Tweet
🎯 [AAA trên Cisco] Kiểm Soát Truy Cập Một Cách Có Chiến Lược: Từ Cơ Bản Đến Chuyên Nghiệp
Bạn có bao giờ tự hỏi làm sao các tổ chức lớn có thể quản lý hàng ngàn người dùng và thiết bị mà vẫn đảm bảo tính bảo mật? Hoặc làm sao để phân quyền rõ ràng “ai được làm gì”, “truy cập từ đâu”, “làm vào lúc nào”? Câu trả lời nằm ở một khái niệm quan trọng trong thế giới bảo mật mạng: AAA – Authentication, Authorization, Accounting.
Trong bài này, chúng ta sẽ đi từ cấu hình AAA đơn giản với database cục bộ, cho đến tích hợp TACACS+ và RADIUS trong môi trường thực tế.
👁️ Tổng Quan Về AAA: Bảo Mật Không Chỉ Là Mật Khẩu
AAA là khung kiểm soát truy cập trong hệ thống mạng, bao gồm:
Ví dụ: Khi bạn SSH vào một router, AAA sẽ xác định danh tính bạn (qua AD hoặc local user), kiểm tra bạn có quyền vào chế độ exec hay cấu hình không, và ghi lại nhật ký hoạt động của bạn như “gõ lệnh show run lúc 09:12AM từ IP 192.168.1.10”.
🧰 Phương Thức Lưu Trữ Người Dùng
AAA có thể sử dụng:
Giao tiếp giữa thiết bị mạng và máy chủ AAA thông qua giao thức:
🔧 Cấu Hình AAA Dùng Database Cục Bộ
Thích hợp cho môi trường nhỏ, lab, hoặc khi chưa có hạ tầng AAA:
Router(config)# aaa new-model Router(config)# aaa authentication login default local Router(config)# aaa authorization exec default local Router(config)# username admin privilege 15 secret admin123 Router(config)# enable secret enablePass
📌 Lưu ý:
🔐 Cấu Hình AAA Với TACACS+
Giả sử công ty bạn đã có Cisco ISE hoặc máy chủ TACACS+ dùng FreeRADIUS/TACACS.net.
Router(config)# aaa new-model
Router(config)# tacacs server ISE-SERVER
Router(config-server-tacacs)# address ipv4 10.10.10.10
Router(config-server-tacacs)# key tacacsKey123
Router(config)# aaa authentication login default group tacacs+ local
Router(config)# aaa authorization exec default group tacacs+ local
Router(config)# aaa accounting exec default start-stop group tacacs+
Router(config)# aaa accounting commands 15 default stop-only group tacacs+
📌 Giải thích:
🎯 Thực tế triển khai: Tổ chức của bạn có thể kiểm soát cụ thể từng lệnh như “chỉ cho phép NOC gõ show, không cho gõ reload”.
🌐 Cấu Hình AAA Với RADIUS
RADIUS phổ biến trong xác thực VPN, Wi-Fi, và môi trường AD.
Router(config)# aaa new-model
Router(config)# radius server MS-RADIUS
Router(config-server-radius)# address ipv4 192.168.100.100 auth-port 1812
Router(config-server-radius)# key radiusKey456
Router(config)# aaa authentication login default group radius local
Router(config)# aaa authorization exec default group radius local
Router(config)# aaa accounting exec default start-stop group radius
📌 Khác biệt lớn nhất giữa TACACS+ và RADIUS:
🧠 Một Số Câu Hỏi Ôn Tập
Q: Tại sao nên cấu hình group tacacs+ local thay vì chỉ group tacacs+?
A: Vì nếu máy chủ TACACS+ không phản hồi, thiết bị vẫn cho phép đăng nhập bằng tài khoản local → không khóa thiết bị.
🎁 Mẹo Triển Khai Thực Chiến
🔚 Tổng Kết
AAA không chỉ là lý thuyết. Trong môi trường thực tế, việc bạn biết cách cấu hình, phân quyền và ghi log chính xác là nền tảng cho bảo mật vận hành mạng. AAA cũng là kỹ năng bắt buộc nếu bạn đang theo đuổi CCNA, CCNP ENCOR, SCOR, hoặc CCIE.
Chúc bạn làm chủ AAA như một chuyên gia! Nếu cần lab test hoặc giả lập TACACS+/RADIUS, hãy để lại bình luận – mình sẽ chia sẻ luôn bản cấu hình mẫu cho GNS3/EVE-NG hoặc thực tế.
Bạn có bao giờ tự hỏi làm sao các tổ chức lớn có thể quản lý hàng ngàn người dùng và thiết bị mà vẫn đảm bảo tính bảo mật? Hoặc làm sao để phân quyền rõ ràng “ai được làm gì”, “truy cập từ đâu”, “làm vào lúc nào”? Câu trả lời nằm ở một khái niệm quan trọng trong thế giới bảo mật mạng: AAA – Authentication, Authorization, Accounting.
Trong bài này, chúng ta sẽ đi từ cấu hình AAA đơn giản với database cục bộ, cho đến tích hợp TACACS+ và RADIUS trong môi trường thực tế.
👁️ Tổng Quan Về AAA: Bảo Mật Không Chỉ Là Mật Khẩu
AAA là khung kiểm soát truy cập trong hệ thống mạng, bao gồm:
- Authentication (Xác thực): Ai đang cố gắng truy cập vào?
- Authorization (Ủy quyền): Người đó được phép làm gì?
- Accounting (Kế toán): Người đó đã làm gì, khi nào, và từ đâu?
Ví dụ: Khi bạn SSH vào một router, AAA sẽ xác định danh tính bạn (qua AD hoặc local user), kiểm tra bạn có quyền vào chế độ exec hay cấu hình không, và ghi lại nhật ký hoạt động của bạn như “gõ lệnh show run lúc 09:12AM từ IP 192.168.1.10”.
🧰 Phương Thức Lưu Trữ Người Dùng
AAA có thể sử dụng:
- Database cục bộ: người dùng lưu trên từng thiết bị (dễ dùng, không mở rộng tốt).
- Database tập trung: như Active Directory, LDAP, sử dụng qua máy chủ AAA như Cisco ISE.
Giao tiếp giữa thiết bị mạng và máy chủ AAA thông qua giao thức:
- TACACS+ (Cisco-proprietary, dùng TCP port 49)
- RADIUS (chuẩn IETF, dùng UDP port 1812 và 1813)
🔧 Cấu Hình AAA Dùng Database Cục Bộ
Thích hợp cho môi trường nhỏ, lab, hoặc khi chưa có hạ tầng AAA:
Router(config)# aaa new-model Router(config)# aaa authentication login default local Router(config)# aaa authorization exec default local Router(config)# username admin privilege 15 secret admin123 Router(config)# enable secret enablePass
📌 Lưu ý:
- aaa new-model: bật mô hình AAA.
- local: xác thực bằng user trong thiết bị (lệnh username).
- default: áp dụng mặc định cho tất cả các line (VTY, console, aux…).
🔐 Cấu Hình AAA Với TACACS+
Giả sử công ty bạn đã có Cisco ISE hoặc máy chủ TACACS+ dùng FreeRADIUS/TACACS.net.
Router(config)# aaa new-model
Router(config)# tacacs server ISE-SERVER
Router(config-server-tacacs)# address ipv4 10.10.10.10
Router(config-server-tacacs)# key tacacsKey123
Router(config)# aaa authentication login default group tacacs+ local
Router(config)# aaa authorization exec default group tacacs+ local
Router(config)# aaa accounting exec default start-stop group tacacs+
Router(config)# aaa accounting commands 15 default stop-only group tacacs+
📌 Giải thích:
- group tacacs+ local: dùng TACACS+ là chính, fallback về local nếu server chết.
- authorization commands 15: chỉ cho phép chạy lệnh khi được xác thực.
- accounting: ghi lại toàn bộ hành động và phiên làm việc.
🎯 Thực tế triển khai: Tổ chức của bạn có thể kiểm soát cụ thể từng lệnh như “chỉ cho phép NOC gõ show, không cho gõ reload”.
🌐 Cấu Hình AAA Với RADIUS
RADIUS phổ biến trong xác thực VPN, Wi-Fi, và môi trường AD.
Router(config)# aaa new-model
Router(config)# radius server MS-RADIUS
Router(config-server-radius)# address ipv4 192.168.100.100 auth-port 1812
Router(config-server-radius)# key radiusKey456
Router(config)# aaa authentication login default group radius local
Router(config)# aaa authorization exec default group radius local
Router(config)# aaa accounting exec default start-stop group radius
📌 Khác biệt lớn nhất giữa TACACS+ và RADIUS:
- TACACS+ mã hóa toàn bộ payload → tốt hơn cho quản trị CLI.
- RADIUS chỉ mã hóa password → tối ưu cho VPN và wireless.
🧠 Một Số Câu Hỏi Ôn Tập
Q: Tại sao nên cấu hình group tacacs+ local thay vì chỉ group tacacs+?
A: Vì nếu máy chủ TACACS+ không phản hồi, thiết bị vẫn cho phép đăng nhập bằng tài khoản local → không khóa thiết bị.
🎁 Mẹo Triển Khai Thực Chiến
- Khi dùng máy chủ AAA, luôn tạo 1 tài khoản admin cục bộ cho trường hợp mất kết nối AAA.
- Bật aaa authorization config-commands để kiểm soát cả các lệnh cấu hình.
- Dùng debug aaa authentication và debug tacacs để xử lý lỗi khi test.
🔚 Tổng Kết
AAA không chỉ là lý thuyết. Trong môi trường thực tế, việc bạn biết cách cấu hình, phân quyền và ghi log chính xác là nền tảng cho bảo mật vận hành mạng. AAA cũng là kỹ năng bắt buộc nếu bạn đang theo đuổi CCNA, CCNP ENCOR, SCOR, hoặc CCIE.
Chúc bạn làm chủ AAA như một chuyên gia! Nếu cần lab test hoặc giả lập TACACS+/RADIUS, hãy để lại bình luận – mình sẽ chia sẻ luôn bản cấu hình mẫu cho GNS3/EVE-NG hoặc thực tế.
Attached Files