中国XX银行河北省分行

ACS项目实施方案

TACACS+认证

目录

项目背景........................................................................ 3

资源配置........................................................................ 3

实验网络架构................................................................ 3

ACS管理方案................................................................ 3

权限规定........................................................................ 4

ACS组件........................................................................ 4

网络资源......................................................................... 4

设备属性......................................................................... 4

设备位置属性.................................................................. 5

设备型号属性.................................................................. 8

AAA客户端设置............................................................. 9

用户标识仓库................................................................ 12

用户组属性.................................................................... 12

用户属性......................................................................... 13

策略组件......................................................................... 15

设备过滤器..................................................................... 15

用户级别控制................................................................. 18

命令控制......................................................................... 20

许可策略......................................................................... 23

条件选择器..................................................................... 23

许可服务......................................................................... 23

服务选择规则................................................................. 26

用户认证库..................................................................... 28

授权策略......................................................................... 29

客户端配置..................................................................... 30

配置脚本......................................................................... 31

脚本解释......................................................................... 31

认证................................................................................. 32

授权................................................................................. 32

审计................................................................................. 33

配置验证......................................................................... 33

区域路由器登录验证..................................................... 34

省行路由器登录验证..................................................... 35

查看认证日志................................................................. 36

查看授权日志................................................................. 36

查看审计日志................................................................. 37

总结................................................................................. 37

项目背景

全省网络设备的远程管理现状

1.通过各网络设备中设置的本地账户和密码进行远程登录和管理；

2.用户没有跟设备绑定；

3.用户的权限没有区分和限制；

4.用户登录以及操作没有详细的记录；

根据总行网络设备管理的要求：

1.省行以及二级行的网络设备管理员实行统一的身份验证和管理；

2.通过部署在省行的ACS服务器对网络管理员进行验证和授权；

3.管理员在获得ACS服务器的验证后方可对相应的网络设备实行远程登录和管理；

4.管理员分为不同的级别，对于不同级别的管理员有不同的授权；

5.管理员对被管理设备的操作会在ACS服务器上进行记录；

资源配置

实验网络架构

01

ACS管理方案

分别建立各种需要的属性，然后将属性组合进授权策略

授权策略中匹配用户、匹配设备、符合则授权，不符合则拒绝

02

权限规定

5级用户允许命令：

Exit

Show ip interface brief

Ping

Ping ip

Traceroute

Show ip route

15级用户禁止命令

Erase

Delete

Copy

Reload

ACS组件

网络资源

设备属性

设备属性、用户组均属于自定义属性，然后根据属性进行挑选并匹配

确定设备属性，由于此项目所有路由器与交换机均属于网络部，因此不需要设置部门属性。设备的区别只是地点区别。

HBSH7200（属性为河北全省）

HBTS3600（属性为唐山市）

HBTSKP2811（属性为唐山市开平区）

HBTSFN2811（属性为唐山市丰南区）

HBBD3600（属性为保定市）

HBBDMC2811（属性为保定市满城区）

HBBDSP2811（属性为保定市顺平县）

设备按位置设置为三级：省、市、区（县）

为了将来管理需求的变更，设置设备类型为7200、3600、2811三种

建立设备属性：

系统默认设置了两种属性

03

设备位置属性

设备类型和位置点击位置，点击建立

04

建立河北省属性

05

继续建立市级属性

06

选中上级为河北省

07

下箭头显示了层级关系

08

设备型号属性

进入Device Type选项

09

点击Create

10

11

同理，也可以根据需要设置其它分类，例如All Switchs（所有交换机）

建立路由器与属性进行关联，并且设置ACS参与的认证方式及密码

可以单独建立路由器，也可以群组建立（如按地域）。本项目需求全部按路由器名称建立。

AAA客户端设置

点击进入AAA client设置，并点击Create

12

建立省行设备

13

依次建立其它设备

14

设备建立完成，一共七台路由器

15

用户标识仓库

用户组属性

建立用户组和用户

16

17

唐山市属于河北省

18

19

用户属性

sunxin:北方博业管理员，所有设备均可访问，15级权限

hbts:唐山市行管理员，所有唐山市设备均可访问，15级权限

hbtskp：唐山市行开平区管理员，所以本区域设备均可访问，5级权限

hbtsfn：唐山市行丰南区管理员，所以本区域设备均可访问，5级权限

hbbd:保定市行管理员，所有保定市设备均可访问，15级权限

hbbdmc:保定市行满城区管理员，所有本区域设备均可访问，5级权限

hbbdsp:保定市行顺平县管理员，所有本区域设备均可访问，5级权限

除bfby外，其他用户均不可以访问上级设备和不同地区的设备

所有用户密码均为bfby

建立用户

20

21

22

策略组件

设备过滤器

作用是根据不同权限范围，将所需要管理的设备用一条指令挑选出来，方便策略调用

23

匹配方法多种多样，本例将所有型号的路由器都匹配进去

24

唐山市和保定市使用位置匹配

25

唐山和保定区级分别使用IP地址和设备名匹配

26

27

28

用户级别控制

29

30

31

32

命令控制

33

输入允许的命令点击add添加

34

允许其它命令

35

许可策略

目前所需要的属性组件已全部建立完成，接下来进行核心部分：策略设置

设置策略选择条件，根据需要设置需要匹配的条目

36

条件选择器

37

许可服务

38

建立规则服务，以便被规则调用

39

40

点击完成

是否马上建立选择策略以激活此服务

选择是，也可以以后建立

匹配原则：先匹配设备，匹配上设备后送给服务，服务进行匹配用户，最后根据不同的用户进行授权

41

42

服务选择规则

进入服务选择规则，建立规则

43

建立设备访问规则，按设备优先级进行配置，先匹配上面的，后匹配下面的。

44

保存规则

45

46

继续设置其它匹配规则

由于每个地区只设置了一台路由器，因此这里效果看起来不太明显。感觉有点儿累。

按等级顺序，等级最低的在上，最先被选择。

47

用户认证库

修改服务

修改用户认证数据库为本地用户

保存

48

授权策略

点击Authorization选项

建立一条规则

赋予省行用户15级权限

赋予市行用户15级权限

赋予区域用户5级权限

49

继续建立其它规则

50

客户端配置

配置脚本

所有省行和市行的设备删除区域路由器配置中以下几条

aaa authorization commands 5 vty group tacacs+

aaa accounting commands 5 vty start-stop group tacacs+

authorization commands 5 vty

accounting commands 5 vty

区域路由器配置：

aaa new-model

tacacs-server host 192.168.5.247 key cisco

aaa authentication login noacs line none

aaa authentication login vty group tacacs+

aaa authorization exec vty group tacacs+

aaa authorization commands 0 vty group tacacs+

aaa authorization commands 1 vty group tacacs+

aaa authorization commands 5 vty group tacacs+

aaa authorization commands 15 vty group tacacs+

aaa authorization config-commands

aaa accounting exec vty start-stop group tacacs+

aaa accounting commands 0 vty start-stop group tacacs+

aaa accounting commands 1 vty start-stop group tacacs+

aaa accounting commands 5 vty start-stop group tacacs+

aaa accounting commands 15 vty start-stop group tacacs+

line con 0

logging synchronous

login authentication noacs

line aux 0

login authentication noacs

line vty 0 4

login authentication vty

authorization exec vty

authorization commands 15 vty

accounting exec vty

accounting commands 0 vty

accounting commands 1 vty

accounting commands 5 vty

accounting commands 15 vty

脚本解释

Cisco IOS 权限等级

Cisco IOS 提供了16种权限等级：

0级：最低级别

1级：用户模式可以查看少数命令

2－14级：等同于1级，管理员可以根据需要将15级的部分指令开放给其中某个等级，来区别管理

15级：最高级别，进入enable后默认就是15级

认证

线下保护作用是排除不必要的认证

定义一条不进行认证的策略

aaa authentication login noacs line none

挂在con和aux接口下

line con 0

logging synchronous

login authentication noacs

line aux 0

login authentication noacs

定义服务器

tacacs-server host 192.168.5.247 key cisco

测试

test aaa grout tacacs+ bfby bfby net-code

登录认证策略

aaa authentication login vty group tacacs+

line vty 0 4

login authentication vty

授权

exec级别命令授权

aaa authorization exec vty group tacacs+

line vty 0 4

authorization exec vty

本地命令授权

privilege configure level 5 router

privilege exec level 5 configure terminal

将以下等级命令送到ACS上去授权

aaa authorization commands 0 vty group tacacs+

aaa authorization commands 1 vty group tacacs+

aaa authorization commands 5 vty group tacacs+

aaa authorization commands 15 vty group tacacs+

针对config terminal下的命令集中授权

aaa authorization config-commands

将授权挂到接口上应用

line vty 0 4

authorization commands 15 vty

审计

配置审计

aaa accounting exec vty start-stop group tacacs+

line vty 0 4

accounting exec vty

命令审计

aaa accounting commands 0 vty start-stop group tacacs+

aaa accounting commands 1 vty start-stop group tacacs+

aaa accounting commands 5 vty start-stop group tacacs+

aaa accounting commands 15 vty start-stop group tacacs+

line vty 0 4

accounting commands 0 vty

accounting commands 1 vty

accounting commands 5 vty

accounting commands 15 vty

配置验证

区域路由器登录验证

唐山开平区路由器使用5级用户登录

51

唐山开平区路由器使用市行15级用户登录

52

唐山开平区路由器使用省行15级用户登录

53

省行路由器登录验证

省行路由器，使用唐山区域用户登录

54

省行路由器，使用唐山市用户登录

55

省行路由器，使用sunxin用户登录

56

查看认证日志

57

查看授权日志

58

查看审计日志

59

总结

60

服务选择规则中名字为HeiBei的规则，匹配Tacacs协议，匹配设备过滤器中HeBei策略中被选中的设备（其实就是所有路由器），把它送给BFBY-Tacacs这项服务去处理

61

BFBY-Tacacs这项服务中包括了身份认证和授权服务，但不包括组映射（Windows AD）

62

允许的认证方式为PAP

63

使用内部用户（ACS中的用户）进行认证

64

此服务设置为省行用户专用，因此只有省行用户给予15级权限

65

而满城的服务则给予省行、市行15级权限，区域管理员5级权限

审计：

审计在路由器上配置后，路由器发送给ACS，因此在ACS上无需配置。

具体配置的相关项目为：

66

原文下载http://wenku.baidu.com/view/ecc0f8205ef7ba0d4b733b27