaa authentication arapvới hai từ khóa guest authguest cần thiết để khách truy cập sử dụng AAA Ví dụ: Router(config)#aaa authentication arap myaaa tacacs+ localRouter(config)#line 12Router(config-line)#arap authentication myaaa Ở ví dụ trên, câu lệnh xác định dùng xác thực TACACS+ trước tiên, sau dùng username/password cục router TACACS+ trả lỗi (error) không phù hợp (unavailable) Từ line đến line 12 sử dụng xác thực listname vừa tạo 2.1.1.1.1.AAA Authentication PPP Câu lệnh aaa authentication pppđược sử dụng kết hợp với lệnh ppp authentication việc cấu hình line để mô tả phương thức sử dụng user sử dụng PPP muốn truy cập vào router Cú pháp câu lệnh sau: aaa authentication ppp {default | list-name} method1 [method2] [method3] [method4] Các phương pháp dùng câu lệnh này: •local: phương pháp xác định xác thực việc sử dụng cặp username yyyy password xxxx router •none: phương pháp xác định không cần sử dụng phương pháp xác thực •tacacs+: phương pháp xác định sử dụng TACACS server để xác thực •radius: phương pháp xác định sử dụng RADIUS server để xác thực •krb5: phương pháp dùng Kerberos phù hợp cho thao tác (operation) PPP liên lạc với Kerberos server thiết lập Xác thực login sử dụng Kerberos làm việc với giao thức PPP PAP •if-needed: phương pháp ngừng xác thực user xác thực trước line tty Ví dụ: Router(config)#aaa authentication ppp myaaa tacacs+ localRouter(config)#line 12Router(config-line)#ppp authentication myaaa Cùng dạng cú pháp sử dụng thông qua nhiều câu lệnh AAA Với câu lệnh ppp thiết lập, câu lệnh interface ppp authentication option(s) với option(s) tùy chọn pap, chap, pap chap, chap pap, ms-chap Thêm vào đó, phương pháp AAA sử dụng Ở ví dụ TACACS+ kiểm tra trước tiên, sau username/password cục máy sử dụng TACACS+ không phù hợp hay trả lỗi (error) 2.1.1.1.2.AAA Authentication ANSI Câu lệnh aaa authentication ansiđược sử dụng kết hợp với lệnh ansi authentication việc cấu hình line để mô tả phương thức sử dùng NASI user muốn truy cập vào router.Cú pháp câu lệnh sau: aaa authentication nasi {default | list-name} method1 [method2] [method3] [method4] Các phương pháp dùng câu lệnh này: •local: phương pháp xác định xác thực việc sử dụng cặp username yyyy password xxxx router •enable: phương pháp xác định sử dụng câu lệnh enable password để xác thực interface Việc xác thực thực việc so sánh password người dùng nhập vào với password câu lệnh enable password hay enable secret router •line: phương pháp xác định sử dụng password để xác thực vào interface Câu lệnh sử dụng câu lệnh login password line (console, vty, ) •none: phương pháp xác định không cần sử dụng phương pháp xác thực •tacacs+: phương pháp xác định sử dụng TACACS server để xác thực Khi AAA cho phép, tất line port router sử dụng AAA, default group nên cấu hình cho truy cập mà router nhìn thấy Ví dụ: Router(config)#aaa authentication ansi myaaa tacacs+ localRouter(config)#line 12Router(config-line)#ansi authentication myaaa Với phương pháp truy cập khác, user sử dụng NASI bị yêu cầu xác thực TACACS+ trước tiên sau sử dụng username/password cục TACACS+ bị lỗi hay không thích hợp 2.1.1.2.Cấp quyền (Authorization) Một user xác thực, ta cần giới hạn quyền mà họ phép sử dụng Điều thực thông qua câu lệnh aaa authorization Những giới hạn áp đặt vào hoạt động hay dịch vụ yêu cầu router Với việc cấp thẩm quyền, AAA thiết lập subadministrator phép truy cập vào chế độ configuration mode, với khả sử dụng tập nhỏ lệnh phép Mặc dù có thể, việc cấu hình router bị hạn chế Cú pháp dùng để cấp quyền đơn giản, xác định hoạt động hay dịch vụ (network, exec, command level, config-command, reverse-access) sử dụng cho user Dạng tổng quát câu lệnh cấp thẩm quyền là: aaa authorization service-type {default | list-name} method1 [method2] [method3] [method4] Câu lệnh có ý nghĩa sau: aaa authorization do-what? check-how? Mệnh đề do-what? là: •network: tham số dùng phương pháp check-how? để cấp quyền thiết lập yêu cầu dịch vụ có liên quan đến mạng SLIP, PPP •exec: tham số dùng phương pháp check-how? để cấp quyền user phép tạo chạy chế độ EXEC shell Nếu TACACS+ RADIUS sử dụng, sở liệu trả thông tin với câu lệnh tự động cho người dùng •command level: tham số dùng phương pháp check-how? để cấp quyền cho lệnh mức phân quyền xác định trước Mức phân quyền (privilege) có giá trị từ đến 15 •reverse-access: tham số dùng phương pháp check-how? để cấp quyền cho phép thực thi reverse telnet Mệnh đề check-how? giống phương pháp dùng việc xác thực check-how? đơn giản xác thực nên tiến hành đâu Tham số check-how? thuộc loại dạng sau: •tacacs+: tham số này, thẩm quyền TACACS+ tiến hành trước cặp giá trị thuộc tính AV (attribute-value) đến user riêng biệt Khi user muốn làm do-what? sở liệu TACACS kiểm tra •if-authenticated: với tham số này, user xác thực rồi, họ phép thiết lập chức Chú ý không kiểm tra thẩm quyền mà cần user có sở liệu phù hợp •none: với tham số này, router không đòi hỏi thông tin thẩm quyền cho do-what? Thẩm quyền không thiết lập câu truy vấn gởi đến sở liệu •local: với tham số này, router access server kiểm tra username/password cấu hình chế độ configure mode lưu cục router •radius: với tham số này, thẩm quyền RADIUS thực việc gắn thuộc tính cho username RADIUS server Mỗi username với thuộc tính lưu trữ bên RADIUS database •krb5-instance: với tham số này, router truy vấn đến Kerberos server để yêu cầu cấp thẩm quyền Thẩm quyền lưu Kerberos server Nhìn chung, thẩm quyền cài đặt theo nhiều cách Vấn đề tìm kiếm xem thử database hay tài nguyên có cặp AV hay thuộc tính để cung cấp cho router câu trả lời có yêu cầu cấp thẩm quyền Ví dụ: Router(config)#aaa new-modelRouter(config)#aaa authentication login myaaa tacacs+ localRouter(config)#aaa authorization exec tacacs+ local Router(config)#aaa authorization command tacacs+ localRouter(config)#aaa authorization command 15 tacacs+ local Trong ví dụ trên, AAA cho phép với câu lệnh aaa new-model, phương thức xác thực xác định với tên “myaaa” Dòng thứ xác định user login vào truy cập trực tiếp vào EXEC mode TACACS+ xét xem thử user có phép thiết lập chức hay không? Hai dòng cuối tương tự Nếu user login vào kiểm tra TACACS database xem xét mức phân quyền user Các mức phân quyền có router từ – 15 2.1.1.3.Tính cước (Accounting) AAA accounting cung cấp thông tin liên quan đến hoạt động user ghi vào database Đây khái niệm hữu dụng với dịch vụ Internet Ngày phổ biến cho ISP thiết lập cho khách hàng thời gian truy cập không hạn chế Tuy nhiên, điều không làm hạn chế khả nhà quản trị giám sát mức phân quyền không cấp phát trước tính an toàn cho tài nguyên hệ thống Thêm vào đó, accounting giám sát việc sử dụng tài nguyên để cấp phát cho hệ thống tốt Accounting thường sử dụng cho việc tính cước lưu thông tin hoạt động khách hàng Cú pháp tổng quát câu lệnh aaa accounting là: aaa accounting event-type {default | list-name} {start-stop | wait-start | stoponly | none} method1 [method2] Câu lệnh có dạng: aaa accounting what-to-track how-to-track where-to-send-the-information Tham số what-to-track sau: •network: với tham số này, accounting mạng ghi lại thông tin PPP, SLIP, ARAP session Thông tin accounting cung cấp thời gian truy cập sử dụng tài nguyên mạng tính theo gói hay theo byte •connection: với tham số này, connection accounting log lại thông tin kết nối bên tạo từ router hay RAS, gồm phiên Telnet hay rlogin Vấn đề từ bên ngoài; cho phép theo dõi kết nối tạo từ RAS nơi tạo kết nối •exec: với tham số này, EXEC accounting log thông tin cho biết user tạo EXEC terminal session router Thông tin gồm địa IP, số điện thoại (nếu user gọi vào), thời gian ngày truy cập Thông tin có ích việc theo dõi truy cập đến RAS mà không xác thực •command: với tham số này, command accounting log thông tin câu lệnh thực thi router Accounting chứa danh sách lệnh thực thi suốt EXEC session, với thời gian thực thi •system: với tham số này, system accounting log thông tin hệ thống thay đổi cấu hình hay reload lại hệ thống Như ta thấy, lượng thông tin giám sát có giá trị Điều quan trọng nhà quản trị phải biết theo dõi thông tin có ích, không nên bám sát thông tin không cần thiết điều tạo lượng overhead lớn tài nguyên mạng Tham số how-to-track gồm: •start-stop: tùy chọn gởi accounting record tiến trình khởi tạo Điều gởi tiến trình tảng yêu cầu người dùng khởi tạo mà độ trễ Khi tiến trình user hoàn tất, thời gian kết thúc thông tin gửi đến AAA database Tùy chọn cần thiết có yêu cầu cho biết thời gian mà user dùng thời gian lại mà user phép sử dụng •stop-only: tùy chọn gửi thông tin tập hợp lại dựa tham số what-totrack tiến trình user kết thúc Tùy chọn sử dụng thông tin whatto-tracklà cần thiết •wait-start: tùy chọn không cho phép tiến trình người dùng khởi tạo trước ACK nhận từ accounting database RAS Tham số thường quan trọng kiện giám sát bị kết nối với accounting database Phần cuối thông tin cần thiết cho RAS hay router nơi mà thông tin giám sát gởi đến Tham số where-to-send-the-information là: •tacacs+: tùy chọn sử dụng, thông tin gửi đến TACACS+ server •radius: tùy chọn sử dụng thông tin gửi đến RADIUS server database Việc cài đặt không hỗ trợ đặc tính Ví dụ: Router(config)#aaa accounting command 15 start-stop tacacs+Router(config)#aaa accounting connection start-stop tacacs+Router(config)#aaa accounting system wait-start tacacs+ Ở dòng đầu tiên, accounting kích hoạt cho phép sử dụng tất câu lệnh với user có mức phân quyền 15 Dòng thứ hai log sở liệu kết nối user bắt đầu hay kết thúc Dòng cuối cho thấy kiện hệ thống thay đổi cấu hình hay reload lại giám sát thời gian bắt đầu kết thúc Tham số wait-start đảm bảo hệ thống báo nhận ACK kiện khởi tạo Vấn đề kiện thao tác reload lại router, cần ý kiện log xác nhận ACK trước router reload lại Nếu thông điệp bị truyền, kiện ghi lại Vấn đề accounting accounting record gửi đến TACACS+ server RADIUS server Thêm vào đó, record giám sát nên ghi lại vào router với câu lệnh AAA accounting Accounting có tác dụng mạnh để quản lý tài nguyên mạng; nhiên, dao hai lưỡi Càng thống kê nhiều, nhiều tài nguyên sử dụng Tham số stop-only nên sử dụng thời gian kết thúc không cần thiết [...]... quyền Ví dụ: Router(config) #aaa new-modelRouter(config) #aaa authentication login myaaa tacacs+ localRouter(config) #aaa authorization exec tacacs+ local Router(config) #aaa authorization command 1 tacacs+ localRouter(config) #aaa authorization command 15 tacacs+ local Trong ví dụ trên, AAA được cho phép với câu lệnh aaa new-model, phương thức xác thực được xác định với tên là “myaaa” Dòng thứ 3 xác định... khách hàng Cú pháp tổng quát của câu lệnh aaa accounting là: aaa accounting event-type {default | list-name} {start-stop | wait-start | stoponly | none} method1 [method2] Câu lệnh trên có dạng: aaa accounting what-to-track how-to-track where-to-send-the-information Tham số what-to-track như sau: •network: với tham số này, accounting mạng sẽ ghi lại thông tin về PPP, SLIP, ARAP session Thông tin accounting... hiện tại không hỗ trợ đặc tính này Ví dụ: Router(config) #aaa accounting command 15 start-stop tacacs+Router(config) #aaa accounting connection start-stop tacacs+Router(config) #aaa accounting system wait-start tacacs+ Ở dòng đầu tiên, accounting được kích hoạt cho phép sử dụng tất cả các câu lệnh với user có mức phân quyền là 15 Dòng thứ hai sẽ log cơ sở dữ liệu khi một kết nối của user bắt đầu hay kết... do-what? thì cơ sở dữ liệu TACACS sẽ được kiểm tra •if-authenticated: với tham số này, nếu một user được xác thực rồi, thì họ được phép thiết lập chức năng Chú ý rằng ở đây không kiểm tra thẩm quyền mà chỉ cần user có trong cơ sở dữ liệu là đã phù hợp •none: với tham số này, router không đòi hỏi thông tin thẩm quyền cho do-what? Thẩm quyền không được thiết lập và một câu truy vấn sẽ được gởi đến cơ sở dữ... được xác nhận ACK trước khi router reload lại Nếu thông điệp bị mất trong khi truyền, sự kiện sẽ được ghi lại Vấn đề cơ bản của accounting là accounting record được gửi đến TACACS+ server hoặc RADIUS server Thêm vào đó, các record được giám sát nên được ghi lại vào router với câu lệnh AAA accounting Accounting có tác dụng rất mạnh để quản lý tài nguyên mạng; tuy nhiên, nó cũng là một con dao hai lưỡi... đến RAS mà không được xác thực •command: với tham số này, command accounting sẽ log những thông tin về các câu lệnh đã thực thi trên router Accounting chứa danh sách các lệnh đã thực thi trong suốt EXEC session, cùng với thời gian thực thi •system: với tham số này, system accounting sẽ log những thông tin về hệ thống như thay đổi cấu hình hay reload lại hệ thống Như ta thấy, lượng thông tin được giám... Điều này được gởi đi như là một tiến trình nền tảng và yêu cầu người dùng được khởi tạo mà không có bất kì độ trễ nào Khi tiến trình của user hoàn tất, thời gian kết thúc và thông tin sẽ được gửi đến AAA database Tùy chọn này là cần thiết khi có yêu cầu cho biết thời gian mà user đã dùng cũng như thời gian còn lại mà user được phép sử dụng •stop-only: tùy chọn này gửi thông tin được tập hợp lại dựa... PPP, SLIP, ARAP session Thông tin accounting cung cấp thời gian truy cập và sử dụng tài nguyên mạng tính theo gói hay theo byte •connection: với tham số này, connection accounting sẽ log lại thông tin về kết nối bên ngoài được tạo ra từ router hay RAS, gồm cả phiên Telnet hay rlogin Vấn đề chính là từ bên ngoài; nó cho phép theo dõi kết nối được tạo ra từ RAS cũng như nơi đã tạo ra kết nối •exec: với... tương tự nhau Nếu user đã login vào rồi sẽ được kiểm tra trong TACACS database xem xét mức phân quyền của user đó Các mức phân quyền có thể có trên router là từ 1 – 15 2.1.1.3.Tính cước (Accounting) AAA accounting có thể cung cấp thông tin liên quan đến hoạt động của user và ghi vào database Đây là một khái niệm rất hữu dụng với các dịch vụ Internet Ngày nay nó càng phổ biến hơn cho khi các ISP thiết ... trước 2.1.1.Bước 1- Cho phép chức AAA router Để cho phép AAA router, ta sử dụng câu lệnh sau: Router(config) #aaa new-model Một AAA cho phép router phải đến địa source AAA server Với TACACS server,... ARAP ta khởi tạo AAA Câu lệnh aaa authentication arapvới hai từ khóa guest authguest cần thiết để khách truy cập sử dụng AAA Ví dụ: Router(config) #aaa authentication arap myaaa tacacs+ localRouter(config)#line... quyền Ví dụ: Router(config) #aaa new-modelRouter(config) #aaa authentication login myaaa tacacs+ localRouter(config) #aaa authorization exec tacacs+ local Router(config) #aaa authorization command