Giới thiệu cơ bản về AAA.
AAA quản lý hoạt động cơ bản của user qua các thiết bị như Switch, Router .
Nó được sử dụng để xác thực, cấp phát quyền, và loggig hay accounting
Authentication (Xác thực).
Để xác định xem user có quền để truy nhập vào thiết bị hay không.
Ta có thể cấu hình để enable AAA trên Router hay Switch
Router(config)#aaa new-model
Ta có thể cấu hình user nội bộ trong thiết bị
Router(config)#username username password password
Định nghĩa TACACS+ hay RADIUS server : AAA server như:Secure Access
Control Server(ACS)
12 trang |
Chia sẻ: tlsuongmuoi | Lượt xem: 2229 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Giới thiệu cơ bản về AAA, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Gi i thi u c b n v AAA.ớ ệ ơ ả ề
AAA qu n lý ho t đ ng c b n c a user qua các thi t b nh Switch, Router….ả ạ ộ ơ ả ủ ế ị ư
Nó đ c s d ng đ xác th c, c p phát quy n, và loggig hay accountingượ ử ụ ể ự ấ ề
Authentication (Xác th c).ự
Đ xác đ nh xem user có qu n đ truy nh p vào thi t b hay không.ể ị ề ể ậ ế ị
Ta có th c u hình đ enable AAA trên Router hay Switchể ấ ể
Router(config)#aaa new-model
Ta có th c u hình user n i b trong thi t bể ấ ộ ộ ế ị
Router(config)#username username password password
Đ nh nghĩa TACACS+ hay RADIUS server : AAA server nh :Secure Accessị ư
Control Server(ACS)
Router(config)#tacacs-server host {hostname | ip-address } [key string]
đây thì key ta c u hình router ph i trùng v i key c u hình server. Đ nhỞ ấ ở ả ớ ấ ở ị
nghĩa các ph ng th c truy nh p vào Router qua cac line (console, vty)ươ ứ ậ
Router(config)#aaa authentication login {default | list-name} method1
[method2…]
Có m t ph ng th c nh sauộ ươ ứ ư
Tacacs+: M i TACACS+ server đ c c u hình thì Router s c g ng theo trìnhỗ ượ ấ ẽ ố ắ
t đ c c u hình trên.ự ượ ấ ở
Radius: T ng t nh tacacsươ ự ư
Local: Nó s l y các user n i b b ng l nh usernameẽ ấ ộ ộ ằ ệ
Line: Line password có th đ c s d ng cho b t kỳ user nàoể ượ ử ụ ấ
N u ta s d ng default thì nó s áp d ng vào t t c các line, còn đ i v i name-ế ử ụ ẽ ụ ấ ả ố ớ
list thì ta ph i áp d ng nó vào t ng line mà ta mu n. Áp d ng các ph ng th cả ụ ừ ố ụ ươ ứ
vào Line(console ho c vty)ặ
Router(config-line)#login authentication {default | list-name}
Ta c u hình b o v b ng enable password privilege.ấ ả ệ ằ ở
Router(config)#aaa authentication enable default method1 [...[method4]]
Authorization(Xác đ nh th m quy n)ị ẩ ề
Sau khi xác th c xong thì không ph i t t c các user đ u có quy n nh nhau màự ả ấ ả ề ề ư
ta s phân c p quy n cho các user theo nhi u c p khác nhau, cho t ng modeẽ ấ ề ề ấ ừ
khác nhau.
Router(config)#aaa authorization {command | configuration | exec | network|
reverse-access} {default | list-name} method1 [method2 …]
Command : Server s tr v quy n cho phép user các l nh có th privilegeẽ ả ề ề ệ ể ở
level
Config-command: Server s tr v quy n cho phép user có th s d ng b t kỳẽ ả ề ề ể ử ụ ấ
l nh nào trên thi t bệ ế ị
Exec: Nó s áp d ng các thu c tính thích h p v i exec terminal session.ẽ ụ ộ ợ ớ
Network: Áp d ng cho các k t n i nh SLIP, PPP, k t n i ARAPụ ế ố ư ế ố
Reverse-access: Server s tr v quy n đ c reverse telnet t Router.ẽ ả ề ề ượ ừ
Accounting:
Đ cho phép server thu th p thông tin t thi t bể ậ ừ ế ị
Router(config)#aaa accounting {system | exec |command | level} {default | list-
name} {start-stop | stop-only | wait-start | none } metod1 [method2 …]
System : Cung c p các s ki n liên quan đên h th ng nh : reload..ấ ự ệ ệ ố ư
Netword: cung c p các s ki n liên quan đ n k t n i nh : PPP, SLIP, ARAP.ấ ự ệ ế ế ố ư
Exec:Cung c p thông tin v exec c a user nh đ a ch ip c a user, và th i gianấ ề ủ ư ị ỉ ủ ờ
c a session.ủ
Start-stop cung c p s ki n t lúc b t đ u đ n lúc k t thúc.ấ ự ệ ừ ắ ầ ế ế
Stop-only: Cung c p s ki n ch khi k t thúc s ki nấ ự ệ ỉ ế ự ệ
Wait-start: Các yêu c u c a user ch a đ c kh i t o cho đ n khi accountingầ ủ ư ựơ ở ạ ế
record ack
2.1.C u hình AAAấ
Vi c c u hình AAA [1] đ c th c hi n theo ba b c nh sau:ệ ấ ượ ự ệ ướ ư
B c 1:ướ B t tính năng cho phép c u hình AAA trên router. Trong su t quá trìnhậ ấ ố
xác đ nh AAA, router ph i c u hình sao cho nó luôn nói chuy n đ c v iị ả ấ ệ ượ ớ
TACACS/RADIUS server.
B c 2:ướ Xác đ nh ng i nào s đ c xác th c, đ c c p quy n nh th nào, vàị ườ ẽ ượ ự ượ ấ ề ư ế
cái gì s giám sát c s d li u.ẽ ơ ở ữ ệ
B c 3:ướ Cho phép ho c đ nh nghĩa ph ng th c trên giao ti p.ặ ị ươ ứ ế
Các ph n ti p theo s nói m t cách chi ti t cách th c b t ch c năng AAA (b cầ ế ẽ ộ ế ứ ậ ứ ướ
1), cách th c xác đ nh ph ng th c đ xác th c, c p quy n, và tính c c (b cứ ị ươ ứ ể ự ấ ề ướ ướ
2), và cách th c xác đ nh AAA trên m t interface (b c 3). Đ cho g n và dứ ị ộ ướ ể ọ ễ
dàng hi u h n, ta có th g p hai b c 2 và 3 l i làm m t.ể ơ ể ộ ướ ạ ộ
Chú ý r ng m t khi AAA đã đ c cho phép trên router, b t kì interface vàằ ộ ượ ấ
ph ng th c k t n i nào cũng ph i đ nh nghĩa ho c không cho phép truy c pươ ứ ế ố ả ị ặ ậ
vào. Do đó, đi u quan tr ng nh t là ph i t o m t “cánh c a h u” (back door)ề ọ ấ ả ạ ộ ử ậ
hay là cách th c truy c p c c b (local) trong su t quá trình tri n khai ban đ uứ ậ ụ ộ ố ể ầ
đ b o đ m r ng router luôn có th truy c p đ c n u ta quên nh ng gì đã c uể ả ả ằ ể ậ ượ ế ữ ấ
hình tr c đó.ướ
2.1.1.B c 1- Cho phép ch c năng AAA trên routerướ ứ
Đ cho phép AAA trên router, ta s d ng câu l nh sau:ể ử ụ ệ
Router(config)#aaa new-model M t khi AAA đ c cho phép thì router ph i chộ ượ ả ỉ
đ n đ a ch source c a AAA server. V i TACACS server, thì câu l nh s là:ế ị ỉ ủ ớ ệ ẽ
Router(config)#tacacs-server host host-ip-address [single-
connection]Router(config)#tacacs-server key serverkey Tham số host-ip-
address xác đ nh đ a ch c a TACACS server.ị ị ỉ ủ
Tham số single-connection cho bi t router duy trì m t k t n i đ n trong su tế ộ ế ố ơ ố
phiên làm vi c gi a router và AAA server.ệ ữ
M t password chung đ c dùng gi a access router và AAA server đ b o m tộ ượ ữ ể ả ậ
thông tin. Ví d , câu l nh cho phép thi t l p password trên router nh sau:ụ ệ ế ậ ư
Router(config)#tacacs-server key cisco Password đ c ch n ph i gi ngượ ọ ả ố
password c u hình nh trên AAA server. Password phân bi t kí t hoa, kí tấ ư ệ ự ự
th ng.ườ
Quá trình cho phép AAA trên RADIUS server cũng t ng t nh TACACS, chươ ự ư ủ
y u g m các câu l nh sau:ế ồ ệ
Router(config)#aaa new-modelRouter(config)#radius-server host host-ip-
address [single-connection]Router(config)#radius-server key serverkey
2.1.2.B c 2 và b c 3 - Xác th c, c p quy n và tính c cướ ướ ự ấ ề ướ
2.1.2.1. Xác th c (authentication)ự
2.1.2.1.1.AAA Authentication
M t khi đã cho phép AAA trên router, nhà qu n tr có th xác đ nh cách th cộ ả ị ể ị ứ
dùng đ xác th c. V n đ ch y u đây là nhà qu n tr có cách th c truy c pể ự ấ ề ủ ế ở ả ị ứ ậ
vào router n u AAA server b down. N u không cung c p cách truy c p d phòngế ị ế ấ ậ ự
thì có th d n đ n m t k t n i v i router và ta có th không th truy c p vàoể ẫ ế ấ ế ố ớ ể ể ậ
c ng console đ c. Do đó ta ph i luôn c n th n đ cung c p cách th c c u hìnhổ ượ ả ẩ ậ ể ấ ứ ấ
truy c p c c b cho b t kì s cài đ t AAA nào.ậ ụ ộ ấ ự ặ
Cú pháp đ c u hình AAA trên router có th r t khó nh . Do đó ta ph i phân chiaể ấ ể ấ ớ ả
ra nhi u tr ng h p đ có th d hi u h n. Ta có th xét các ph ng pháp cề ườ ợ ể ể ễ ể ơ ể ươ ụ
th nhể ưlogin, enable, arap, ... đ xem xét cách th c xác th c ng i dùng trênể ứ ự ườ
router.
Câu l nh t ng quát cho xác th c là:ệ ổ ự
aaa authentication service-type {default | list-name} method1 [method2]
[method3] [method4] Trong đó: service-type là m t trong các cách truy c p nhộ ậ ư
login, enable, arap ppp, nasi. Tham s ti p theo là t khóaố ế ừ default ho c tên m tặ ộ
danh sách. Tên danh sách có th là m t t o b t kì nào đó ngo i tr tể ộ ừ ả ấ ạ ừ ừ default,
và đ c dùng nh là tên c a m t danh sách các ph ng pháp xác th c. Thamượ ư ủ ộ ươ ự
số method1, method2, method3, method4 đ c dùng đ xác đ nh th t xác th c.ượ ể ị ứ ự ự
Ta có th tham kh o các ph ng pháp xác th c trong ph n sau.ể ả ươ ự ầ
Các cách truy c p đ c xác th c nh sau:ậ ượ ự ư
•aaa authentication login: câu l nh này tr l i cho câu h i: “Tôi có th xác th cệ ả ờ ỏ ể ự
khi login vào h th ng nh th nào?”ệ ố ư ế
•aaa authentication enable: câu l nh này tr l i cho câu h i:”Ng i dùng cóệ ả ờ ỏ ườ
th đi vào ch đ th c thi (exec privilege) hay không?”ể ế ộ ự
•aaa authentication arap: câu l nh này tr l i cho câu h i: “Có ph i ng iệ ả ờ ỏ ả ườ
dùng giao th c ARAP s d ng TACACS/RADIUS hay không?”ứ ử ụ
•aaa authentication ppp: câu l nh này tr l i cho câu h i: “N u ng i dùngệ ả ờ ỏ ế ườ
đ n t k t n i PPP thì s s d ng ph ng pháp nào?”ế ừ ế ố ẽ ử ụ ươ
•aaa authentication nasi: câu l nh này tr l i cho câu h i: “N u ng i dùngệ ả ờ ỏ ế ườ
đ n t NASI thì s s d ng ph ng pháp nào?”ế ừ ẽ ử ụ ươ
2.1.2.1.2.AAA Authentication Login
Ph ng pháp xác th c đ c s d ng trong su t ti n trình login là gì? Câu h i đóươ ự ượ ử ụ ố ế ỏ
đ c gi i quy t trong câu l nh sau:ượ ả ế ệ
aaa authentication login {default | list-name} method1 [method2] [method3]
[method4] T khóaừ default cho bi t router không s d ng b t kì listname nàoế ử ụ ấ
trên interface. N u có m t listname đã đ c xác đ nh, thì login có th theo đi uế ộ ượ ị ể ề
khi n trong listname đó. Ví d câu l nh sau:ể ụ ệ
aaa authentication ppp myaaa argument1 argument2 argument3 xác đ nh cách th cị ứ
list myaaa đ c ch p nh n. M t interface xác đ nh là s d ng cách xácượ ấ ậ ộ ị ử ụ
th cự myaa. Các tham s theo sau có th là:ố ể
[enable|line|local|none|tacacs+|radius|guest]
M i m t tham s xác đ nh m t cách xác th c riêng nh sau:ỗ ộ ố ị ộ ự ư
•line: ph ng pháp này xác đ nh s d ng password đ xác th c vào interface.ươ ị ử ụ ể ự
Câu l nh này đ c s d ng trong câu l nh login và password trong t ng lineệ ượ ử ụ ệ ừ
(console, vty,...)
•enable: ph ng pháp này xác đ nh r ng s s d ng câu l nhươ ị ằ ẽ ử ụ ệ enable
password đ xác th c trên interface. Vi c xác th c đ c th c hi n b ng vi c soể ự ệ ự ượ ự ệ ằ ệ
sánh password ng i dùng nh p vào v i password trong câu l nhườ ậ ớ ệ enable
password hay enable secret c a router.ủ
•local: ph ng pháp này xác đ nh xác th c b ng vi c s d ngươ ị ự ằ ệ ử ụ
c pặ username yyyy password xxxx trên router.
•none: ph ng pháp này xác đ nh r ng không c n s d ng ph ng pháp xácươ ị ằ ầ ử ụ ươ
th c nào c .ự ả
•tacacs+: ph ng pháp này xác đ nh s d ng TACACS server đ xác th c.ươ ị ử ụ ể ự
•radius: ph ng pháp này xác đ nh s d ng RADIUS server đ xác th c.ươ ị ử ụ ể ự
Sau khi c u hình authentication, ta có th ch rõ interface ho c line s đ c xácấ ể ỉ ặ ẽ ượ
th c c th :ự ụ ể
Router(config)#line con 0Router(config-line)#login authentication myaaa Ví d :ụ
Router(config)#aaa authentication login myaaa tacacs+ radius
localRouter(config)#aaa authentication login default tacacs+Router(config)#line
vty 0 4 Router(config-line)#login authentication myaaa Câu l nh đ u tiên xác đ nhệ ầ ị
m t listname tên làộ myaaa s d ngử ụ TACACS+ và sau đó là RADIUS và cu i cùngố
là username/password l uư c c bụ ộ trong router đ xác th c. Câu l nh th t xácể ự ệ ứ ư
đ nh line vty t 0 đ n 4 xác th c s d ng trong listị ừ ế ự ử ụ myaaa. Chú ý r ng n u m tằ ế ộ
ng i mu n truy c p vào port console, h có th xác th c ch b ng TACACS+ườ ố ậ ọ ể ự ỉ ằ
b i vì là m c đ nh (default) không có câu l nh xác th c login nào c th trên portở ặ ị ệ ự ụ ể
console.
ví d trên ta th y th t xác th c là đi u r t quan tr ng: n u user th t b iỞ ụ ấ ứ ự ự ề ấ ọ ế ấ ạ
trong vi c xác th c v i TACACS+, thì user đó s b t ch i truy c p. N u routerệ ự ớ ẽ ị ừ ố ậ ế
th t b i trong vi c truy c p v i TACACS+, thì router s c g ng th ti p xúcấ ạ ệ ậ ớ ẽ ố ằ ử ế
v i RADIUS server. V n đ chính đây là ph ng pháp th hai ch đ c sớ ấ ề ở ươ ứ ỉ ượ ử
d ng n u ph ng pháp th nh t không phù h p trên router.ụ ế ươ ứ ấ ợ
N u TACACS+ là tùy ch n duy nh t đ xác th c thì khi d ch v TACACS+ bế ọ ấ ể ự ị ụ ị
down, không ai có th login vào h th ng. N u các ph ng th c xác th cể ệ ố ế ươ ứ ự
là TACACS+ và local thì username/password l u c c b trên router có th thayư ụ ộ ể
th đ s d ng nh m tránh tr ng h p không th login vào router.ế ể ử ụ ằ ườ ợ ể
Th t ph ng pháp l a ch n đ login vào là r t quan tr ng. Thông th ngứ ự ươ ự ọ ể ấ ọ ườ
thì local nên đ c dùng làm ph ng pháp cu i cùng đ cho phép truy c p vàoượ ươ ố ể ậ
router ít nh t cũng là b ng m t c p username/password c c b trên router.ấ ằ ộ ặ ụ ộ
2.1.2.1.3.AAA Authentication Enable
Có câu h i đ t ra là: “Ph ng th c gì đ c s d ng n u m t user c th truyỏ ặ ươ ứ ượ ử ụ ế ộ ố ử
c p vào privileged mode trên router? N u không có ph ng th c AAA đ cậ ế ươ ứ ượ
thi t l p, user ph i có enable password. Password này đ c đòi h i b i Ciscoế ậ ả ượ ỏ ở
IOS. N u AAA đ c dùng và không thi t l p ch đ m c đ nh thì ng i dùngế ượ ế ậ ế ộ ặ ị ườ
có th c n enable password đ truy c p vào ch đ privileged mode.ể ầ ể ậ ế ộ
C u trúc c a AAA t ng t nh trong câu l nh login authentication:ấ ủ ươ ự ư ệ
aaa authentication enable {default | list-name} method1 [method2] [method3]
[method4] Trong đó các tham s có ý nghĩa t ng t nh trong câu l nhố ươ ự ư ệ aaa
authentication login.
Các ph ng pháp dùng cho câu l nh trên là:ươ ệ
•enable: ph ng pháp này xác đ nh r ng s s d ng câu l nhươ ị ằ ẽ ử ụ ệ enable
password đ xác th c trên interface. Vi c xác th c đ c th c hi n b ng vi c soể ự ệ ự ượ ự ệ ằ ệ
sánh password ng i dùng nh p vào v i password trong câu l nhườ ậ ớ ệ enable
password hay enable secret c a router.ủ
•line: ph ng pháp này xác đ nh s d ng password đ xác th c vào interface.ươ ị ử ụ ể ự
Câu l nh này đ c s d ng trong câu l nh login và password trong t ng lineệ ượ ử ụ ệ ừ
(console, vty,...)
•none: ph ng pháp này xác đ nh r ng không c n s d ng ph ng pháp xácươ ị ằ ầ ử ụ ươ
th c nào c .ự ả
•tacacs+: ph ng pháp này xác đ nh s d ng TACACS server đ xác th c.ươ ị ử ụ ể ự
•radius: ph ng pháp này xác đ nh s d ng RADIUS server đ xác th c.ươ ị ử ụ ể ự
Ví d :ụ
Router(config)#aaa authentication enable myaaa tacacs+ enable Câu l nh trên xácệ
đ nh vi c truy c p tr l i vào ch đ privilege mode. Trong đó, TACACS+ sị ệ ậ ở ạ ế ộ ẽ
đ c ki m tra đ u tiên, và ch khi TACACS+ tr v l i (error) ho c tr ng tháiượ ể ầ ỉ ả ề ỗ ặ ạ
không phù h p (unavailable) thì lúc đó m i ki m tra enable password. Khi nhi uợ ớ ể ề
ph ng pháp đ c thi t l p cho AAA, thì ph ng pháp th hai ch đ c dùngươ ượ ế ậ ươ ứ ỉ ượ
n u ph ng pháp tr c đó tr v m t l i (error) ho c không phù h pế ươ ướ ả ề ộ ỗ ặ ợ
(unavailable). N u nó tr v thông đi p “th t b i” (fail) thì router s không thế ả ề ệ ấ ạ ẽ ử
xác th c thêm ph ng pháp ti p theo trong listname n a.ự ươ ế ữ
2.1.2.1.4. AAA Authentication ARAP
Câu l nhệ aaa authentication arapđ c s d ng k t h p v i l nhượ ử ụ ế ợ ớ ệ arap
authentication trong vi c c u hình line. Nó mô t cách th c mà ARAP user đangệ ấ ả ứ
th truy c p vào router. Cú pháp câu l nh nh sau:ử ậ ệ ư
aaa authentication arap {default | list-name} method1 [method2] [method3]
[method4] Các ph ng pháp đ c dùng trong câu l nh này:ươ ượ ệ
•line: ph ng pháp này xác đ nh s d ng password đ xác th c vào interface.ươ ị ử ụ ể ự
Câu l nh này đ c s d ng trong câu l nh login và password trong t ng lineệ ượ ử ụ ệ ừ
(console, vty,...)
•local: ph ng pháp này xác đ nh xác th c b ng vi c s d ngươ ị ự ằ ệ ử ụ
c pặ username yyyy password xxxx trên router.
•tacacs+: ph ng pháp này xác đ nh s d ng TACACS server đ xác th c.ươ ị ử ụ ể ự
•guest: ph ng pháp này cho phép login vào n u username là guest. Tùy ch nươ ế ọ
này ch phù h p v i ARAP.ỉ ợ ớ
•auth-guest: ph ng pháp này cho phép khách ch đ c login vào n u user đãươ ỉ ượ ế
login vào ch đ EXEC trên router và đang kh i t o ti n trình ARAP.ế ộ ở ạ ế
Chú ý r ng m c đ nh thì khách vi ng thăm không th login thông qua ARAP khiằ ặ ị ế ể
ta kh i t o AAA. Câu l nhở ạ ệ aaa authentication arapv i hai tớ ừ
khóa guest ho cặ auth-guest s c n thi t đ khách truy c p khi s d ng AAA.ẽ ầ ế ể ậ ử ụ
Ví d :ụ
Router(config)#aaa authentication arap myaaa tacacs+ localRouter(config)#line 1
12Router(config-line)#arap authentication myaaa ví d trên, câu l nh đ u tiênỞ ụ ệ ầ
xác đ nh r ng dùng xác th c TACACS+ tr c tiên, sau đó m i dùngị ằ ự ướ ớ
username/password c c b trên router n u TACACS+ tr v m t l i (error) ho cụ ộ ế ả ề ộ ỗ ặ
không phù h p (unavailable). T line 1 đ n line 12 s s d ng xác th c trongợ ừ ế ẽ ử ụ ự
listname v a t o.ừ ạ
2.1.1.1.1.AAA Authentication PPP
Câu l nhệ aaa authentication pppđ c s d ng k t h p v i l nhượ ử ụ ế ợ ớ ệ ppp
authentication trong vi c c u hình line đ mô t ph ng th c đ c s d ngệ ấ ể ả ươ ứ ượ ử ụ
khi m t user s d ng PPP mu n truy c p vào router. Cú pháp câu l nh nh sau:ộ ử ụ ố ậ ệ ư
aaa authentication ppp {default | list-name} method1 [method2] [method3]
[method4] Các ph ng pháp đ c dùng trong câu l nh này:ươ ượ ệ
•local: ph ng pháp này xác đ nh xác th c b ng vi c s d ngươ ị ự ằ ệ ử ụ
c pặ username yyyy password xxxx trên router.
•none: ph ng pháp này xác đ nh r ng không c n s d ng ph ng pháp xácươ ị ằ ầ ử ụ ươ
th c nào c .ự ả
•tacacs+: ph ng pháp này xác đ nh s d ng TACACS server đ xác th c.ươ ị ử ụ ể ự
•radius: ph ng pháp này xác đ nh s d ng RADIUS server đ xác th c.ươ ị ử ụ ể ự
•krb5: ph ng pháp này dùng Kerberos 5 ch phù h p cho thao tác (operation)ươ ỉ ợ
PPP và các liên l c v i m t Kerberos server đã đ c thi t l p. Xác th c login sạ ớ ộ ượ ế ậ ự ử
d ng Kerberos ch làm vi c v i giao th c PPP PAP.ụ ỉ ệ ớ ứ
•if-needed: ph ng pháp này ng ng xác th c n u m t user đã đ c xác th cươ ừ ự ế ộ ượ ự
tr c đó trên line tty.ướ
Ví d :ụ
Router(config)#aaa authentication ppp myaaa tacacs+ localRouter(config)#line 1
12Router(config-line)#ppp authentication myaaa Cùng m t d ng cú pháp đ c sộ ạ ượ ử
d ng thông qua nhi u câu l nh AAA. V i câu l nhụ ề ệ ớ ệ ppp đ c thi t l p, thì câuượ ế ậ
l nh trên interface làệ ppp authentication option(s) v iớ option(s) là các tùy
ch nọ pap, chap, pap chap, chap pap, ms-chap. Thêm vào đó, các ph ng phápươ
trong AAA có th s d ng. ví d trên thì TACACS+ s đ c ki m tra tr cể ử ụ Ở ụ ẽ ượ ể ướ
tiên, sau đó username/password c c b trên máy s đ c s d ng n uụ ộ ẽ ượ ử ụ ế
TACACS+ không phù h p hay tr v m t l i (error).ợ ả ề ộ ỗ
2.1.1.1.2.AAA Authentication ANSI
Câu l nhệ aaa authentication ansiđ c s d ng k t h p v i l nhượ ử ụ ế ợ ớ ệ ansi
authentication trong vi c c u hình line đ mô t ph ng th c đ c s dùng khiệ ấ ể ả ươ ứ ượ ử
m t NASI user mu n truy c p vào router.Cú pháp câu l nh nh sau:ộ ố ậ ệ ư
aaa authentication nasi {default | list-name} method1 [method2] [method3]
[method4] Các ph ng pháp đ c dùng trong câu l nh này:ươ ượ ệ
•local: ph ng pháp này xác đ nh xác th c b ng vi c s d ngươ ị ự ằ ệ ử ụ
c pặ username yyyy password xxxx trên router.
•enable: ph ng pháp này xác đ nh r ng s s d ng câu l nhươ ị ằ ẽ ử ụ ệ enable
password đ xác th c trên interface. Vi c xác th c đ c th c hi n b ng vi c soể ự ệ ự ượ ự ệ ằ ệ
sánh password ng i dùng nh p vào v i password trong câu l nhườ ậ ớ ệ enable
password hay enable secret c a router.ủ
•line: ph ng pháp này xác đ nh s d ng password đ xác th c vào interface.ươ ị ử ụ ể ự
Câu l nh này đ c s d ng trong câu l nh login và password trong t ng lineệ ượ ử ụ ệ ừ
(console, vty,...)
•none: ph ng pháp này xác đ nh r ng không c n s d ng ph ng pháp xácươ ị ằ ầ ử ụ ươ
th c nào c .ự ả
•tacacs+: ph ng pháp này xác đ nh s d ng TACACS server đ xác th c.ươ ị ử ụ ể ự
Khi AAA đ c cho phép, t t c các line và port trên router đ u s d ng AAA, vìượ ấ ả ề ử ụ
thế default group nên c u hình cho b t kì s truy c p nào mà router nhìn th yấ ấ ự ậ ấ
đ c.ượ
Ví d :ụ
Router(config)#aaa authentication ansi myaaa tacacs+ localRouter(config)#line 1
12Router(config-line)#ansi authentication myaaa V i các ph ng pháp truy c pớ ươ ậ
khác, khi m t user s d ng NASI thì s b yêu c u xác th c TACACS+ tr cộ ử ụ ẽ ị ầ ự ướ
tiên và sau đó s s d ng username/password c c b n u TACACS+ b l i hayẽ ử ụ ụ ộ ế ị ỗ
không thích h p.ợ
2.1.1.2.C p quy n (Authorization)ấ ề
M t khi user đã đ c xác th c, thì ta c n gi i h n nh ng quy n mà h đ cộ ượ ự ầ ớ ạ ữ ề ọ ượ
phép s d ng. Đi u đó đ c th c hi n thông qua câu l nhử ụ ề ượ ự ệ ệ aaa authorization.
Nh ng gi i h n có th áp đ t vào ho t đ ng hay d ch v đ c yêu c u b iữ ớ ạ ể ặ ạ ộ ị ụ ượ ầ ở
router. V i vi c c p th m quy n, AAA thi t l p m t subadministrator đ choớ ệ ấ ẩ ề ế ậ ộ ể
phép truy c p vào ch đ configuration mode, nh ng v i kh năng là ch có thậ ế ộ ư ớ ả ỉ ể
s d ng m t t p nh các l nh đ c phép. M c dù có th , vi c c u hình routerử ụ ộ ậ ỏ ệ ượ ặ ể ệ ấ
s b h n ch .ẽ ị ạ ế
Cú pháp dùng đ c p quy n khá đ n gi n, nó xác đ nh ho t đ ng hay d ch vể ấ ề ơ ả ị ạ ộ ị ụ
(network, exec, command level, config-command, reverse-access) đ c s d ngượ ử ụ
cho user. D ng t ng quát c a câu l nh c p th m quy n là:ạ ổ ủ ệ ấ ẩ ề
aaa authorization service-type {default | list-name} method1 [method2]
[method3] [method4] Câu l nh trên có ý nghĩa nh sau:ệ ư
aaa authorization do-what? check-how? M nh đệ ề do-what? có th là:ể
•network: tham s này dùng ph ng phápố ươ check-how? đ c p quy n và thi tể ấ ề ế
l p các yêu c u d ch v có liên quan đ n m ng nh là SLIP, PPP.ậ ầ ị ụ ế ạ ư
•exec: tham s này dùng ph ng phápố ươ check-how? đ c p quy n n u user đ cể ấ ề ế ượ
phép t o ho c ch y trong ch đ EXEC shell. N u TACACS+ ho c RADIUSạ ặ ạ ế ộ ế ặ
đ c s d ng, thì có th c s d li u s tr v m t thông tin v i câu l nh tượ ử ụ ể ơ ở ữ ệ ẽ ả ề ộ ớ ệ ự
đ ng cho ng i dùng.ộ ườ
•command level: tham s này dùng ph ng phápố ươ check-how? đ c p quy n choể ấ ề
các l nh t i m c phân quy n xác đ nh tr c. M c phân quy n (privilege) có giáệ ạ ứ ề ị ướ ứ ề
tr t 1 đ n 15.ị ừ ế
•reverse-access: tham s này dùng ph ng phápố ươ check-how? đ c p quy n choể ấ ề
phép th c thi reverse telnet.ự
M nh đệ ề check-how? gi ng nh các ph ng pháp dùng trong vi c xácố ư ươ ệ
th c.ự check-how? ch đ n gi n ch ra xác th c nên ti n hành đâu. Thamỉ ơ ả ỉ ự ế ở
số check-how? có th thu c b t kì lo i nào trong các d ng sau:ể ộ ấ ạ ạ
•tacacs+: trong tham s này, th m quy n TACACS+ s đ c ti n hành tr cố ẩ ề ẽ ượ ế ướ
b ng c p giá tr thu c tính AV (attribute-value) đ n t ng user riêng bi t. Khi m tằ ặ ị ộ ế ừ ệ ộ
user mu n làm m tố ộ do-what? thì c s d li u TACACS s đ c ki m tra.ơ ở ữ ệ ẽ ượ ể
•if-authenticated: v i tham s này, n u m t user đ c xác th c r i, thì h đ cớ ố ế ộ ượ ự ồ ọ ượ
phép thi t l p ch c năng. Chú ý r ng đây không ki m tra th m quy n mà chế ậ ứ ằ ở ể ẩ ề ỉ
c n user có trong c s d li u là đã phù h p.ầ ơ ở ữ ệ ợ
•none: v i tham s này, router không đòi h i thông tin th m quy n choớ ố ỏ ẩ ề do-what?.
Th m quy n không đ c thi t l p và m t câu truy v n s đ c g i đ n c sẩ ề ượ ế ậ ộ ấ ẽ ượ ở ế ơ ở
d li u.ữ ệ
•local: v i tham s này, router ho c access server s ki m tra username/passwordớ ố ặ ẽ ể
đ c c u hình ch đ configure mode l u c c b trong router.ượ ấ ở ế ộ ư ụ ộ
•radius: v i tham s này, th m quy n RADIUS s đ c th c hi n b ng vi cớ ố ẩ ề ẽ ượ ự ệ ằ ệ
g n các thu c tính cho username trên RADIUS server. M i username cùng v iắ ộ ỗ ớ
thu c tính đ c l u tr bên trong RADIUS database.ộ ượ ư ữ
•krb5-instance: v i tham s này, router s truy v n đ n Kerberos server đ yêuớ ố ẽ ấ ế ể
c u c p th m quy n. Th m quy n s đ c l u trong Kerberos server.ầ ấ ẩ ề ẩ ề ẽ ượ ư
Nhìn chung, th m quy n có th cài đ t theo nhi u cách. V n đ là tìm ki mẩ ề ể ặ ề ấ ề ế
xem th trong database hay tài nguyên nào có c p AV hay thu c tính đ cung c pử ặ ộ ể ấ
cho router câu tr l i khi có yêu c u c p th m quy n.ả ờ ầ ấ ẩ ề
Ví d :ụ
Router(config)#aaa new-modelRouter(config)#aaa authentication login myaaa
tacacs+ localRouter(config)#aaa authorization exec tacacs+ local
Router(config)#aaa authorization command 1 tacacs+ localRouter(config)#aaa
authorization command 15 tacacs+ local Trong ví d trên, AAA đ c cho phépụ ượ
v i câu l nhớ ệ aaa new-model, ph ng th c xác th c đ c xác đ nh v i tên làươ ứ ự ượ ị ớ
“myaaa”. Dòng th 3 xác đ nh r ng n u m t user đã login vào r i thì có th truyứ ị ằ ế ộ ồ ể
c p tr c ti p vào EXEC mode. TACACS+ s đ c xét xem th user có đ cậ ự ế ẽ ượ ử ượ
phép thi t l p ch c năng hay không?ế ậ ứ
Hai dòng cu i t ng t nhau. N u user đã login vào r i s đ c ki m tra trongố ươ ự ế ồ ẽ ượ ể
TACACS database xem xét m c phân quy n c a user đó. Các m c phân quy nứ ề ủ ứ ề
có th có trên router là t 1 – 15.ể ừ
2.1.1.3.Tính c c (Accounting)ướ
AAA accounting có th cung c p thông tin liên quan đ n ho t đ ng c a user vàể ấ ế ạ ộ ủ
ghi vào database. Đây là m t khái ni m r t h u d ng v i các d ch v Internet.ộ ệ ấ ữ ụ ớ ị ụ
Ngày nay nó càng ph bi n h n cho khi các ISP thi t l p cho khách hàng th iổ ế ơ ế ậ ờ
gian truy c p không h n ch . Tuy nhiên, đi u này không làm h n ch kh năngậ ạ ế ề ạ ế ả
nhà qu n tr giám sát các m c phân quy n không đ c c p phát tr c cũng nhả ị ứ ề ượ ấ ướ ư
tính an toàn cho tài nguyên h th ng. Thêm vào đó, accounting có th giám sátệ ố ể
vi c s d ng tài nguyên đ có th c p phát cho h th ng t t h n.ệ ử ụ ể ể ấ ệ ố ố ơ
Accounting th ng đ c s d ng cho vi c tính c c và l u thông tin ho t đ ngườ ượ ử ụ ệ ướ ư ạ ộ
c a khách hàng. Cú pháp t ng quát c a câu l nh aaa accounting là:ủ ổ ủ ệ
aaa accounting event-type {default | list-name} {start-stop | wait-start | stop-
only | none} method1 [method2] Câu l nh trên có d ng:ệ ạ
aaa accounting what-to-track how-to-track where-to-send-the-information Tham
số what-to-track nh sau:ư
•network: v i tham s này, accounting m ng s ghi l i thông tin v PPP, SLIP,ớ ố ạ ẽ ạ ề
ARAP session. Thông tin accounting cung c p th i gian truy c p và s d ng tàiấ ờ ậ ử ụ
nguyên m ng tính theo gói hay theo byte.ạ
•connection: v i tham s này, connection accounting s log l i thông tin v k tớ ố ẽ ạ ề ế
n i bên ngoài đ c t o ra t router hay RAS, g m c phiên Telnet hay rlogin.ố ượ ạ ừ ồ ả
V n đ chính là t bên ngoài; nó cho phép theo dõi k t n i đ c t o ra t RASấ ề ừ ế ố ượ ạ ừ
cũng nh n i đã t o ra k t n i.ư ơ ạ ế ố
•exec: v i tham s này, EXEC accounting s log thông tin cho bi t khi nào thìớ ố ẽ ế
m t user t o ra m t EXEC terminal session trên router. Thông tin g m đ a ch IP,ộ ạ ộ ồ ị ỉ
s đi n tho i (n u là user g i vào), th i gian và ngày gi truy c p. Thông tin cóố ệ ạ ế ọ ờ ờ ậ
th có ích trong vi c theo dõi nh ng truy c p đ n RAS mà không đ c xác th c.ể ệ ữ ậ ế ượ ự
•command: v i tham s này, command accounting s log nh ng thông tin v cácớ ố ẽ ữ ề
câu l nh đã th c thi trên router. Accounting ch a danh sách các l nh đã th c thiệ ự ứ ệ ự
trong su t EXEC session, cùng v i th i gian th c thi.ố ớ ờ ự
•system: v i tham s này, system accounting s log nh ng thông tin v h th ngớ ố ẽ ữ ề ệ ố
nh thay đ i c u hình hay reload l i h th ng.ư ổ ấ ạ ệ ố
Nh ta th y, l ng thông tin đ c giám sát là r t có giá tr . Đi u quan tr ng làư ấ ượ ượ ấ ị ề ọ
nhà qu n tr ph i bi t theo dõi nh ng thông tin có ích, không nên bám sát nh ngả ị ả ế ữ ữ
thông tin không c n thi t vì đi u đó có th t o ra m t l ng overhead r t l nầ ế ề ể ạ ộ ượ ấ ớ
c a tài nguyên m ng.ủ ạ
Tham số how-to-track có th g m:ể ồ
•start-stop: tùy ch n này g i các accounting record khi ti n trình kh i t o. Đi uọ ở ế ở ạ ề
này đ c g i đi nh là m t ti n trình n n t ng và yêu c u ng i dùng đ cượ ở ư ộ ế ề ả ầ ườ ượ
kh i t o mà không có b t kì đ tr nào. Khi ti n trình c a user hoàn t t, th iở ạ ấ ộ ễ ế ủ ấ ờ
gian k t thúc và thông tin s đ c g i đ n AAA database. Tùy ch n này là c nế ẽ ượ ử ế ọ ầ
thi t khi có yêu c u cho bi t th i gian mà user đã dùng cũng nh th i gian cònế ầ ế ờ ư ờ
l i mà user đ c phép s d ng.ạ ượ ử ụ
•stop-only: tùy ch n này g i thông tin đ c t p h p l i d a trên tham sọ ử ượ ậ ợ ạ ự ố what-
to-track khi ti n trình c a user k t thúc. Tùy ch n này s d ng ch khi thôngế ủ ế ọ ử ụ ỉ
tin what-to-tracklà c n thi t.ầ ế
•wait-start: tùy ch n này không cho phép ti n trình ng i dùng kh i t o tr cọ ế ườ ở ạ ướ
khi m t ACK đ c nh n t accounting database c a RAS. Tham s này th ngộ ượ ậ ừ ủ ố ườ
quan tr ng khi s ki n giám sát có th b m t k t n i v i accounting database.ọ ự ệ ể ị ấ ế ố ớ
Ph n cu i cùng c a thông tin c n thi t cho RAS hay router đó là n i mà thôngầ ố ủ ầ ế ơ
tin đ c giám sát g i đ n. Tham sượ ở ế ố where-to-send-the-information có th là:ể
•tacacs+: khi tùy ch n này đ c s d ng, thông tin đ c g i đ n TACACS+ọ ượ ử ụ ượ ử ế
server.
•radius: khi tùy ch n này đ c s d ng thì thông tin đ c g i đ n RADIUSọ ượ ử ụ ượ ử ế
server database. Vi c cài đ t hi n t i không h tr đ c tính này.ệ ặ ệ ạ ỗ ợ ặ
Ví d :ụ
Router(config)#aaa accounting command 15 start-stop tacacs+Router(config)#aaa
accounting connection start-stop tacacs+Router(config)#aaa accounting system
wait-start tacacs+ dòng đ u tiên, accounting đ c kích ho t cho phép s d ngỞ ầ ượ ạ ử ụ
t t c các câu l nh v i user có m c phân quy n là 15. Dòng th hai s log c sấ ả ệ ớ ứ ề ứ ẽ ơ ở
d li u khi m t k t n i c a user b t đ u hay k t thúc. Dòng cu i cho th y b tữ ệ ộ ế ố ủ ắ ầ ế ố ấ ấ
c s ki n nào trong h th ng nh là thay đ i c u hình hay reload l i đ u đ cứ ự ệ ệ ố ư ổ ấ ạ ề ượ
giám sát b i th i gian b t đ u và k t thúc.ở ờ ắ ầ ế
Tham số wait-start đ m b o r ng ch khi h th ng đ c báo nh n ACK thì sả ả ằ ỉ ệ ố ượ ậ ự
ki n m i kh i t o. V n đ chính đây là n u s ki n là thao tác reload l iệ ớ ở ạ ấ ề ở ế ự ệ ạ
router, thì c n chú ý r ng s ki n đ c log và đ c xác nh n ACK tr c khiầ ằ ự ệ ượ ượ ậ ướ
router reload l i. N u thông đi p b m t trong khi truy n, s ki n s đ c ghiạ ế ệ ị ấ ề ự ệ ẽ ượ
l i.ạ
V n đ c b n c a accounting là accounting record đ c g i đ n TACACS+ấ ề ơ ả ủ ượ ử ế
server ho c RADIUS server. Thêm vào đó, các record đ c giám sát nên đ cặ ượ ượ
ghi l i vào router v i câu l nh AAA accounting.ạ ớ ệ
Accounting có tác d ng r t m nh đ qu n lý tài nguyên m ng; tuy nhiên, nóụ ấ ạ ể ả ạ
cũng là m t con dao hai l i. Càng th ng kê nhi u, càng nhi u tài nguyên đ cộ ưỡ ố ề ề ượ
s d ng. Tham sử ụ ố stop-only ch nên s d ng khi th i gian k t thúc là không c nỉ ử ụ ờ ế ầ
thi t.ế
Các file đính kèm theo tài liệu này:
- Giới thiệu cơ bản về AAA.pdf