Hướng Dẫn Cấu Hình RADIUS Change of Authorization Trên Router Cisco

TÍNH NĂNG RADIUS CHANGE OF AUTHORIZATION TRÊN ROUTER CISCO LÀ GÌ?

Tính năng RADIUS Change of Authorization (CoA) trên Router Cisco cung cấp cơ chế thay đổi các thuộc tính của phiên authentication, authorization, và accounting (AAA) sau khi được xác thực. Khi một chính sách thay đổi đối với người dùng hoặc nhóm người dùng trong AAA, quản trị viên có thể gửi các gói RADIUS CoA từ máy chủ AAA, chẳng hạn như Cisco Secure Access Control Server (ACS) để khởi tạo lại xác thực và áp dụng chính sách mới.

Giao diện RADIUS tiêu chuẩn thường được sử dụng trong mô hình pulled, trong đó yêu cầu bắt nguồn từ một thiết bị được kết nối với mạng và phản hồi được gửi từ các máy chủ được truy vấn. Phần mềm của Cisco hỗ trợ yêu cầu RADIUS CoA được xác định trong RFC 5176 được sử dụng trong mô hình pulled, trong đó yêu cầu bắt nguồn từ máy chủ bên ngoài đến thiết bị được kết nối với mạng và cho phép cấu hình động lại các phiên từ authentication, authorization, và accounting (AAA) hoặc policy server.

Sử dụng các yêu cầu CoA sau cho mỗi phiên:

  • Xác thực lại phiên
  • Chấm dứt phiên
  • Kết thúc phiên với tắt cổng
  • Kết thúc phiên với thoát cổng
  • Bảo mật và Mật khẩu
  • Accounting
  • Yêu cầu CoA
  • Mã phản hồi yêu cầu CoA
  • Lệnh yêu cầu CoA

CÁC BƯỚC CẤU HÌNH RADIUS CHANGE OF AUTHORIZATION TRÊN ROUTER CISCO

Hướng Dẫn Cấu Hình RADIUS Change of Authorization Trên Router Cisco
Hướng Dẫn Cấu Hình RADIUS Change of Authorization Trên Router Cisco

Cấu Hình RADIUS Change of Authorization Trên Router Cisco

  Command or Action Purpose
Bước 1 enable

Ví dụ:

Device> enable

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

Device# configure terminal

Vào chế độ cấu hình chung
Bước 3 aaa new-model

Ví dụ:

Device(config)# aaa new-model

Bật authentication, authorization, và accounting (AAA) trên toàn hệ thống.
Bước 4 aaa server radius dynamic-author

Ví dụ:

Device(config)# aaa server radius dynamic-author

Nhập chế độ cấu hình máy chủ cục bộ dynamic authorization và chỉ định RADIUS client từ thiết bị chấp nhận Change of Authorization (CoA) và ngắt kết nối các yêu cầu. Cấu hình thiết bị làm máy chủ AAA để tạo điều kiện tương tác với máy chủ chính sách bên ngoài..
Bước 5 client {ip-address | name [vrf vrf-name]} server-key [string

Ví dụ:

Device(config-locsvr-da-radius)# client 10.0.0.1

Cấu hình khóa RADIUS được chia sẻ giữa thiết bị và RADIUS client.
Bước 6 port port-number

Ví dụ:

Device(config-locsvr-da-radius)# port 3799

Chỉ định cổng mà trên đó thiết bị lắng nghe yeu cầu RADIUS từ các máy khách RADIUS đã định cấu hình.

Note Cổng mặc định cho các gói ngắt kết nối là 1700. Cần có cổng 3799 để tương tác với ACS 5.1.
Bước 7 auth-type {any all session-key }

Ví dụ:

Device(config-locsvr-da-radius)# auth-type all

Chỉ định loại ủy quyền mà thiết bị phải sử dụng cho máy khách RADIUS. Máy khách phải khớp với các thuộc tính được định cấu hình để cấp quyền.
Bước 8 ignore session-key

Ví dụ:

Device(config-locsvr-da-radius)# ignore session-key

(Tùy chọn) Cấu hình thiết bị để bỏ qua khóa phiên.
Bước 9 ignore server-key

Ví dụ:

Device(config-locsvr-da-radius)# ignore server-key

(Tùy chọn) Cấu hình thiết bị để bỏ qua khóa máy chủ.
Bước 10 exit

Ví dụ:

Device(config-locsvr-da-radius)# exit

Quay lại chế độ cấu hình global.

Cấu Hình Router Cisco Để Bỏ Qua Các Yêu Cầu Ignore Bounce Và Vô Hiệu Hóa RADIUS CoA

Khi một cổng xác thực được xác thực với nhiều máy chủ và có yêu cầu Thay đổi ủy quyền (CoA) đối với một máy chủ chuyển sang cổng này hoặc một phiên máy chủ bị chấm dứt trên cổng này, các máy chủ khác trên cổng này cũng bị ảnh hưởng. Do đó, một cổng được xác thực với nhiều máy chủ có thể kích hoạt đàm phán lại DHCP từ một hoặc nhiều máy chủ trong trường hợp xảy ra sự cố hoặc nó có thể tắt cổng xác thực đang lưu trữ phiên cho một hoặc nhiều máy chủ về mặt quản trị.

Thực hiện các bước sau để thực hiện cấu hình Router Cisco bỏ qua các yêu cầu bị trả lại và vô hiệu hóa RADIUS CoA

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

 

Device> enable

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

 

Device# configure terminal

Vào chế độ cấu hình chung
Bước 3 aaa new-model

Ví dụ:

 

Device(config)# aaa new-model

Bật authentication, authorization, accounting (AAA) trên toàn hệ thống.
Bước 4 authentication command bounce-port ignore

Ví dụ:

 

Device(config)# authentication command bounce-port ignore

(Tùy chọn) Cấu hình thiết bị để bỏ qua lệnh RADIUS server bounce port command khiến máy chủ liên kết flap trên một cổng xác thực, dẫn đến thương lượng lại DHCP từ một hoặc nhiều máy chủ được kết nối với cổng này.
Bước 5 authentication command disable-port ignore

Ví dụ:

 

Device(config)# authentication command disable-port ignore

(Tùy chọn) Cấu hình thiết bị để bỏ qua lệnh RADIUS server CoA disable port. Lệnh này sẽ tắt về mặt quản trị cổng xác thực lưu trữ một hoặc nhiều phiên máy chủ.

  • Việc tắt cổng sẽ gây ra kết thúc phiên
Bước 6 end

Ví dụ:

 

Device(config)# end

Quay lại chế độ EXEC đặc quyền

Cấu Hình Dynamic Authorization Service Cho RADIUS CoA Trên Router Cisco

Thực hiện các bước sau để bật Router Cisco làm để bật thiết bị làm máy chủ AAA cho dịch vụ dynamic authorization. Dịch vụ này hỗ trợ chức năng CoA đẩy policy map theo hướng đầu vào và đầu ra.

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

Device> enable

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

Device# configure terminal

Vào chế độ cấu hình chung
Bước 3 aaa new-model

Ví dụ:

Device(config)# aaa new-model

Bật chế độ AAA trên toàn cầu.
Bước 4 aaa server radius dynamic-author

Ví dụ:

Device(config)# aaa server radius dynamic-author

Thiết lập máy chủ AAA cục bộ cho dịch vụ dynamic authorization. Dịch vụ này phải được bật để hỗ trợ chức năng CoA nhằm push policy map theo hướng đầu vào và đầu ra, đồng thời chuyển sang chế độ cấu hình local server.

  • Trong chế độ này, các lệnh ứng dụng RADIUS được cấu hình
Bước 5 client {ip-addr | hostname} [server-key [string]

Ví dụ:

Device(config-locsvr-da-radius)# client 192.168.0.5 server-key cisco1

Cấu hình địa chỉ IP address hoặc hostname của AAA server client.

  • Sử dụng từ khóa tùy chọn server-key và đối số string để cấu hình server key ở cấp độ client
Note  Cấu hình server key ở cấp độ client level sẽ ghi đè server key ở cấp độ global.
Bước 6 domain {delimiter character | stripping | [right-to-left ]}

Ví dụ:

Device(config-locsvr-da-radius)# domain stripping right-to-left

(Tùy chọn) Cấu hình tùy chọn username domain cho ứng dụng RADIUS.

  • Từ khóa delimiter chỉ định dấu phân cách tên miền. Một trong các tùy chọn sau có thể được chỉ định cho đối số character: , hoặc – .
  • Từ khóa stripping so sánh username với các tên được định hướng ở bên trái của dấu phân cách tên miền @.
  • Từ khóa right-to-left kết thúc chuỗi ở dấu phân cách đầu tiên đi từ phải sang trái.
Bước 7 port port-num

Ví dụ:

Device(config-locsvr-da-radius)# port 3799

Cấu hình UDP port cho yêu cầu CoA.
Bước 8 end

Ví dụ:

Device(config-locsvr-da-radius)# end

Quay lại chế độ đặc quyền EXEC.

Theo Dõi Và Khắc Phục Sự Cố Thay Đổi Ủy Quyền RADIUS Trên Router Cisco

Các lệnh sau có thể được sử dụng để theo dõi và khắc phục sự cố thay đổi ủy quyền RADIUS trên Router Cisco

Lệnh Mục đích
debug aaa coa Hiển thị thông tin gỡ lỗi để xử lý CoA.
debug aaa pod Hiển thị thông báo gỡ lỗi liên quan đến gói packet of disconnect (POD).
debug radius Hiển thị thông tin liên quan đến RADIUS.
show aaa attributes protocol radius Hiển thị ánh xạ giữa số thuộc tính authentication, authorization, accounting (AAA) và tên thuộc tính AAA tương ứng.

ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT

ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.

ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Bộ định tuyến Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.

Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router CiscoHãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn

Bài viết liên quan

Nhập Email để nhận ngay báo giá sản phẩm

    • Kết Nối Với Chúng Tôi