LAWFUL INTERCEPT TRÊN ROUTER CISCO LÀ GÌ?
Hướng Dẫn Cấu Hình Lawful Intercept Trên Router Cisco
Lawful Intercept trên Router Cisco là quá trình mà các cơ quan thực thi pháp luật tiến hành giám sát điện tử theo ủy quyền của lệnh tư pháp hoặc hành chính. Luật pháp ngày càng được thông qua và các quy định đang được thực thi yêu cầu các nhà cung cấp dịch vụ (SP) và nhà cung cấp dịch vụ Internet (ISP) triển khai mạng của họ để hỗ trợ giám sát điện tử được ủy quyền một cách rõ ràng. Các loại SP hoặc ISP chịu sự ủy quyền của LI rất khác nhau giữa các quốc gia. Việc tuân thủ LI ở Hoa Kỳ được chỉ định bởi Ủy ban Công nhận các Cơ quan Thực thi Pháp luật (CALEA).
Cisco hỗ trợ hai kiến trúc cho LI: PacketCable và Service Independent Intercept. Bản thân các thành phần LI không đảm bảo khách hàng tuân thủ các quy định hiện hành mà thay vào đó cung cấp các công cụ mà các SP và ISP có thể sử dụng để xây dựng một mạng tuân thủ LI.
CẤU HÌNH LAWFUL INTERCEPT TRÊN ROUTER CISCO
Dưới đây là các bước cấu hình Lawful Intercept trên Router Cisco:
Tạo Restricted SNMP View Đối Với Lawful Intercept MIBs Trên Router Cisco
Để tạo và chỉ định người dùng cho chế độ xem SNMP bao gồm các MIB lawful intercept của Cisco, hãy thực hiện các bước trong phần này.
| |
Lệnh hoặc Hành động |
Mục đích |
| Bước 1 |
enable
Ví dụ:
Device> enable
|
Bật chế độ EXEC đặc quyền
- Nhập mật khẩu của bạn nếu được nhắc
|
| Bước 2 |
configure terminal
Ví dụ:
Device# configure terminal
|
Vào chế độ cấu hình chung
|
| Bước 3 |
aaa intercept
Ví dụ:
Device(config)# aaa intercept
|
Bật lawful intercept trên thiết bị
- Liên kết lệnh này với bảo mật quản trị cao để đảm bảo rằng người dùng trái phép không thể dừng chặn nếu lệnh này bị xóa.
| Note |
Lệnh aaa intercept cần có để thiết lập wiretap using trên phiên IP |
|
| Bước 4 |
snmp-server view view-name MIB-name included
Ví dụ:
Device(config)# snmp-server view exampleView ciscoTap2MIB included
|
Tạo chế độ xem SNMP bao gồm CISCO-TAP2-MIB (trong đó exampleView là tên của view cần tạo cho MIB).
- MIB này là cần thiết cho cả chặn hợp pháp thông thường và băng thông rộng.
|
| Bước 5 |
snmp-server view view-name MIB-name included
Ví dụ:
Device(config)# snmp-server view exampleView ciscoIpTapMIB included
|
Thêm CISCO-IP-TAP-MIB vào chế độ xem SNMP.
|
| Bước 6 |
snmp-server view view-name MIB-name included
Ví dụ:
Device(config)# snmp-server view exampleView cisco802TapMIB included
|
Thêm CISCO-802-TAP-MIB vào chế độ xem SNMP.
|
| Bước 7 |
snmp-server group group-name v3 noauth read view-name write view-name
Ví dụ:
Device(config)# snmp-server group exampleGroup v3 noauth read exampleView write exampleView
|
Tạo nhóm SNMP user có quyền truy cập vào chế độ xem LI MIB và xác định quyền truy cập của nhóm đối với view.
|
| Bước 8 |
snmp-server user user-name group-name v3 auth md5 auth-password
Ví dụ:
Device(config)# snmp-server user exampleUser exampleGroup v3 auth md5 examplePassword
|
Thêm người dùng vào nhóm người dùng được chỉ định
|
| Bước 9 |
end
Ví dụ:
Device(config)# end
|
Thoát khỏi chế độ cấu hình hiện tại và quay lại chế độ EXEC đặc quyền. |
Kích Hoạt Thông Báo SNMP Cho Lawful Intercept Trên Router Cisco
SNMP tự động tạo thông báo cho các sự kiện lawful intercept. Để định cấu hình Router Cisco gửi thông báo chặn hợp pháp tới thiết bị hòa giải, hãy thực hiện các bước trong phần này.
| |
Lệnh hoặc Hành động |
Mục đích |
| Bước 1 |
enable
Ví dụ:
Device> enable
|
Bật chế độ EXEC đặc quyền
- Nhập mật khẩu của bạn nếu được nhắc
|
| Bước 2 |
configure terminal
Ví dụ:
Device# configure terminal
|
Vào chế độ cấu hình chung
|
| Bước 3 |
snmp-server host ip-address community-string udp-port port notification-type
Ví dụ:
Device(config)# snmp-server 10.2.2.1 community-string udp-port 161 udp
|
Chỉ định địa chỉ IP của thiết bị mediation và chuỗi cộng đồng giống như mật khẩu được gửi cùng với yêu cầu thông báo.
- Với lawful intercept, udp-port phải là 161 chứ không phải 162 (SNMP mặc định).
|
| Bước 4 |
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
Ví dụ:
Device(config)# snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
|
Cấu hình bộ định tuyến Cisco để gửi thông báo RFC 1157 đến thiết bị
- Các thông báo này cho biết lỗi xác thực, trạng thái liên kết (lên hoặc xuống) và khởi động lại bộ định tuyến
|
| Bước 5 |
end
Ví dụ:
Device(config)# end
|
Thoát khỏi chế độ cấu hình hiện tại và quay lại chế độ EXEC đặc quyền
|
Vô Hiệu Hóa Thông Báo SNMP Trên Router Cisco
Để tắt thông báo SNMP trên Router Cisco, hãy thực hiện các bước trong phần này:
| |
Lệnh hoặc Hành động |
Mục đích |
| Bước 1 |
enable
Ví dụ:
Device> enable
|
Bật chế độ EXEC đặc quyền
- Nhập mật khẩu của bạn nếu được nhắc
|
| Bước 2 |
configure terminal
Ví dụ:
Device# configure terminal
|
Vào chế độ cấu hình chung
|
| Bước 3 |
no snmp-server enable traps
Ví dụ:
Device(config)# no snmp-server enable traps
|
Tắt tất cả các loại thông báo SNMP có sẵn trên hệ thống của bạn
|
| Bước 4 |
end
Ví dụ:
Device(config)# end
|
Thoát khỏi chế độ cấu hình hiện tại và quay lại chế độ EXEC đặc quyền
|
Kích Hoạt Phiên RADIUS Intercepts Trên Router Cisco
Không có lệnh CLI user nào khả dụng để cung cấp thiết bị mediation hoặc tap. Tuy nhiên, để kích hoạt tính năng chặn thông qua CISCO-TAP-MIB, bạn phải định cấu hình hệ thống để cung cấp giá trị account-session-id cho thiết bị mediation. Để kích hoạt phiên RADIUS intercepts trên Router Cisco, hãy thực hiện các bước trong phần này.
| |
Command or Action |
Purpose |
| Bước 1 |
enable
Ví dụ:
Device> enable
|
Vào chế độ EXEC đặc quyền
- Nhập mật khẩu của bạn nếu được nhắc
|
| Bước 2 |
configure terminal
Ví dụ:
Device# configure terminal
|
Vào chế độ cấu hình chung
|
| Bước 3 |
aaa intercept
Ví dụ:
Device(config)# aaa intercept
|
Bật lawful intercept trên router.
- Liên kết lệnh này với bảo mật quản trị cao để đảm bảo rằng người dùng trái phép không thể dừng chặn nếu lệnh này bị xóa.
|
| Bước 4 |
aaa authentication ppp default group radius
Ví dụ:
Device(config)# aaa authentication ppp default group radius
|
Chỉ định phương thức xác thực sẽ sử dụng trên các giao diện nối tiếp đang chạy giao thức Point-to-Point (PPP).
| Note |
Lệnh này là bắt buộc vì thông tin nhấn chỉ nằm trên máy chủ RADIUS. Bạn có thể xác thực bằng thông tin được định cấu hình nội bộ nhưng bạn không thể chỉ định một lần nhấn bằng thông tin được định cấu hình cục bộ. |
|
| Bước 5 |
aaa accounting delay-start all
Ví dụ:
Device(config)# aaa accounting delay-start all
|
Trì hoãn việc tạo bản ghi bắt đầu kế toán cho đến khi địa chỉ IP của người dùng được thiết lập. Chỉ định từ khóa all đảm bảo rằng độ trễ áp dụng cho tất cả người dùng VRF và không phải VRF.
| Note |
Lệnh này là bắt buộc để thiết bị mediation có thể thấy địa chỉ IP được gán cho mục tiêu. |
|
| Bước 6 |
aaa accounting send stop-record authentication failure
Ví dụ:
Device(config)# aaa accounting send stop-record authentication failure
|
(Tùy chọn) Tạo bản ghi accounting stop cho những người dùng không xác thực được khi đăng nhập hoặc trong khi đàm phán phiên.
| Note |
Nếu hành động lawful intercept là 1 không bắt đầu tap, bản ghi stop chứa Acct-Termination-Cause (nguyên nhân chấm dứt hành động), thuộc tính 49, được đặt thành 15 (Service Unavailable). |
|
| Bước 7 |
aaa accounting network default start-stop group radius
Ví dụ:
Device(config)# aaa accounting network default start-stop group radius
|
(Tùy chọn) Cho phép tính toán tất cả các yêu cầu dịch vụ liên quan đến mạng.
| Note |
Lệnh này chỉ được yêu cầu để xác định lý do tại sao tap không bắt đầu |
|
| Bước 8 |
radius-server attribute 44 include-in-access-req
Ví dụ:
Device(config)# radius-server attribute 44 include-in-access-req
|
(Tùy chọn) Gửi thuộc tính RADIUS 44 (Accounting Session ID) trong gói yêu cầu trước khi xác thực người dùng (bao gồm cả yêu cầu xác thực trước).
| Note |
Nhập lệnh này để lấy thuộc tính 44 từ gói Access-Request. Nếu không, bạn sẽ phải đợi nhận được các gói accounting trước khi có thể xác định giá trị của thuộc tính 44 |
|
| Bước 9 |
radius-server host host-name
Ví dụ:
Device(config)# radius-server host host1
|
(Tùy chọn) Chỉ định máy chủ RADIUS.
|
| Bước 10 |
aaa server radius dynamic-author
Ví dụ:
Device(config)# aaa server radius dynamic-author
|
Cấu hình thiết bị làm máy chủ Authentication, Authorization và Accounting (AAA) để hỗ trợ tương tác với máy chủ chính sách bên ngoài và chuyển sang chế độ cấu hình máy chủ cục bộ ủy quyền động.
| Note |
Đây là một lệnh tùy chọn nếu tap luôn được bắt đầu khi phiên bắt đầu. Lệnh này là bắt buộc nếu Yêu cầu CoA được sử dụng để bắt đầu và dừng tap trong các phiên hiện có. |
|
| Bước 11 |
client ip-address
Ví dụ:
Device(config-locsvr-da-radius)# client 10.0.0.2
|
(Tùy chọn) Chỉ định ứng dụng khách RADIUS mà từ đó thiết bị sẽ chấp nhận các gói CoA-Request.
|
| Bước 12 |
domain {delimiter character| stripping [right-to-left]}
Ví dụ:
Device(config-locsvr-da-radius)# domain stripping right-to-left
Ví dụ:
Device(config-locsvr-da-radius)# domain delimiter @
|
(Tùy chọn) Cấu hình tùy chọn miền username cho ứng dụng RADIUS.
- Từ khóa delimiter chỉ định dấu phân cách tên miền. Một trong các tùy chọn sau có thể được chỉ định cho đối số: @, /, $, %, \, # hoặc –
- Từ khóa stripping so sánh tên người dùng đến với các tên được định hướng ở bên trái của dấu phân cách tên miền @
- Từ khóa right-to-left kết thúc chuỗi ở dấu phân cách đầu tiên đi từ phải sang trái.
|
| Bước 13 |
server-key word
Ví dụ:
Device(config-locsvr-da-radius)# server-key samplekey
|
(Tùy chọn) Cấu hình RADIUS được chia sẻ giữa thiết bị và máy khách RADIUS |
| Bước 14 |
port port-number
Ví dụ:
Device(config-locsvr-da-radius)# port 1600
|
(Tùy chọn) Chỉ định ứng dụng khách RADIUS mà từ đó thiết bị sẽ chấp nhận các gói CoA-Request.
|
| Bước 15 |
exit
Ví dụ:
Device(config-locsvr-da-radius)# exit
|
Thoát khỏi chế độ cấu hình máy chủ cục bộ ủy quyền động và quay lại chế độ cấu hình toàn cầu.
|
| Bước 16 |
end
Ví dụ:
Device(config)# end
|
Thoát khỏi chế độ cấu hình hiện tại và quay lại chế độ EXEC đặc quyền.
|
Cấu Hình Circuit ID Based Tapping Trên Router Cisco
Để cấu hình Circuit ID Based Tapping của phiên user và gói dữ liệu xác thực RADIUS trên bộ định tuyến, hãy thực hiện các bước trong phần này.
| |
Command or Action |
Purpose |
| Bước 1 |
enable
Ví dụ:
Device> enable
|
Bật chế độ EXEC đjăc quyền
- Nhập mật khẩu của bạn nếu được nhắc
|
| Bước 2 |
configure terminal
Ví dụ:
Device# configure terminal
|
Vào chế độ cấu hình chung
|
| Step 3 |
subscriber access pppoe unique-key circuit-id
Ví dụ:
Device(config)#subscriber access pppoe unique-key circuit-id
|
Chỉ định ID tag duy nhất cho phiên người dùng PPPoE sẽ được gõ trên bộ định tuyến
|
| Step 4 |
end
Ví dụ:
Device(config)# end
|
Thoát khỏi chế độ cấu hình hiện tại và quay lại chế độ EXEC đặc quyền
|
| Step 5 |
show pppoe session all
Ví dụ:
Device# show pppoe session all
|
Hiển thị thẻ ID mạch trong phiên PPPoE, được sử dụng trong bước tiếp theo để xác minh phiên người dùng.
|
| Step 6 |
show idmgr session key circuit-id circuit-id
Ví dụ:
Device# show idmgr session key circuit-id Ethernet4/0.100:PPPoE-Tag-1
Ví dụ:
session-handle = AA000007
Ví dụ:
aaa-unique-id = 0000000E
Ví dụ:
circuit-id-tag = Ethernet4/0.100:PPPoE-Tag-1
Ví dụ:
interface = nas-port:0.0.0.0:0/1/1/100
Ví dụ:
authen-status = authen
Ví dụ:
username = user1@cisco.com
Ví dụ:
addr = 106.1.1.3
Ví dụ:
session-guid = 650101020000000E
Ví dụ:
The session hdl AA000007 in the record is valid
Ví dụ:
The session hdl AA000007 in the record is valid
Ví dụ:
No service record found
|
Xác minh thông tin phiên của người dùng trong cơ sở dữ liệu Trình quản lý ID (IDMGR) bằng cách chỉ định thẻ ID mạch duy nhất.
|
ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT
ANBINHNET ™ là nhà phân phối Cisco Việt Nam chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.
ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Router Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.
Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router Cisco, Hãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:
Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội
Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn
THIẾT BỊ CISCO
THIẾT BỊ RUCKUS
