Tweet
Sự xác thực
Thật là quan trọng để tạo 1 phương pháp đăng nhập xác thực, được sắp theo danh sách(khai báo chi tiết loại giao thức được sử dụng cho Security Server). Và cấu trúc lệnh sau đây bật tính năng xác thưc khi đăng nhập vào Switch, việc sử dụng 1 danh sách mặc định hoặc danh sách theo ý mình và việc sử dụng nhưng phương pháp xác thực.
Aaa athentication login {default | list-name} method1 [method2…]
nơi mà những phương pháp đó bao gồm:
group radius - sủ dụng tất cả danh sách RADIUS SERVER
group tacacs - sủ dụng tất cả danh sách TACACS
group group-name - sủ dụng những Server được khai báo bởi group-name(RADIUS SERVER, TACACS)
krb5 - sử dụng Kerberos
Một ví dụ về việc cấu hình cho Switch để cung cấp kiểu chứng thực TACACS+ sử dụng 1 tên nhóm của aaa-admin-servers:
Switch(config)# aaa group servers tacacs+ aaa-admin-servers
Switch(config)# aaa authentication login default group aaa-admin-servers
Switch có thể cung cấp 1 phương pháp đăng nhập cục bộ nếu vì 1 lý do nào đó AAA server không thể sẵn sàng. Nó se không cho phép 1 user mà đã bị cấm truy nhập bởi AAA server để đăng nhập và sử dụng cơ chế xác thực cục bộ. Để mà thựcthi việc đăng nhập cục bộ, 1 ussername và password cần phải được cấu hình. Nhiều tài khoản có thể được tạo trên Switch, với mỗi user có 1 quyền truy cập khác nhau . Sự thêm vào những đặc tính thuận lợ khi đăng nhập cục bộ như là: phương pháp xác thực dự trữ mà người quản trị được yêu cầu cho username và password. Lệnh sau đây chỉ cho bạn cách sủ dụng xác thực cục bộ như là sự dự trữ:
Switch(config)# aaa authentication login aaa-fallback group aaa-admin-server local
Bước cuối cùng là việc áp đặt danh sách phương pháp xác thực lên dòng mong muốn. Câu lệnh dưới đây miêu tả cú pháp để bật dịch vụ xác thực trên 1 dòng chi tiết hay trên 1 nhóm dòng, áp đặt mặt định hay không:
Login authentication (default | list-name)
Lệnh sau đây sẽ áp đặt 1 danh sách tên aaa-fallback lên cổng console:
Switch(config)# line con 0
Switch(config-line)# login authentication aaa-fallback
Sự phân quyền
Tương tự như sự xác thực, sự cấu hình phân quyền cũng yêu cầu sự bảo mật của nhà quản trị khi khai báo những danh sách phương pháp. Sự trình bày khai báo cấu trúc lệnh sau đây để bật tính năng khi user truy cập vào hệ thống mạng, sử dụng danh sách mặc định hay do mình tự chọn
Aaa authorization {auth-proxy | network | exec | commands level | reverse access | configuration | ipmobile | }{default | list name}
Method1[method2…]
Chi tiết về các loại chứng thực:
auth-proxy - những chính sách bảo mật được áp đặt lên 1 user
network - yêu cầu dịchvụ
exec - sự bắt đầu của 1 phiên EXEC
commands level - lệnh EXEC thực thi tại các cấp độ chi tiết
reverse access - đảo ngược 1 phiên Telnet
configuration - tải những cấu hình từ Security Server
ipmobile - những dịch vụ IpMobile
Một ví dụ về việc cấu hình 1 Switch cung cấp sự chứng thực kiểu TACACS+, sủ dụng nhóm aaa-admin-servers cho EXEC và lệnh privileged EXEC:
Switch(config)# aaa authorization exec default group aaa-admin-servers
Switch(config)# aaa authorization command 15 aaa-config group aaa-admin-servers if-authenticated
Việc áp đặt những loại danh sách xác thực là bướccuối cùng của việc cấu hình xác thực. Cú pháp:
Authorization(arap | commands level | exec | reverse-access | default | list-name)
Để bật dịch vụ chứng thực bằng dây Console cho lệnh Privileged level 15 với 1 danh sách chứng thực, người quản trị nên sử dụng theo ví dụ sau:
Switch(config)# line con 0
Switch(config-line)#authorization commands 15 aaa-config
Accouting
Một phần cuối cùng của việc cấu hình AAA là Accounting. Những Switch Cicsco chỉ hổ trợ bảng Accounting cho Sercurity Server TACACS+ và RADIUS. Sau đây là cú pháp của lệnh để bật tính năng Accounting khi sử dụng TACACS và RADIUS+:
Aaa accounting { system | network | exec | connection | commands levels}
{default | list-name} {start-stop | stop only | none} [method1[method2….]]
Có 5 loại accounting có thể chi tiết bao gồm:
System - thông tin cho tất cả các sự kiện của hệ thống(không hợ danh sách tên, phải theo mặc định)
Network - thông tin về tất cả các dịch vụ mạng
Exec - thông tin về những phiên đầu cuối của user EXEC
Connection - thông tin về tất cả các kết nối bên ngoài
Commands level - thông tin về tất cả các lệnh EXEC, và tại những Privileged level 15 mà sử dụng.
Để điều khiển 1 số lượng bảng accounting cho những sự kiện chi tiết bằng danh sách các phương pháp:
Start-stop - ghi chú khi bắt đầu có sự kiện và kết thúc khi kết thúc sự kiện
Stop only - chỉ gửi những ghi chú mà đã dừng liên quan đến sự kiện đó
none - không lưu accounting
Nó thì được yêu cầu để accounting được bật lên cho tất cả 5 loại, và nói riêng cho aaa accounting network default start-stop group aaa-admin-servers
Lệnh sau đây bật tất cả 5 loại accounting, sủ dụng phương pháp accounting mặc định:start-stop
Switch(config)# aaa accounting exec default start-stop group aaa-admin-servers
Switch(config)# aaa accounting commands 15 default start-stop group aaa-admin-servers
Switch(config)# aaa accounting network default start-stop group aaa-admin-servers
Switch(config)# aaa accounting network default start-stop group aaa-admin-servers
Switch(config)# aaa accounting system default start-stop group aaa-admin-servers
Cú pháp lệnh sau đây bật dịch vụ accounting trên 1 dòng chi tiết hay 1 nhóm dòng
Accounting{arap | commands level | exec | connection} {default | list-name}
Để bật dịch vụ accounting tại Privileged level 15 và cho những sự kiện system-level(eg,.. exec) người quản trị nên sử dụng theo ví dụ sau:
Switch(config)# line con 0
Switch(config)# accounting commands 15 default
Switch(config)# accounting exec default
Tùy chọn Newinfo chỉ gửi bảng update khí nó có thông tin mới về accounting, trong khi tùy chọn Periodic sẽ gửi update dựa trên khoảng thời gian cấu hình(phút). Khi sử dụng cài đặt Periodic, nó sẽ phát ra nhiều bảng accounting kể từ thừoi gian báo cáo chuyển tiếp của những sự kiện mà xảy ra hiện hành được thêm vào.Vì thế, nó được khuyến cáo nên sử dụng tuỳ chọn Newinfo.
Mặc định, những Switch của Cisco không phát ra bảng accoungting cho việc cố gắng xác thực đăng nhập sai khi accounting được bật lên. Để tính năng này, sủ dụng lệnh sau:
Switch(config)# aaa accounting send stop-record authentication failure
802.1X Port-Base Authentication
Chuẩn EEE 802.1X là 1 giao thức xác thực và điều khiển truy xuất Port-based. Mặc dù sự thực thi của chuẩn này vẫn còn đang phát triển, nó giờ đang hiện hành trên nhiều dòng Switch của Cisco. Nó yêu cầu 1 client khi kêt nối đến 1 port của Switch phải xác thực đến 1 Server như là Access Control Server của Cisco trước khi có thể truy xuất đến mạng. Client phải chạy 1 phần mềm hỗ trợ 802.1X mà nó phải phù hợp với hệ điều hành(WinXP…)
Ví dụ sau đây bật 802.1x trên IOS của Switch Cisco trên Interface Ethernet 1/0
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# interface Ethernet 1/0
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode single mode
Khi 802.1X được cấu hình trên port gắn vào IP Phone của Cisco và Voice Vlan thì IP Phone không cần phải xác thực sử dụng 802.1x để truy xuất vào mạng. IP Phone đầu tiên được khai báo xuyên qua CDP sẽ được truy xuất đên mạng Voice Vlan. Không có địa chỉ MAC nào được chấp nhận trên Voice Vlan cho đến khi 1 hệ thống xác thực sử dụng 802.1X. Khi tính năng port security nên được bật lên thì chế độ dot1X multiple-hosts có thể được yêu cầu. Khi chế độ này được bật lên, bất kỳ hệ thống nào được chứng thực bởi 802.1X thì tất cả địa chỉ MAC được chấp nhận vượt qua Voice Vlan nhưng chỉ những hệ thống được xác thực sẽ được chấp nhận trên Native Vlan. Port Security hay khả năng của PACL phải được sử dụng để giới hạn sự cho phép địa chỉ MAC
Thật là quan trọng để tạo 1 phương pháp đăng nhập xác thực, được sắp theo danh sách(khai báo chi tiết loại giao thức được sử dụng cho Security Server). Và cấu trúc lệnh sau đây bật tính năng xác thưc khi đăng nhập vào Switch, việc sử dụng 1 danh sách mặc định hoặc danh sách theo ý mình và việc sử dụng nhưng phương pháp xác thực.
Aaa athentication login {default | list-name} method1 [method2…]
nơi mà những phương pháp đó bao gồm:
group radius - sủ dụng tất cả danh sách RADIUS SERVER
group tacacs - sủ dụng tất cả danh sách TACACS
group group-name - sủ dụng những Server được khai báo bởi group-name(RADIUS SERVER, TACACS)
krb5 - sử dụng Kerberos
Một ví dụ về việc cấu hình cho Switch để cung cấp kiểu chứng thực TACACS+ sử dụng 1 tên nhóm của aaa-admin-servers:
Switch(config)# aaa group servers tacacs+ aaa-admin-servers
Switch(config)# aaa authentication login default group aaa-admin-servers
Switch có thể cung cấp 1 phương pháp đăng nhập cục bộ nếu vì 1 lý do nào đó AAA server không thể sẵn sàng. Nó se không cho phép 1 user mà đã bị cấm truy nhập bởi AAA server để đăng nhập và sử dụng cơ chế xác thực cục bộ. Để mà thựcthi việc đăng nhập cục bộ, 1 ussername và password cần phải được cấu hình. Nhiều tài khoản có thể được tạo trên Switch, với mỗi user có 1 quyền truy cập khác nhau . Sự thêm vào những đặc tính thuận lợ khi đăng nhập cục bộ như là: phương pháp xác thực dự trữ mà người quản trị được yêu cầu cho username và password. Lệnh sau đây chỉ cho bạn cách sủ dụng xác thực cục bộ như là sự dự trữ:
Switch(config)# aaa authentication login aaa-fallback group aaa-admin-server local
Bước cuối cùng là việc áp đặt danh sách phương pháp xác thực lên dòng mong muốn. Câu lệnh dưới đây miêu tả cú pháp để bật dịch vụ xác thực trên 1 dòng chi tiết hay trên 1 nhóm dòng, áp đặt mặt định hay không:
Login authentication (default | list-name)
Lệnh sau đây sẽ áp đặt 1 danh sách tên aaa-fallback lên cổng console:
Switch(config)# line con 0
Switch(config-line)# login authentication aaa-fallback
Sự phân quyền
Tương tự như sự xác thực, sự cấu hình phân quyền cũng yêu cầu sự bảo mật của nhà quản trị khi khai báo những danh sách phương pháp. Sự trình bày khai báo cấu trúc lệnh sau đây để bật tính năng khi user truy cập vào hệ thống mạng, sử dụng danh sách mặc định hay do mình tự chọn
Aaa authorization {auth-proxy | network | exec | commands level | reverse access | configuration | ipmobile | }{default | list name}
Method1[method2…]
Chi tiết về các loại chứng thực:
auth-proxy - những chính sách bảo mật được áp đặt lên 1 user
network - yêu cầu dịchvụ
exec - sự bắt đầu của 1 phiên EXEC
commands level - lệnh EXEC thực thi tại các cấp độ chi tiết
reverse access - đảo ngược 1 phiên Telnet
configuration - tải những cấu hình từ Security Server
ipmobile - những dịch vụ IpMobile
Một ví dụ về việc cấu hình 1 Switch cung cấp sự chứng thực kiểu TACACS+, sủ dụng nhóm aaa-admin-servers cho EXEC và lệnh privileged EXEC:
Switch(config)# aaa authorization exec default group aaa-admin-servers
Switch(config)# aaa authorization command 15 aaa-config group aaa-admin-servers if-authenticated
Việc áp đặt những loại danh sách xác thực là bướccuối cùng của việc cấu hình xác thực. Cú pháp:
Authorization(arap | commands level | exec | reverse-access | default | list-name)
Để bật dịch vụ chứng thực bằng dây Console cho lệnh Privileged level 15 với 1 danh sách chứng thực, người quản trị nên sử dụng theo ví dụ sau:
Switch(config)# line con 0
Switch(config-line)#authorization commands 15 aaa-config
Accouting
Một phần cuối cùng của việc cấu hình AAA là Accounting. Những Switch Cicsco chỉ hổ trợ bảng Accounting cho Sercurity Server TACACS+ và RADIUS. Sau đây là cú pháp của lệnh để bật tính năng Accounting khi sử dụng TACACS và RADIUS+:
Aaa accounting { system | network | exec | connection | commands levels}
{default | list-name} {start-stop | stop only | none} [method1[method2….]]
Có 5 loại accounting có thể chi tiết bao gồm:
System - thông tin cho tất cả các sự kiện của hệ thống(không hợ danh sách tên, phải theo mặc định)
Network - thông tin về tất cả các dịch vụ mạng
Exec - thông tin về những phiên đầu cuối của user EXEC
Connection - thông tin về tất cả các kết nối bên ngoài
Commands level - thông tin về tất cả các lệnh EXEC, và tại những Privileged level 15 mà sử dụng.
Để điều khiển 1 số lượng bảng accounting cho những sự kiện chi tiết bằng danh sách các phương pháp:
Start-stop - ghi chú khi bắt đầu có sự kiện và kết thúc khi kết thúc sự kiện
Stop only - chỉ gửi những ghi chú mà đã dừng liên quan đến sự kiện đó
none - không lưu accounting
Nó thì được yêu cầu để accounting được bật lên cho tất cả 5 loại, và nói riêng cho aaa accounting network default start-stop group aaa-admin-servers
Lệnh sau đây bật tất cả 5 loại accounting, sủ dụng phương pháp accounting mặc định:start-stop
Switch(config)# aaa accounting exec default start-stop group aaa-admin-servers
Switch(config)# aaa accounting commands 15 default start-stop group aaa-admin-servers
Switch(config)# aaa accounting network default start-stop group aaa-admin-servers
Switch(config)# aaa accounting network default start-stop group aaa-admin-servers
Switch(config)# aaa accounting system default start-stop group aaa-admin-servers
Cú pháp lệnh sau đây bật dịch vụ accounting trên 1 dòng chi tiết hay 1 nhóm dòng
Accounting{arap | commands level | exec | connection} {default | list-name}
Để bật dịch vụ accounting tại Privileged level 15 và cho những sự kiện system-level(eg,.. exec) người quản trị nên sử dụng theo ví dụ sau:
Switch(config)# line con 0
Switch(config)# accounting commands 15 default
Switch(config)# accounting exec default
Tùy chọn Newinfo chỉ gửi bảng update khí nó có thông tin mới về accounting, trong khi tùy chọn Periodic sẽ gửi update dựa trên khoảng thời gian cấu hình(phút). Khi sử dụng cài đặt Periodic, nó sẽ phát ra nhiều bảng accounting kể từ thừoi gian báo cáo chuyển tiếp của những sự kiện mà xảy ra hiện hành được thêm vào.Vì thế, nó được khuyến cáo nên sử dụng tuỳ chọn Newinfo.
Mặc định, những Switch của Cisco không phát ra bảng accoungting cho việc cố gắng xác thực đăng nhập sai khi accounting được bật lên. Để tính năng này, sủ dụng lệnh sau:
Switch(config)# aaa accounting send stop-record authentication failure
802.1X Port-Base Authentication
Chuẩn EEE 802.1X là 1 giao thức xác thực và điều khiển truy xuất Port-based. Mặc dù sự thực thi của chuẩn này vẫn còn đang phát triển, nó giờ đang hiện hành trên nhiều dòng Switch của Cisco. Nó yêu cầu 1 client khi kêt nối đến 1 port của Switch phải xác thực đến 1 Server như là Access Control Server của Cisco trước khi có thể truy xuất đến mạng. Client phải chạy 1 phần mềm hỗ trợ 802.1X mà nó phải phù hợp với hệ điều hành(WinXP…)
Ví dụ sau đây bật 802.1x trên IOS của Switch Cisco trên Interface Ethernet 1/0
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# dot1x system-auth-control
Switch(config)# interface Ethernet 1/0
Switch(config-if)# dot1x port-control auto
Switch(config-if)# dot1x host-mode single mode
Khi 802.1X được cấu hình trên port gắn vào IP Phone của Cisco và Voice Vlan thì IP Phone không cần phải xác thực sử dụng 802.1x để truy xuất vào mạng. IP Phone đầu tiên được khai báo xuyên qua CDP sẽ được truy xuất đên mạng Voice Vlan. Không có địa chỉ MAC nào được chấp nhận trên Voice Vlan cho đến khi 1 hệ thống xác thực sử dụng 802.1X. Khi tính năng port security nên được bật lên thì chế độ dot1X multiple-hosts có thể được yêu cầu. Khi chế độ này được bật lên, bất kỳ hệ thống nào được chứng thực bởi 802.1X thì tất cả địa chỉ MAC được chấp nhận vượt qua Voice Vlan nhưng chỉ những hệ thống được xác thực sẽ được chấp nhận trên Native Vlan. Port Security hay khả năng của PACL phải được sử dụng để giới hạn sự cho phép địa chỉ MAC