Hướng Dẫn Cấu Hình Per VRF AAA Trên Router Cisco
TỔNG QUAN VỀ TÍNH NĂNG PER VRF AAA TRÊN ROUTER CISCO
Tính Năng Per VRF AAA Trên Router Cisco Là Gì?
Tính năng Per VRF AAA trên các thiết bị Router Cisco cho phép các ISP phân vùng các dịch vụ authentication, authorization, accounting (AAA) trên cơ sở các Virtual Private Network (VPN) routing and forwarding (VRF), cho phép khách hàng của họ kiểm soát một số dịch vụ AAA của riêng họ.
Danh sách các máy chủ trong các nhóm máy chủ được mở rộng để bao gồm các định nghĩa về máy chủ riêng tư bên cạnh các tham chiếu đến máy chủ trong cấu hình chung, cho phép truy cập đồng thời vào cả máy chủ của khách hàng và máy chủ của nhà cung cấp dịch vụ toàn cầu.
Trong Cisco IOS XE phiên bản 2.4 trở lên, có thể sử dụng mẫu khách hàng, mẫu này có thể được lưu trữ cục bộ hoặc từ xa và các dịch vụ AAA có thể được thực hiện trên thông tin được lưu trữ trong mẫu khách hàng. Tính năng này được gọi là tính năng Dynamic Per VRF AAA.
Cách Thức Hoạt Động Của Mỗi VRF AAA Trên Router Cisco
Để hỗ trợ AAA trên cơ sở từng khách hàng, một số tính năng AAA phải được VRF nhận biết. Nghĩa là, các ISP phải có khả năng xác định các tham số vận hành. Việc xác định và ràng buộc các tham số vận hành có thể được thực hiện bằng một hoặc nhiều phương pháp sau:
- Mẫu Virtual VPDN hoặc giao diện dialer được cấu hình cho một khách hàng cụ thể
- Mẫu khách hàng được xác định cục bộ–Mỗi VPN có định nghĩa khách hàng. Mẫu khách hàng được lưu trữ cục bộ trên VHG. Phương pháp này có thể được sử dụng để liên kết người dùng từ xa với một VPN cụ thể dựa trên tên miền hoặc dịch vụ nhận dạng số quay số (DNIS) và cung cấp cấu hình dành riêng cho VPN cho giao diện truy cập ảo và tất cả các tham số hoạt động cho máy chủ AAA của khách hàng.
- Mẫu khách hàng được xác định từ xa–Mỗi VPN có định nghĩa khách hàng được lưu trữ trên máy chủ AAA của nhà cung cấp dịch vụ trong cấu hình RADIUS. Phương pháp này được sử dụng để liên kết người dùng từ xa với một VPN cụ thể dựa trên tên miền hoặc DNIS và cung cấp cấu hình dành riêng cho VPN cho giao diện truy cập ảo và tất cả các tham số hoạt động cho máy chủ AAA của khách hàng.
HƯỚNG DẪN CẤU HÌNH PER VRF AAA TRÊN ROUTER CISCO
Cấu Hình Per VRF AAA Trên Router Cisco
Cấu Hình AAA
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền
|
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 | aaa new-model
Ví dụ:
Router(config)# aaa new-model |
Bật AAA trên toàn hệ thống |
Cấu Hình Server Groups
| Lệnh hoặc Hành động | Mục đích | |||
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ đặc quyền EXEC
|
||
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vàp chế độ cấu hình chung | ||
| Bước 3 | aaa new-model
Ví dụ:
Router(config)# aaa new-model |
Bật AAA trên toàn hệ thống | ||
| Bước 4 | aaa group server radius groupname
Ví dụ:
Router(config)# aaa group server radius v2.44.com |
Nhóm các máy chủ RADIUS khác nhau thành các danh sách riêng biệt và các phương thức riêng biệt. Vào chế độ cấu hình server-group. | ||
| Bước 5 | server-private ip-address [auth-port port-number | acct-port port-number ] [non-standard ] [timeout seconds ] [retransmit retries ] [key string ]
Ví dụ:
Router(config-sg-radius)# server-private 10.10.130.2 auth-port 1600 key ww |
Cấu hình địa chỉ IP của máy chủ RADIUS riêng cho group server.
|
||
| Bước 6 | exit
Ví dụ:
Router(config-sg-radius)# exit |
Thoát khỏi chế độ cấu hình server-group; quay lại chế độ cấu hình chung. |
Cấu Hình Authentication Authorization Accounting Cho Per VRF AAA
| Lệnh hoặc Hành động | Mục đích | |||
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền
|
||
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung | ||
| Bước 3 | aaa new-model
Ví dụ:
Router(config)# aaa new-model |
Bật AAA trên toàn hệ thống | ||
| Bước 4 | aaa authentication ppp {default | list-name } method1 [method2 …]
Ví dụ:
Router(config)# aaa authentication ppp method_list_v2.44.com group v2.44.com |
Chỉ định một hoặc nhiều phương thức xác thực AAA để sử dụng trên các giao diện nối tiếp đang chạy PPP. | ||
| Bước 5 | aaa authorization {network | exec | commands level | reverse-access | configuration } {default | list-name } method1 [method2 …]
Ví dụ:
Router(config)# aaa authorization network method_list_v2.44.com group v2.44.com |
Đặt các tham số hạn chế quyền truy cập của người dùng vào mạng. | ||
| Bước 6 | aaa accounting system default [vrf vrf-name ] {start-stop | stop-only | none } [broadcast ] group groupname
Ví dụ:
Router(config)# aaa accounting system default vrf v2.44.com start-stop group v2.44.com |
Bật AAA accounting của các dịch vụ được yêu cầu cho mục đích thanh toán hoặc bảo mật khi bạn sử dụng RADIUS | ||
| Bước 7 | aaa accounting delay-start [vrf vrf-name ]
Ví dụ:
Router(config)# aaa acounting delay-start vrf v2.44.com |
Hiển thị việc tạo bản ghi accounting bắt đầu cho đến khi địa chỉ IP của người dùng được thiết lập. | ||
| Bước 8 | aaa accounting send stop-record authentication {failure | success remote-server } [vrf vrf-name ]
Ví dụ:
Router(config)# aaa accounting send stop-record authentication failure vrf v2.44.com |
Tạo bản ghi accounting stop.
Khi sử dụng từ khóa failure, bản ghi “stop” sẽ được gửi cho các cuộc gọi bị từ chối trong quá trình xác thực. Khi sử dụng từ khóa success, bản ghi “stop” sẽ được gửi cho các cuộc gọi đáp ứng một trong các tiêu chí sau:
|
Cấu Hình Các Lệnh RADIUS-Specific Cho Per VRF AAA
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền
|
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 | ip radius source-interface subinterface-name [vrf vrf-name ]
Ví dụ:
Router(config)# ip radius source-interface loopback55 |
Buộc RADIUS sử dụng địa chỉ IP của giao diện được chỉ định cho tất cả các gói RADIUS gửi đi và cho phép thông số kỹ thuật trên cơ sở mỗi VRF. |
| Bước 4 | radius-server attribute 44 include-in-access-req [vrf vrf-name ]
Ví dụ:
Router(config)# radius-server attribute 44 include-in-access-req vrf v2.44.com |
Gửi RADIUS thuộc tính 44 trong các gói yêu cầu truy cập trước khi xác thực người dùng và kích hoạt thông số kỹ thuật trên cơ sở mỗi VRF. |
Cấu Hình Các Lệnh Interface-Specific Commands Cho Per VRF AAA
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ đặc quyền EXEC.
|
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 | interface type number [name-tag ]
Ví dụ:
Router(config)# interface loopback11 |
Cấu hình một kiểu giao diện và vào chế độ cấu hình giao diện |
| Bước 4 | ip vrf forwarding vrf-name
Ví dụ:
Router(config-if)# ip vrf forwarding v2.44.com |
Liên kết một VRF với một giao diện |
| Bước 5 | ppp authentication {protocol1 [protocol2 …]} listname
Ví dụ:
Router(config-if)# ppp authentication chap callin V2_44_com |
Bật Challenge Handshake Authentication Protocol (CHAP) hoặc Password Authentication Protocol (PAP) hoặc cả hai và chỉ định thứ tự chọn xác thực CHAP và PAP trên giao diện. |
| Bước 6 | ppp authorization list-name
Ví dụ:
Router(config-if)# ppp authorization V2_44_com |
Bật AAA authorization trên giao diện đã chọn. |
| Bước 7 | ppp accounting default
Ví dụ:
Router(config-if)# ppp accounting default |
Bật dịch vụ AAA accounting trên giao diện đã chọn. |
| Bước 8 | exit
Ví dụ:
Router(config)# exit |
Thoát khỏi chế độ cấu hình giao diện. |
Cấu Hình Per VRF AAA Bằng Cách Sử Dụng Các Mẫu Local Customer Trên Router Cisco
Cấu Hình AAA
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền
|
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 | aaa new-model
Ví dụ:
Router(config)# aaa new-model |
Bật AAA trên toàn hệ thống |
Cấu Hình Server Groups
| Lệnh hoặc Hành động | Mục đích | |||
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ đặc quyền EXEC
|
||
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vàp chế độ cấu hình chung | ||
| Bước 3 | aaa new-model
Ví dụ:
Router(config)# aaa new-model |
Bật AAA trên toàn hệ thống | ||
| Bước 4 | aaa group server radius groupname
Ví dụ:
Router(config)# aaa group server radius v2.44.com |
Nhóm các máy chủ RADIUS khác nhau thành các danh sách riêng biệt và các phương thức riêng biệt. Vào chế độ cấu hình server-group. | ||
| Bước 5 | server-private ip-address [auth-port port-number | acct-port port-number ] [non-standard ] [timeout seconds ] [retransmit retries ] [key string ]
Ví dụ:
Router(config-sg-radius)# server-private 10.10.130.2 auth-port 1600 key ww |
Cấu hình địa chỉ IP của máy chủ RADIUS riêng cho group server.
|
||
| Bước 6 | exit
Ví dụ:
Router(config-sg-radius)# exit |
Thoát khỏi chế độ cấu hình server-group; quay lại chế độ cấu hình chung. |
Cấu Hình Authentication Authorization Accounting Cho Per VRF AAA
| Lệnh hoặc Hành động | Mục đích | |||
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền
|
||
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung | ||
| Bước 3 | aaa new-model
Ví dụ:
Router(config)# aaa new-model |
Bật AAA trên toàn hệ thống | ||
| Bước 4 | aaa authentication ppp {default | list-name } method1 [method2 …]
Ví dụ:
Router(config)# aaa authentication ppp method_list_v2.44.com group v2.44.com |
Chỉ định một hoặc nhiều phương thức xác thực AAA để sử dụng trên các giao diện nối tiếp đang chạy PPP. | ||
| Bước 5 | aaa authorization {network | exec | commands level | reverse-access | configuration } {default | list-name } method1 [method2 …]
Ví dụ:
Router(config)# aaa authorization network method_list_v2.44.com group v2.44.com |
Đặt các tham số hạn chế quyền truy cập của người dùng vào mạng. | ||
| Bước 6 | aaa accounting system default [vrf vrf-name ] {start-stop | stop-only | none } [broadcast ] group groupname
Ví dụ:
Router(config)# aaa accounting system default vrf v2.44.com start-stop group v2.44.com |
Bật AAA accounting của các dịch vụ được yêu cầu cho mục đích thanh toán hoặc bảo mật khi bạn sử dụng RADIUS | ||
| Bước 7 | aaa accounting delay-start [vrf vrf-name ]
Ví dụ:
Router(config)# aaa acounting delay-start vrf v2.44.com |
Hiển thị việc tạo bản ghi accounting bắt đầu cho đến khi địa chỉ IP của người dùng được thiết lập. | ||
| Bước 8 | aaa accounting send stop-record authentication {failure | success remote-server } [vrf vrf-name ]
Ví dụ:
Router(config)# aaa accounting send stop-record authentication failure vrf v2.44.com |
Tạo bản ghi accounting stop.
Khi sử dụng từ khóa failure, bản ghi “stop” sẽ được gửi cho các cuộc gọi bị từ chối trong quá trình xác thực. Khi sử dụng từ khóa success, bản ghi “stop” sẽ được gửi cho các cuộc gọi đáp ứng một trong các tiêu chí sau:
|
Cấu Hình Authorization Cho Per VRF AAA Với Local Customer Templates
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền.
|
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 | aaa authorization template
Ví dụ:
Router(config)# aaa authorization template |
Cho phép sử dụng các mẫu cục bộ hoặc từ xa |
| Bước 4 | aaa authorization network default local
Ví dụ:
Router(config)# aaa authorization network default local |
Chỉ định local làm phương pháp mặc định để ủy quyền. |
Cấu Hình Mẫu Local Customer
| Lệnh hoặc Hành động | Mục đích | |||
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền
|
||
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung | ||
| Bước 3 | vpdn search-order domain
Ví dụ:
Router (config)# vpdn search-order domain |
Tra cứu hồ sơ dựa trên tên miền | ||
| Bước 4 | template name [default | exit | multilink | no | peer | ppp ]
Ví dụ:
Router (config)# template v2.44.com |
Tạo mẫu customer profile template và chỉ định một tên duy nhất liên quan đến khách hàng sẽ nhận được mẫu đó.
Vào chế độ cấu hình template.
|
||
| Bước 5 | peer default ip address pool pool-name
Ví dụ:
Router(config-template)# peer default ip address pool v2_44_com_pool |
(Tùy chọn) Chỉ định hồ sơ khách hàng mà mẫu này được đính kèm sẽ sử dụng nhóm địa chỉ IP cục bộ có tên đã chỉ định. | ||
| Bước 6 | ppp authentication {protocol1 [protocol2 …]} [if-needed ] [list-name | default ] [callin ] [one-time ]
Ví dụ:
Router(config-template)# ppp authentication chap |
(Tùy chọn) Đặt phương thức PPP link authentication. | ||
| Bước 7 | ppp authorization [default | list-name ]
Ví dụ:
Router(config-template)# ppp authorization v2_44_com |
(Tùy chọn) Đặt phương thức PPP link authorization. | ||
| Bước 8 | aaa accounting {auth-proxy | system | network | exec | connection | commands level } {default | list-name } [vrf vrf-name ] {start-stop | stop-only | none } [broadcast ] group groupname
Ví dụ:
Router(config-template)# aaa accounting v2_44_com |
(Tùy chọn) Bật thông số vận hành AAA cho hồ sơ khách hàng đã chỉ định. | ||
| Bước 9 | exit
Ví dụ:
Router(config-template)# exit |
Thoát khỏi chế độ cấu hình mẫu; quay về chế độ cấu hình chung. |
Cấu Hình Per VRF AAA Bằng Cách Sử Dụng Các Mẫu Remote Customer Trên Router Cisco
Cấu Hình AAA
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền
|
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 | aaa new-model
Ví dụ:
Router(config)# aaa new-model |
Bật AAA trên toàn hệ thống |
Cấu Hình Server Groups
| Lệnh hoặc Hành động | Mục đích | |||
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ đặc quyền EXEC
|
||
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vàp chế độ cấu hình chung | ||
| Bước 3 | aaa new-model
Ví dụ:
Router(config)# aaa new-model |
Bật AAA trên toàn hệ thống | ||
| Bước 4 | aaa group server radius groupname
Ví dụ:
Router(config)# aaa group server radius v2.44.com |
Nhóm các máy chủ RADIUS khác nhau thành các danh sách riêng biệt và các phương thức riêng biệt. Vào chế độ cấu hình server-group. | ||
| Bước 5 | server-private ip-address [auth-port port-number | acct-port port-number ] [non-standard ] [timeout seconds ] [retransmit retries ] [key string ]
Ví dụ:
Router(config-sg-radius)# server-private 10.10.130.2 auth-port 1600 key ww |
Cấu hình địa chỉ IP của máy chủ RADIUS riêng cho group server.
|
||
| Bước 6 | exit
Ví dụ:
Router(config-sg-radius)# exit |
Thoát khỏi chế độ cấu hình server-group; quay lại chế độ cấu hình chung. |
Cấu Hình Authentication Cho Per VRF AAA Với Remote Customer Profiles
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền
|
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 | aaa authentication ppp {default | list-name } method1 [method2 …]
Ví dụ:
Router(config)# ppp authentication ppp default group radius |
Chỉ định một hoặc nhiều phương pháp xác thực authentication, authorization, accounting (AAA) để sử dụng trên các giao diện nối tiếp đang chạy PPP. |
| Bước 4 | aaa authorization {network | exec | commands level | reverse-access | configuration } {default | list-name } [[method1 [method2 …]
Ví dụ:
Router(config)# aaa authorization network default group sp |
Đặt các tham số hạn chế quyền truy cập của người dùng vào mạng |
Cấu Hình Authorization Cho Per VRF AAA Với Remote Customer Profiles
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền
|
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 | aaa authorization template
Ví dụ:
Router(config)# aaa authorization template |
Cho phép sử dụng các mẫu local hoặc remote. |
| Bước 4 | aaa authorization {network | exec | commands level | reverse-access | configuration } {default | list-name } [[method1 [method2 …]
Ví dụ:
Router(config)# aaa authorization network default sp |
Chỉ định nhóm máy chủ được đặt tên là phương thức authorization mặc định. |
Xác Minh Cấu Hình VRF Routing Trên Router Cisco
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 |
enable Ví dụ:Router> enable |
Bật chế độ EXEC đặc quyền
|
| Bước 2 |
configure terminal Ví dụ:Router# configure terminal |
Vào chế độ cấu hình chung |
| Step 3 |
show ip route vrf vrf-name Ví dụ:Router(config)# show ip route vrf northvrf |
Hiển thị bảng định tuyến IP được liên kết với VRF. |
Khắc Phục Sự Cố Trên Mỗi Cấu Hình VRF
| Lệnh | Mục đích |
|
Router# debug aaa accounting |
Hiển thị thông tin về các sự kiện có trách nhiệm khi chúng xảy ra. |
|
Router# debug aaa authentication |
Hiển thị thông tin về AAA authentication. |
|
Router# debug aaa authorization |
Hiển thị thông tin về AAA authorization. |
|
Router# debug ppp negotiation |
Hiển thị thông tin về lưu lượng truy cập và trao đổi trong mạng thực hiện PPP. |
|
Router# debug radius |
Hiển thị thông tin liên quan đến RADIUS. |
|
Router# debug vpdn event |
Hiển thị các lỗi và sự kiện Layer 2 Transport Protocol (L2TP) là một phần của quá trình thiết lập hoặc tắt tunnel thông thường đối với VPN. |
|
Router# debug vpdn error |
Hiển thị debug traces cho VPN. |
ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT
ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.
ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Router Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.
Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router Cisco, Hãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:
Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội
- Địa chỉ: Số 59 Võ Chí Công, Phường Nghĩa Đô, Quận Cầu Giấy, TP Hà Nội.
- Hotline/Zalo: 0936.366.606
- Email: info@anbinhnet.com.vn
- Website: https://anbinhnet.com.vn/
Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn
- Địa chỉ: Số 736/182 Lê Đức Thọ, Phường 15, Quận Gò Vấp, TP Hồ Chí Minh
- Hotline/Zalo: 0936.366.606
- Email: info@anbinhnet.com.vn
- Website: https://anbinhnet.com.vn/