Hướng Dẫn Cấu Hình Lawful Intercept Trên Router Cisco

LAWFUL INTERCEPT TRÊN ROUTER CISCO LÀ GÌ?

Hướng Dẫn Cấu Hình Lawful Intercept Trên Router Cisco
Hướng Dẫn Cấu Hình Lawful Intercept Trên Router Cisco

Lawful Intercept trên Router Cisco là quá trình mà các cơ quan thực thi pháp luật tiến hành giám sát điện tử theo ủy quyền của lệnh tư pháp hoặc hành chính. Luật pháp ngày càng được thông qua và các quy định đang được thực thi yêu cầu các nhà cung cấp dịch vụ (SP) và nhà cung cấp dịch vụ Internet (ISP) triển khai mạng của họ để hỗ trợ giám sát điện tử được ủy quyền một cách rõ ràng. Các loại SP hoặc ISP chịu sự ủy quyền của LI rất khác nhau giữa các quốc gia. Việc tuân thủ LI ở Hoa Kỳ được chỉ định bởi Ủy ban Công nhận các Cơ quan Thực thi Pháp luật (CALEA).

Cisco hỗ trợ hai kiến ​​trúc cho LI: PacketCable và Service Independent Intercept. Bản thân các thành phần LI không đảm bảo khách hàng tuân thủ các quy định hiện hành mà thay vào đó cung cấp các công cụ mà các SP và ISP có thể sử dụng để xây dựng một mạng tuân thủ LI.


CẤU HÌNH LAWFUL INTERCEPT TRÊN ROUTER CISCO

Dưới đây là các bước cấu hình Lawful Intercept trên Router Cisco:

Tạo Restricted SNMP View Đối Với Lawful Intercept MIBs Trên Router Cisco

Để tạo và chỉ định người dùng cho chế độ xem SNMP bao gồm các MIB lawful intercept của Cisco, hãy thực hiện các bước trong phần này.

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

Device> enable

 

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc

 

Bước 2 configure terminal

Ví dụ:

Device# configure terminal

 

Vào chế độ cấu hình chung

 

Bước 3 aaa intercept

Ví dụ:

Device(config)# aaa intercept

 

Bật lawful intercept trên thiết bị

  • Liên kết lệnh này với bảo mật quản trị cao để đảm bảo rằng người dùng trái phép không thể dừng chặn nếu lệnh này bị xóa.
Note    Lệnh aaa intercept cần có để thiết lập wiretap using trên phiên IP

 

Bước 4 snmp-server view view-name MIB-name included

Ví dụ:

Device(config)# snmp-server view exampleView ciscoTap2MIB included

 

Tạo chế độ xem SNMP bao gồm CISCO-TAP2-MIB (trong đó exampleView là tên của view cần tạo cho MIB).

  • MIB này là cần thiết cho cả chặn hợp pháp thông thường và băng thông rộng.

 

Bước 5 snmp-server view view-name MIB-name included

Ví dụ:

Device(config)# snmp-server view exampleView ciscoIpTapMIB included

 

Thêm CISCO-IP-TAP-MIB vào chế độ xem SNMP.

 

Bước 6 snmp-server view view-name MIB-name included

Ví dụ:

Device(config)# snmp-server view exampleView cisco802TapMIB included

 

Thêm CISCO-802-TAP-MIB vào chế độ xem SNMP.

 

Bước 7 snmp-server group group-name v3 noauth read view-name write view-name

Ví dụ:

Device(config)# snmp-server group exampleGroup v3 noauth read exampleView write exampleView

 

Tạo nhóm SNMP user có quyền truy cập vào chế độ xem LI MIB và xác định quyền truy cập của nhóm đối với view.

 

Bước 8 snmp-server user user-name group-name v3 auth md5 auth-password

Ví dụ:

Device(config)# snmp-server user exampleUser exampleGroup v3 auth md5 examplePassword

 

Thêm người dùng vào nhóm người dùng được chỉ định

 

Bước 9 end

Ví dụ:

Device(config)# end

 

Thoát khỏi chế độ cấu hình hiện tại và quay lại chế độ EXEC đặc quyền.

Kích Hoạt Thông Báo SNMP Cho Lawful Intercept Trên Router Cisco

SNMP tự động tạo thông báo cho các sự kiện lawful intercept. Để định cấu hình Router Cisco gửi thông báo chặn hợp pháp tới thiết bị hòa giải, hãy thực hiện các bước trong phần này.

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

Device> enable

 

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc

 

Bước 2 configure terminal

Ví dụ:

Device# configure terminal

 

Vào chế độ cấu hình chung

 

Bước 3 snmp-server host ip-address community-string udp-port port notification-type

Ví dụ:

Device(config)# snmp-server 10.2.2.1 community-string udp-port 161 udp

 

Chỉ định địa chỉ IP của thiết bị mediation và chuỗi cộng đồng giống như mật khẩu được gửi cùng với yêu cầu thông báo.

  • Với lawful intercept, udp-port phải là 161 chứ không phải 162 (SNMP mặc định).

 

Bước 4 snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart

Ví dụ:

Device(config)# snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart

 

Cấu hình bộ định tuyến Cisco để gửi thông báo RFC 1157 đến thiết bị

  • Các thông báo này cho biết lỗi xác thực, trạng thái liên kết (lên hoặc xuống) và khởi động lại bộ định tuyến

 

Bước 5 end

Ví dụ:

Device(config)# end

 

Thoát khỏi chế độ cấu hình hiện tại và quay lại chế độ EXEC đặc quyền

 

Vô Hiệu Hóa Thông Báo SNMP Trên Router Cisco

Để tắt thông báo SNMP trên Router Cisco, hãy thực hiện các bước trong phần này:

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

Device> enable

 

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc

 

Bước 2 configure terminal

Ví dụ:

Device# configure terminal

 

Vào chế độ cấu hình chung

 

Bước 3 no snmp-server enable traps

Ví dụ:

Device(config)# no snmp-server enable traps

 

Tắt tất cả các loại thông báo SNMP có sẵn trên hệ thống của bạn

 

Bước 4 end

Ví dụ:

Device(config)# end

 

Thoát khỏi chế độ cấu hình hiện tại và quay lại chế độ EXEC đặc quyền

 

Kích Hoạt Phiên RADIUS Intercepts Trên Router Cisco

Không có lệnh CLI user nào khả dụng để cung cấp thiết bị mediation hoặc tap. Tuy nhiên, để kích hoạt tính năng chặn thông qua CISCO-TAP-MIB, bạn phải định cấu hình hệ thống để cung cấp giá trị account-session-id cho thiết bị mediation. Để kích hoạt phiên RADIUS intercepts trên Router Cisco, hãy thực hiện các bước trong phần này.

  Command or Action Purpose
Bước 1 enable

Ví dụ:

Device> enable

 

Vào chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc

 

Bước 2 configure terminal

Ví dụ:

Device# configure terminal

 

Vào chế độ cấu hình chung

 

Bước 3 aaa intercept

Ví dụ:

Device(config)# aaa intercept

 

Bật lawful intercept trên router.

  • Liên kết lệnh này với bảo mật quản trị cao để đảm bảo rằng người dùng trái phép không thể dừng chặn nếu lệnh này bị xóa.

 

Bước 4 aaa authentication ppp default group radius

Ví dụ:

Device(config)# aaa authentication ppp default group radius

 

Chỉ định phương thức xác thực sẽ sử dụng trên các giao diện nối tiếp đang chạy giao thức Point-to-Point (PPP).

Note    Lệnh này là bắt buộc vì thông tin nhấn chỉ nằm trên máy chủ RADIUS. Bạn có thể xác thực bằng thông tin được định cấu hình nội bộ nhưng bạn không thể chỉ định một lần nhấn bằng thông tin được định cấu hình cục bộ.

 

Bước 5 aaa accounting delay-start all

Ví dụ:

Device(config)# aaa accounting delay-start all

 

Trì hoãn việc tạo bản ghi bắt đầu kế toán cho đến khi địa chỉ IP của người dùng được thiết lập. Chỉ định từ khóa all đảm bảo rằng độ trễ áp dụng cho tất cả người dùng VRF và không phải VRF.

Note    Lệnh này là bắt buộc để thiết bị mediation có thể thấy địa chỉ IP được gán cho mục tiêu.

 

Bước 6 aaa accounting send stop-record authentication failure

Ví dụ:

Device(config)# aaa accounting send stop-record authentication failure

 

(Tùy chọn) Tạo bản ghi accounting stop cho những người dùng không xác thực được khi đăng nhập hoặc trong khi đàm phán phiên.

Note    Nếu hành động lawful intercept là 1 không bắt đầu tap, bản ghi stop chứa Acct-Termination-Cause (nguyên nhân chấm dứt hành động), thuộc tính 49, được đặt thành 15 (Service Unavailable).

 

Bước 7 aaa accounting network default start-stop group radius

Ví dụ:

Device(config)# aaa accounting network default start-stop group radius

 

(Tùy chọn) Cho phép tính toán tất cả các yêu cầu dịch vụ liên quan đến mạng.

Note    Lệnh này chỉ được yêu cầu để xác định lý do tại sao tap không bắt đầu

 

Bước 8 radius-server attribute 44 include-in-access-req

Ví dụ:

Device(config)# radius-server attribute 44 include-in-access-req

 

(Tùy chọn) Gửi thuộc tính RADIUS 44 (Accounting Session ID) trong gói yêu cầu trước khi xác thực người dùng (bao gồm cả yêu cầu xác thực trước).

Note    Nhập lệnh này để lấy thuộc tính 44 từ gói Access-Request. Nếu không, bạn sẽ phải đợi nhận được các gói accounting trước khi có thể xác định giá trị của thuộc tính 44

 

Bước 9 radius-server host host-name

Ví dụ:

Device(config)# radius-server host host1

 

(Tùy chọn) Chỉ định máy chủ RADIUS.

 

Bước 10 aaa server radius dynamic-author

Ví dụ:

Device(config)# aaa server radius dynamic-author

 

Cấu hình thiết bị làm máy chủ Authentication, Authorization và Accounting (AAA) để hỗ trợ tương tác với máy chủ chính sách bên ngoài và chuyển sang chế độ cấu hình máy chủ cục bộ ủy quyền động.

Note    Đây là một lệnh tùy chọn nếu tap luôn được bắt đầu khi phiên bắt đầu. Lệnh này là bắt buộc nếu Yêu cầu CoA được sử dụng để bắt đầu và dừng tap trong các phiên hiện có.

 

Bước 11 client ip-address

Ví dụ:

Device(config-locsvr-da-radius)# client 10.0.0.2

 

(Tùy chọn) Chỉ định ứng dụng khách RADIUS mà từ đó thiết bị sẽ chấp nhận các gói CoA-Request.

 

Bước 12 domain {delimiter characterstripping [right-to-left]}

Ví dụ:

Device(config-locsvr-da-radius)# domain stripping right-to-left

Ví dụ:

Device(config-locsvr-da-radius)# domain delimiter @

 

(Tùy chọn) Cấu hình tùy chọn miền username cho ứng dụng RADIUS.

  • Từ khóa delimiter chỉ định dấu phân cách tên miền. Một trong các tùy chọn sau có thể được chỉ định cho đối số: @/$%\# hoặc
  • Từ khóa stripping so sánh tên người dùng đến với các tên được định hướng ở bên trái của dấu phân cách tên miền @
  • Từ khóa right-to-left kết thúc chuỗi ở dấu phân cách đầu tiên đi từ phải sang trái.
Bước 13 server-key word

Ví dụ:

Device(config-locsvr-da-radius)# server-key samplekey

 

(Tùy chọn) Cấu hình RADIUS được chia sẻ giữa thiết bị và máy khách RADIUS
Bước 14 port port-number

Ví dụ:

Device(config-locsvr-da-radius)# port 1600

 

(Tùy chọn) Chỉ định ứng dụng khách RADIUS mà từ đó thiết bị sẽ chấp nhận các gói CoA-Request.

 

Bước 15 exit

Ví dụ:

Device(config-locsvr-da-radius)# exit

 

Thoát khỏi chế độ cấu hình máy chủ cục bộ ủy quyền động và quay lại chế độ cấu hình toàn cầu.

 

Bước 16 end

Ví dụ:

Device(config)# end

 

Thoát khỏi chế độ cấu hình hiện tại và quay lại chế độ EXEC đặc quyền.

 

Cấu Hình Circuit ID Based Tapping Trên Router Cisco

Để cấu hình Circuit ID Based Tapping của phiên user và gói dữ liệu xác thực RADIUS trên bộ định tuyến, hãy thực hiện các bước trong phần này.

  Command or Action Purpose
Bước 1 enable

Ví dụ:

Device> enable

 

Bật chế độ EXEC đjăc quyền

  • Nhập mật khẩu của bạn nếu được nhắc

 

Bước 2 configure terminal

Ví dụ:

Device# configure terminal

 

Vào chế độ cấu hình chung

 

Step 3 subscriber access pppoe unique-key circuit-id

Ví dụ:

Device(config)#subscriber access pppoe unique-key circuit-id

 

Chỉ định ID tag duy nhất cho phiên người dùng PPPoE sẽ được gõ trên bộ định tuyến

 

Step 4 end

Ví dụ:

Device(config)# end

 

Thoát khỏi chế độ cấu hình hiện tại và quay lại chế độ EXEC đặc quyền

 

Step 5 show pppoe session all

Ví dụ:

Device# show pppoe session all

 

Hiển thị thẻ ID mạch trong phiên PPPoE, được sử dụng trong bước tiếp theo để xác minh phiên người dùng.

 

Step 6 show idmgr session key circuit-id circuit-id

Ví dụ:

Device# show idmgr session key circuit-id Ethernet4/0.100:PPPoE-Tag-1

Ví dụ:

session-handle = AA000007

Ví dụ:

aaa-unique-id = 0000000E

Ví dụ:

circuit-id-tag = Ethernet4/0.100:PPPoE-Tag-1

Ví dụ:

interface = nas-port:0.0.0.0:0/1/1/100

Ví dụ:

authen-status = authen

Ví dụ:

username = user1@cisco.com

Ví dụ:

addr = 106.1.1.3

Ví dụ:

session-guid = 650101020000000E

Ví dụ:

The session hdl AA000007 in the record is valid

Ví dụ:

The session hdl AA000007 in the record is valid

Ví dụ:

No service record found

 

Xác minh thông tin phiên của người dùng trong cơ sở dữ liệu Trình quản lý ID (IDMGR) bằng cách chỉ định thẻ ID mạch duy nhất.

 


ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT

ANBINHNET ™ là nhà phân phối Cisco Việt Nam chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.

ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Router Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.

Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router CiscoHãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn

Bài viết liên quan

Nhập Email để nhận ngay báo giá sản phẩm

    • Kết Nối Với Chúng Tôi