Tacacs-双通道认证配置测试与总结
其他文章:
- Tacacs+协议原理
- Tacacs+服务搭建与配置详解
- Tacacs+各厂商交换机配置
- Tacacs+协议交互报文抓包示例
- Tacacs+双通道认证配置测试与总结
- Tacacs+配置single-connection单连接模式证测试与总结
背景
一般在网络组网中,从可靠性来说,一般主要的网络设备都有两个管理地址:
一个是loopback的逻辑地址,主要用于OSPF,BGP等路由协议配置Router-id等,也可以用于远程管理设备。loopback在网络中主要是通过路由协议的传播的,所以流量会走业务l距离走的网络。一般也称为带内(band-in)地址。
另一个是管理口配置的管理地址。一般情况下,会组建一套独立与生产网络的管理网,用于防治网络路由出现问题,Loopback地址不可达情况下使用单独的管理网通过管理口来管理设备。可靠性更高,同时也可以将大部分管理流量通过管理网走,与生产网隔离。
在网络上,为了将管理网与生产网隔离,可以通过建立vrf/vpn-instance来创建单独的网络隔离域,从路由层面进行网络隔离。通过网络设备的管理口来管理网络,也称为带外管理(band-out)。
配置Tacacs+认证的目标:
在有带内管理网和带外管理网都共存的情况下,且带内网络和带外网络隔离。
配置网络设备的AAA认证,目前大多基本都通过配置Tacacs+来对网络设备进行统一认证,授权,计费管理。
而在配置Tacacs+认证的过程中,各厂商交换机主要需要配置的是Tacacs+的服务器地址,端口号,密钥,以及网络设备的认证源。
在Tacacs+各厂商交换机配置 这篇文章中介绍的Tacacs+配置,Tacacs+认证源地址只配置了一种,以Looback地址为源进行认证。
在正常具备带内和带外的情况下,使用Tacacs+想要达到的目标主要有以下几点:
- 优先采用带外为源进行Tacacs+认证,当带外失效可自动切换到带内为源认证。在此称为Tacacs+双通道认证。
- 当Tacacs+认证服务器失效以后,交换机能支持本地认证,通过本地用户登陆管理设备。
- 当Tacacs+认证服务器生效的时候,不能使用交换机本地用户登陆设备
各厂商支持Tacacs+双通道认证配置
以下配置参数:
- 带内地址统一为Loopback0: 192.168.1.1
- 带外地址管理口地址统一为:192.168.2.1,所在vrf统一为:MGT
- Tacacs+服务器地址为:192.168.147.135,port 49,key tacacs@123
- 配置Tacacs+ 超时时间为3s,一般默认为5s。
- 设置服务器恢复激活状态的时间 为5min,一般默认为5分钟。
Tacacs+服务器响应超时时间的主要作用:
- 当主Tacacs+服务器失效,那么在认证,授权,计费过程中,如果超过超时间,就会切换到备Tacacs+服务器去认证。
- 当主备Tacacs+服务器都失效,那么通过指定超时时间,会使用交换机的本地认证。
Tacacs+服务器恢复激活状态时间的主要作用:
- 当主Tacacs+服务器失效,通过超时时间会切换到备Tacacs+服务期,那么此时会通过备Tacacs+服务器进行认证,授权,计费。
- 但是当主Tacacs+服务器经过一定时间恢复以后,需要网络设备的AAA继续走主Tacacs+认证,那么就需要一个检测机制,一般默认5分钟,检测一次。如果主Tacacs+服务器恢复,则从备Tacacs+服务器认证切换回主Tacacs+服务器认证。
H3C:
当管理口down掉后,已建立的session不会立即断开,但是不能执行任何命令,Permission denied。
当配置为主从认证模式后,在主接口,即管理口down掉的情况下,执行命令当主tacacs+服务器失效,5s后自动切换为从tacacs+服务器,即从Loopback地址为源地址。后续执行命令不会有延时,当管理口恢复后,主tacacs+服务器状态变为Active后,默认5分钟后恢复使用主Tacacs+服务器,即使用管理口进行认证。
在本地用户登陆过程中,若Tacacs+生效,5分钟后,会恢复使用Tacacs+认证,已建立的session无法继续执行命令。
#配置以带内地址为Tacacs+认证源地址hwtacacs nas-ip 192.168.1.1#配置以带外地址为Tacacs+认证源地址,且绑定到管理口所在vrfhwtacacs nas-ip 192.168.2.1 vpn-instance MGT#配置Tacacs+认证服务器模版
hwtacacs scheme tacacs
#配置主Tacacs+证模版,主要通过带外认证。。primary authentication 192.168.147.135 49 MGT vpn-instance key simple tacacs@123primary authorization 192.168.147.135 49 single-connection vpn-instance key simple tacacs@123primary accounting 192.168.147.135 49 single-connection vpn-instance key simple tacacs@123
#配置备Tacacs+认证模版,主要通过带内认证。secondary authentication 192.168.147.135 49 single-connection key simple tacacs@123secondary authorization 192.168.147.135 49 single-connection key simple tacacs@123secondary accounting 192.168.147.135 49 single-connection key simple tacacs@123#配置认证不带域名user-name-format without-domain #在system域名下调用tacacs认证模版
domain systemauthentication default hwtacacs-scheme tacacs localauthorization default hwtacacs-scheme tacacs localaccounting default hwtacacs-scheme tacacs local#在全局下启动默认认证域为system。
domain default enable system
#配置Tacacs+认证超时时间
timer response-timeout 3
hwtacacs scheme hwtacacs-scheme-name
设置HWTACACS服务器响应超时时间timer response-timeout seconds 缺省情况下,服务器响应超时时间为5秒
设置实时计费的时间间隔 timer realtime-accounting minutes 缺省情况下,实时计费间隔为12分钟
设置服务器恢复激活状态的时间 timer quiet minutes *,*缺省情况下,服务器恢复激活状态前需要等待5分钟
华为:
华为设备目前不支持配置该功能。
- 当采用带外认证时,若管理口down/或者tacacs服务器失效,此时已经建立的session不会失效,还可配置命令。
- 当Tacacs+服务器失效时,可通过登陆本地用户进行登陆配置。登陆上执行命令有5s延时。
- 当Tacacs+服务器生效时,不可通过本地用户登陆。
- 当使用本地用户登陆时,若此时tacacs+服务器生效后,本地用户命令会失效,没有权限配置。
锐捷:
- 锐捷,思科,Arista设备,通过设备Tacacs+服务器group,可以通过配置gruop的先后,指定优先使用带外进行tacacs+认证。
- 锐捷,Arista,H3C在通过Tacacs+登陆时,如果tacacs+服务器失效,会直接无法执行命令。
- 当Tacacs+失效时,可通过交换机本地用户登陆,每次执行命令会延迟3s,Tacacs+生效时,本地用户不可登陆。
!
#配置认证超时时间
tacacs-server timeout 3
#配置Tacacs+服务器监控恢复时间
tacacs-server deadtime 5
tacacs-server host 192.168.147.135 port 49 key tacacs@123
!
#配置主Tacacs+服务器,指定通过带外管理口走
aaa group server tacacs+ tacacs_MGTserver 192.168.147.135ip oob via t 0
!
#配置备Tacacs+服务器,通过带内地址认证。
aaa group server tacacs+ tacacsserver 192.168.147.135nas-ip 192.168.1.1
!
#开启aaa认证。
aaa new-model
!
aaa accounting exec execaccount start-stop group tacacs_MGT group tacacs
aaa accounting commands 0 commaccout start-stop group tacacs_MGT group tacacs
aaa accounting commands 1 commaccout start-stop group tacacs_MGT group tacacs
aaa accounting commands 2 commaccout start-stop group tacacs_MGT group tacacs
aaa accounting commands 3 commaccout start-stop group tacacs_MGT group tacacs
aaa accounting commands 4 commaccout start-stop group tacacs_MGT group tacacs
aaa accounting commands 5 commaccout start-stop group tacacs_MGT group tacacs
aaa accounting commands 6 commaccout start-stop group tacacs_MGT group tacacs
aaa accounting commands 7 commaccout start-stop group tacacs_MGT group tacacs
aaa accounting commands 8 commaccout start-stop group tacacs_MGT group tacacs
aaa accounting commands 9 commaccout start-stop group tacacs_MGT group tacacs
aaa accounting commands 10 commaccout start-stop group tacacs_MGT group tacacs
aaa accounting commands 11 commaccout start-stop group tacacs_MGT group tacacs
aaa accounting commands 12 commaccout start-stop group tacacs_MGT group tacacs
aaa accounting commands 13 commaccout start-stop group tacacs_MGT group tacacs
aaa accounting commands 14 commaccout start-stop group tacacs_MGT group tacacs
aaa accounting commands 15 commaccout start-stop group tacacs_MGT group tacacs
aaa authorization exec execauth group tacacs_MGT group tacacs local
aaa authorization commands 0 default group tacacs_MGT group tacacs local
aaa authorization commands 1 default group tacacs_MGT group tacacs local
aaa authorization commands 2 default group tacacs_MGT group tacacs local
aaa authorization commands 3 default group tacacs_MGT group tacacs local
aaa authorization commands 4 default group tacacs_MGT group tacacs local
aaa authorization commands 5 default group tacacs_MGT group tacacs local
aaa authorization commands 6 default group tacacs_MGT group tacacs local
aaa authorization commands 7 default group tacacs_MGT group tacacs local
aaa authorization commands 8 default group tacacs_MGT group tacacs local
aaa authorization commands 9 default group tacacs_MGT group tacacs local
aaa authorization commands 10 default group tacacs_MGT group tacacs local
aaa authorization commands 11 default group tacacs_MGT group tacacs local
aaa authorization commands 12 default group tacacs_MGT group tacacs local
aaa authorization commands 13 default group tacacs_MGT group tacacs local
aaa authorization commands 14 default group tacacs_MGT group tacacs local
aaa authorization commands 15 default group tacacs_MGT group tacacs local
aaa authentication login vty group tacacs_MGT group tacacs local
思科:
已通过Tacacs+认证建立的session,若Tacacs+失效,该session不会断开,还可配置全部命令。
当Tacacs+生效时,本地用户不可登陆。
当Tacacs+失效,本地用户可登陆,并且当使用本地用户登陆后,Tacacs+恢复后,本地用户立即没权限执行命令。使用本地用户登录时,执行命令无延时。
#开启Tacacs+功能
feature tacacs+
tacacs-server timeout 3
tacacs-server deadtime 5
tacacs-server host 192.168.147.135 key tacacs@123 port 49 single-connection
#配置主Tacacs+服务器,绑定vrf
aaa group server tacacs+ tacacs_MGTserver 192.168.147.135 use-vrf MGTsource-interface t0#配置备Tacacs+服务器
aaa group server tacacs+ tacacsserver 192.168.147.135 source-interface loopback0#通过调用Tacacs+认证group先后,决定认证顺序
aaa authentication login default group tacacs_MGT tacacs local
aaa authentication login console local
aaa authorization config-commands default group tacacs_MGT tacacs local
aaa authorization commands default group tacacs_MGT tacacs local
aaa accounting default group tacacs_MGT tacacs
#这条命令是增加思科能通过Tacacs+上的用户进行认证
aaa authentication login ascii-authentication
Arista:
- Arista系列支持,Tacacs+生效时本地用户不可登陆,失效时本地用户可登陆。
tacacs-server timeout 3
# 配置主Tacacs+认证
tacacs-server host 192.168.147.135 vrf port 49 single-connection key tacacs@123
#配置备Tacacs+认证服务器
tacacs-server host 192.168.147.135 port 49 key single-connection key tacacs@123
!
aaa group server tacacs+ tacacsserver 192.168.147.135 port 49
!
aaa group server tacacs+ tacacs_MGTMGTserver 192.168.147.135 vrf port 49
!
aaa authentication login default group tacacs_MGT group tacacs local
aaa authentication login console local
aaa authorization exec default group tacacs_MGT MGT group tacacs local
aaa authorization commands all default group tacacs_MGT group tacacs local
aaa accounting commands all default start-stop group tacacs_MGTMGT group tacacs
!
ip tacacs vrf source-interface Management0
ip tacacs source-interface Loopback0
其他文章:
- Tacacs+协议原理
- Tacacs+服务搭建与配置详解
- Tacacs+各厂商交换机配置
- Tacacs+协议交互报文抓包示例
- Tacacs+双通道认证配置测试与总结
- Tacacs+配置single-connection单连接模式证测试与总结
Tacacs-双通道认证配置测试与总结相关推荐
- Juniper Radius And Tacacs Server 认证测试
1. 简述 Juniper产品支持Radius.Tacacs及本地Password认证.根据不同的用户需求,3A服务器认证可能会结合域用户.LDAP.RSA-Token等认证服务器进行综合认证.此测试 ...
- H3C、Huawei、Cisco网络设备AAA TACACS认证配置白皮书
TACACS技术白皮书 摘要:TACACS是实现AAA功能的一种安全协议,主要是通过TACACS客户端与TACACS服务器通信来实现多种用户的AAA功能. HWTACACS采用TCP协议承载报文,TC ...
- Cisco/Ruijie/H3C/华为 AAA认证配置
Cisco 配置步骤 Cisco Tacacs+测试 1.配置Tacacs+服务和认证授权方式 (config)#aaa new-model (config)#aaa authentication l ...
- 使用请求头认证来测试需要授权的 API 接口
使用请求头认证来测试需要授权的 API 接口 Intro 有一些需要认证授权的接口在写测试用例的时候一般会先获取一个 token,然后再去调用接口,其实这样做的话很不灵活,一方面是存在着一定的安全性问 ...
- jenkins 忘记密码或认证配置出错后解决办法
背景 我们测试环境的 Jenkins 是通过 Crowd 进行统一登录认证,授权策略采用"项目矩阵授权策略",运维同事在配置Role-Based Strategy时出错,导致所有用 ...
- ACL+SASL的认证配置后的Kafka命令操作(Windows版)
ACL+SASL的认证配置后的Kafka命令操作 Windows环境 背景 版本 操作 配置文件准备 Zookeeper配置文件 Clients配置文件 Kafka Server配置文件 JAAS配置 ...
- 思科无线认证服务器,思科服务器认证配置
思科服务器认证配置 内容精选 换一换 可以.一个服务器上可以同时配置多个证书.证书是与域名或IP绑定的,对服务器的数量没有限制.如果您购买的证书绑定的域名用于多台服务器,则购买的证书需要在每台服务器上 ...
- tomcat实现https双向认证配置
Tomcat实现https双向认证配置 1.生成证书库 2.jks转p12 3.证书库导出cer文件 4.证书库生成证书请求 5.对证书请求进行签名 6.例子 6.1创建证书库 6.2导出根证书 6. ...
- Qmail+vpopmail+daemontools+ucspi邮件系统安装及其SMTP认证配置
最近线上的一台qmail邮件系统因硬件出现故障,又重新部署了新的Qmail邮件系统,在网上查阅了好多关于qmail安装资料,下面是我整理的qmail安装和SMTP认证配置文档. 准备条件: 系统:ce ...
最新文章
- android的横竖屏切换,Android横竖屏切换 初步探究
- ubuntu各版本代号(更新至15.04)及各版本下载地址等
- MySQL 5.5.31 procedure 的语法规则细节
- 音视频开发音频处理技术
- 代码签名工具有哪些?好用的数字签名工具推荐
- WES 7 FBWF灾难性故障
- BMVC 2020 开幕,196篇论文73篇开源~
- vue 图片剪裁插件
- 全网视频下载器网页版-AllTubeDownload
- python开三次方_python 3次方
- python期货量化交易实战_Python期货量化交易实战
- tshark简单使用-wireshark
- JS配置KaTeX渲染LaTeX公式
- 数学模型(第五版) PDF 习题参考解答 第5版
- Python视频分割(截取视频部分保存)
- IT外企那点儿事(18): 当“we are a team”成为口头禅
- 自动驾驶中的Scene, Situation和Scenario的定义与补充
- ubootenv工具fw_printenv及配置文件fw_env.config
- Erlang 完全卸载
- 美拍爬虫逆向js解析实战