Hướng Dẫn Cấu Hình TACACS+ Trên Router Cisco

TACACS+ TRÊN ROUTER CISCO LÀ GÌ?

TACACS là một ứng dụng bảo mật cung cấp xác thực tập trung cho những người dùng đang cố giành quyền truy cập vào Router Cisco hoặc máy chủ truy cập mạng. Dịch vụ TACACS+ được duy trì trong cơ sở dữ liệu trên daemon TACACS+ đang chạy, thông thường, trên máy trạm UNIX hoặc Windows NT. Bạn phải có quyền truy cập và phải định cấu hình máy chủ TACACS+ trước khi các tính năng TACACS+ đã định cấu hình trên máy chủ truy cập mạng của bạn khả dụng.

TACACS+ cung cấp các phương tiện xác thực, ủy quyền và kế toán riêng biệt và theo mô-đun. TACACS+ cho phép một máy chủ kiểm soát truy cập duy nhất (daemon TACACS+) cung cấp từng dịch vụ–xác thực, ủy quyền và kế toán–một cách độc lập. Mỗi dịch vụ có thể được gắn vào cơ sở dữ liệu riêng của nó để tận dụng lợi thế của các dịch vụ khác có sẵn trên máy chủ đó hoặc trên mạng, tùy thuộc vào khả năng của daemon.

Mục tiêu của TACACS+ là cung cấp phương pháp quản lý nhiều điểm truy cập mạng từ một dịch vụ quản lý duy nhất. Dòng máy chủ truy cập và bộ định tuyến của Cisco và giao diện người dùng Cisco IOS và Cisco IOS XE (cho cả bộ định tuyến và máy chủ truy cập) có thể là máy chủ truy cập mạng.


CẤU HÌNH TACACS TRÊN ROUTER CISCO

Hướng Dẫn Cấu Hình TACACS Trên Router Cisco
Hướng Dẫn Cấu Hình TACACS Trên Router Cisco

Để cấu hình thiết bị Router Cisco của bạn hỗ trợ TACACS+, hãy thực hiện các tác vụ sau:

  • Sử dụng lệnh cấu hình toàn bộ aaa new-model để bật AAA. AAA phải được định cấu hình nếu bạn định sử dụng TACACS+
  • Sử dụng lệnh tacacs-server host để chỉ định địa chỉ IP của một hoặc nhiều daemon TACACS+. Sử dụng lệnh tacacs-server key để chỉ định một khóa mã hóa sẽ được sử dụng để mã hóa tất cả các trao đổi giữa máy chủ truy cập mạng và daemon TACACS+. Khóa này cũng phải được cấu hình trên daemon TACACS+.
  • Sử dụng lệnh cấu hình chung aaa authentication để xác định danh sách phương thức sử dụng TACACS+ để xác thực
  • Sử dụng các lệnh dòng và giao diện để áp dụng danh sách phương thức đã xác định cho các giao diện khác nhau
  • Nếu cần, hãy sử dụng lệnh toàn bộ aaa authorization để định cấu hình ủy quyền cho máy chủ truy cập mạng. Không giống như xác thực, có thể được định cấu hình trên mỗi dòng hoặc trên mỗi giao diện, ủy quyền được định cấu hình trên toàn cầu cho toàn bộ máy chủ truy cập mạng.
  • Nếu cần, hãy sử dụng lệnh aaa accounting để kích hoạt tính năng tính toán cho các kết nối TACACS+

Xác Định TACACS Server Host Trên Router Cisco

Lệnh tacacs-server host cho phép bạn chỉ định tên của máy chủ IP hoặc máy chủ duy trì máy chủ TACACS+. Do phần mềm TACACS+ tìm kiếm các máy chủ theo thứ tự được chỉ định nên tính năng này có thể hữu ích để thiết lập danh sách các trình tiện ích ưa thích.

Để chỉ định máy chủ TACACS+, hãy sử dụng lệnh sau trong chế độ cấu hình chung:

Lệnh Mục đích
Router(config)# tacacs-server host hostname [single-connection] [port integer] [timeout integer] [key string] Chỉ định máy chủ TACACS+

Khi sử dụng lệnh tacacs-server host, bạn có thể cấu hình các tùy chọn sau:

  • Sử dụng từ khóa single-connection để chỉ định kết nối đơn. Thay vì để bộ định tuyến Cisco mở và đóng kết nối TCP với daemon mỗi khi nó phải giao tiếp, tùy chọn kết nối đơn duy trì một kết nối mở duy nhất giữa bộ định tuyến và daemon. Điều này hiệu quả hơn vì nó cho phép trình nền xử lý số lượng hoạt động TACACS cao hơn.
  • Sử dụng đối số port integer để chỉ định số cổng TCP sẽ được sử dụng khi tạo kết nối với daemon TACACS+. Số cổng mặc định là 49.
  • Sử dụng đối số timeout integer để chỉ định khoảng thời gian (tính bằng giây) bộ định tuyến sẽ đợi phản hồi từ daemon trước khi hết thời gian chờ và thông báo lỗi.
  • Sử dụng đối số key string để chỉ định khóa mã hóa để mã hóa và giải mã tất cả lưu lượng giữa máy chủ truy cập mạng và daemon TACACS+.

Vì một số tham số của lệnh tacacs-server host sẽ ghi đè cài đặt chung được thực hiện bởi lệnh tacacs-server timeout và lệnh tacacs-server key, nên bạn có thể sử dụng lệnh này để tăng cường bảo mật trên mạng của mình bằng cách định cấu hình duy nhất các kết nối TACACS+ riêng lẻ.

Đặt Khóa Xác Thực TACACS Trên Router Cisco

Để đặt khóa xác thực và khóa mã hóa TACACS+, hãy sử dụng lệnh sau trong chế độ cấu hình chung:

Lệnh Mục đích
Router(config)# tacacs-server key key Đặt khóa mã hóa khớp với khóa được sử dụng trên TACACS+ daemon.

Cấu Hình Nhóm Máy Chủ AAA Trên Router Cisco

Định cấu hình Router Cisco để sử dụng các nhóm máy chủ AAA cung cấp một cách để nhóm các máy chủ lưu trữ hiện có. Điều này cho phép bạn chọn một tập hợp con của các máy chủ được định cấu hình và sử dụng chúng cho một dịch vụ cụ thể. Một nhóm máy chủ được sử dụng cùng với danh sách server-host global. Nhóm máy chủ liệt kê các địa chỉ IP của các máy chủ được chọn.

Các nhóm máy chủ có thể bao gồm nhiều mục máy chủ miễn là mỗi mục có một địa chỉ IP duy nhất. Nếu hai mục máy chủ khác nhau trong nhóm máy chủ được định cấu hình cho cùng một dịch vụ

Để xác định máy chủ lưu trữ với tên nhóm máy chủ, hãy nhập các lệnh sau bắt đầu ở chế độ cấu hình chung. Máy chủ được liệt kê phải tồn tại ở chế độ cấu hình global:
  Lệnh hoặc Hành động Mục đích
Bước 1 Router(config)# tacacs-server host name [single-connection] [port integer] [timeout integer] [key string]   Chỉ định và xác định địa chỉ IP của máy chủ lưu trữ trước khi định cấu hình nhóm máy chủ AAA

 

Bước 2 Router(config-if)# aaa group server{radius | tacacs+group-name   Xác định nhóm máy chủ AAA bằng tên nhóm. Tất cả các thành viên của một nhóm phải cùng loại; nghĩa là RADIUS hoặc TACACS+. Lệnh này đặt bộ định tuyến ở chế độ cấu hình phụ của nhóm máy chủ.

 

Bước 3 Router(config-sg)# server ip-address [auth-port port-number] [acct-port port-number]   Liên kết một máy chủ TACACS+ cụ thể với nhóm máy chủ đã xác định. Sử dụng tùy chọn auth-port port-number để cấu hình cổng UDP cụ thể chỉ dành cho xác thực. Sử dụng tùy chọn acct-port port-number để cấu hình một cổng UDP cụ thể cho accounting.

Lặp lại bước này cho từng máy chủ TACACS+ trong nhóm máy chủ AAA.

Note    Mỗi máy chủ trong nhóm phải được xác định trước bằng cách sử dụng lệnh tacacs-server host

Cấu Hình Lựa Chọn Nhóm Máy Chủ AAA Dựa Trên DNIS Cho Router Cisco

Cicso IOS XE cho phép bạn xác thực người dùng với một nhóm máy chủ AAA cụ thể dựa trên số DNIS của phiên. Thiết bị Router Cisco có ISDN hoặc modem nội bộ có thể nhận được số DNIS. Chức năng này cho phép người dùng chỉ định các nhóm máy chủ TACACS+ khác nhau cho các khách hàng khác nhau (nghĩa là các máy chủ TACACS+ khác nhau cho các số DNIS khác nhau). Ngoài ra, bằng cách sử dụng các nhóm máy chủ, bạn có thể chỉ định cùng một nhóm máy chủ cho các dịch vụ AAA hoặc một nhóm máy chủ riêng biệt cho từng dịch vụ AAA.

Cisco IOS XE cung cấp sự linh hoạt để triển khai các dịch vụ authentication và accounting theo nhiều cách:

  • Globally: Dịch vụ AAA được xác định bằng cách sử dụng các lệnh danh sách truy cập cấu hình toàn cầu và được áp dụng chung cho tất cả các giao diện trên một máy chủ truy cập mạng cụ thể.
  • Mỗi giao diện: Dịch vụ AAA được xác định bằng cách sử dụng các lệnh cấu hình giao diện và được áp dụng cụ thể cho giao diện được định cấu hình trên một máy chủ truy cập mạng cụ thể.
  • Ánh xạ DNIS: Bạn có thể sử dụng DNIS để chỉ định máy chủ AAA cung cấp dịch vụ AAA

Vì các phương thức cấu hình AAA có thể được cấu hình đồng thời, Cisco đã thiết lập thứ tự ưu tiên để xác định máy chủ hoặc nhóm máy chủ nào cung cấp dịch vụ AAA. Thứ tự ưu tiên như sau:

  • Theo DNIS: Nếu bạn định cấu hình máy chủ truy cập mạng để sử dụng DNIS nhằm xác định nhóm máy chủ nào cung cấp dịch vụ AAA thì phương pháp này sẽ được ưu tiên hơn bất kỳ phương pháp lựa chọn AAA bổ sung nào.
  • Mỗi giao diện: Nếu bạn định cấu hình máy chủ truy cập mạng trên mỗi giao diện để sử dụng danh sách truy cập nhằm xác định cách máy chủ cung cấp dịch vụ AAA, phương pháp này sẽ được ưu tiên hơn bất kỳ danh sách truy cập AAA cấu hình toàn cầu nào.
  • Globally: Nếu bạn định cấu hình máy chủ truy cập mạng bằng cách sử dụng danh sách truy cập AAA toàn cầu để xác định cách máy chủ bảo mật cung cấp dịch vụ AAA, thì phương pháp này có mức ưu tiên thấp nhất.

Để định cấu hình Router Cisco nhằm chọn một nhóm máy chủ AAA cụ thể dựa trên DNIS của nhóm máy chủ, hãy định cấu hình ánh xạ DNIS. Để ánh xạ nhóm máy chủ với tên nhóm có số DNIS, hãy sử dụng các lệnh sau trong chế độ cấu hình chung:

  Lệnh hoặc Hành động Mục đích
Bước 1 Router(config)# aaa dnis map enable   Bật ánh xạ DNIS

 

Bước 2 Router(config)# aaa dnis map dnis-number authentication ppp group server-group-name   Ánh xạ số DNIS tới nhóm máy chủ AAA đã xác định; các máy chủ trong nhóm máy chủ này đang được sử dụng để xác thực.

 

Bước 3 Router(config)# aaa dnis map dnis-number accounting network [none | start-stop | stop-onlygroup server-group-name   Ánh xạ số DNIS tới nhóm máy chủ AAA đã xác định; các máy chủ trong nhóm máy chủ này đang được sử dụng để tính toán.

 

Chỉ Định TACACS Authentication Trên Router Cisco

Sau khi bạn đã xác định TACACS+ daemon và xác định khóa mã hóa TACACS+ được liên kết, bạn phải xác định danh sách phương thức để xác thực TACACS+. Vì xác thực TACACS+ được vận hành qua AAA, nên bạn cần đưa ra lệnh aaa authentication, chỉ định TACACS+ làm phương thức xác thực.

Chỉ Định TACACS Authorization Trên Router Cisco

Ủy quyền AAA cho phép bạn đặt các tham số hạn chế quyền truy cập của người dùng vào mạng. Ủy quyền qua TACACS+ có thể được áp dụng cho các lệnh, kết nối mạng và phiên EXEC. Vì ủy quyền TACACS+ được hỗ trợ thông qua AAA, bạn phải đưa ra lệnh aaa authorization, chỉ định TACACS+ làm phương thức ủy quyền

Chỉ Định TACACS Accounting Trên Router Cisco

AAA accounting cho phép bạn theo dõi các dịch vụ mà người dùng đang truy cập cũng như lượng tài nguyên mạng mà họ đang sử dụng. TACACS+ accounting được hỗ trợ thông qua AAA. Bạn phải đưa ra lệnh aaa accounting, chỉ định TACACS+ làm phương pháp kế toán.

TACACS AV Pairs

Máy chủ truy cập mạng thực hiện các chức năng authorization và accounting TACACS+ bằng cách truyền và nhận các cặp TACACS+ attribute-value (AV) cho mỗi phiên người dùng.


ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT

ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.

ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Router Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.

Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router CiscoHãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

HOTLINE 24/7: 098.234.5005 - 0967.40.70.80