Quy Trình Tich Hop Thiet Bi Vao Acs

Trung Tâm Viễn Thông & KSCLHT
*** *** ***

Tổ Triển Khai Viễn Thông
QUY TRÌNH TÍCH HỢP VÀ XÁC THỰC CÁC THIẾT

BỊ TRÊN ACS CISCO
Thông tin về tài liệu

Thông tin Nội dung
Tên tài liệu Quy trình tích hợp và xác thực các thiết bị trên ACS CISCO
Hiệu lực
Tác giả Tổ Triển Khai – TTVT & KSCLHT
Mục đích Sử dụng cho việc tích hợp và xác thực account, quản lý tập trung về policy
cho các các thiết bị router, switch hay OLT trên hệ thống ACS CISCO
Ngày 2/08/2018
Phiên bản V1.0
Bảo mật thông tin

Thông tin trong tài liệu này thuộc bản quyền của Tổ Triển Khai – TTVT & KSCLHT. Hành vi sao chép,
phát tán toàn bộ hay một phần của tài liệu dưới bất kỳ hình thức nào mà không được sự đồng ý của Tổ
Triển Khai – TTVT & KSCLHT là vi phạm pháp luật.
VIET.NB 1
*** *** ***
Mục lục
I. Mục đích của việc tích hợp và xác thực thiết bị trên ACS .............................................................. 3
1. Giới thiệu tổng quan về dịch vụ AAA .......................................................................................... 3
2. Giới thiệu tổng quan về phần mềm ACS-CISCO ......................................................................... 5
II.Tích hợp thiết bị vào ACS .................................................................................................................. 6
1. Add quản lý các thiết bị trên ACS ................................................................................................ 8
2. Cấu hình khai báo giao thức TACACS+ trên thiết bị client ....................................................... 15
3. Kiểm tra khai báo giao thức TACACS+ trên thiết bị.................................................................. 17
4. Giám sát log, lịch sử thao tác trên ACS ...................................................................................... 19
III. HƯỚNG DẪN LOGIN THIẾT BỊ BẰNG ACCOUNT ACS ..................................................... 22
1. Đổi pass mặc định trước khi login (bắt buộc) ............................................................................. 22
2. Login vào các thiết bị theo tài khoản ACS ................................................................................. 25
3. Thông tin hỗ trợ .......................................................................................................................... 25
VIET.NB 2
*** *** ***
I. Mục đích của việc tích hợp và xác thực thiết bị trên ACS
Hiện nay trên hạ tầng VTVcab đang triển khai rất nhiều các thiết bị trải dài ở các lớp khác nhau như
lớp Core (router Mikrotik…), lớp Distribution (SW Juniper, SW Cisco 4503…), lớp Acess (SW Cisco
3850,OLT Dasan, OLT ZTE…) để đáp ứng các nhu cầu triển khai dịch vụ của Tổng Công Ty.
Với việc triển khai nhiều thiết bị khác nhau mà không có cơ chế quản lý tập trung để xác thực, phân
quyền cũng như lưu log thao tác của user gây rất nhiều khó khăn trong công tác vận hành cũng như
troubleshoot lỗi khi có sự cố xảy ra.
Xuất phát từ thực tế đó , Tổ Triển Khai –TTVT & KSCL HT đề xuất sử dụng dịch vụ AAA để thực
hiện việc tích hợp và xác thực các thiết bị trên hạ tầng VTVcab vào hệ thống ACS CISCO nhằm giải quyết
các khó khăn phát sinh trong công tác quản trị, vận hành hệ thống.
1. Giới thiệu tổng quan về dịch vụ AAA
AAA cho phép nhà quản trị mạng biết được các thông tin quan trọng về tình hình cũng như mức độ an
toàn trong mạng. Nó cung cấp việc xác thực (authentication) người dùng nhằm bảo đảm có thể nhận dạng
đúng người dùng. Một khi đã nhận dạng người dùng, ta có thể giới hạn thẩm quyền (authorization) mà
người dùng có thể làm. Khi người dùng sử dụng mạng, ta cũng có thể giám sát tất cả những gì mà họ làm.
AAA với ba phần xác thực (authentication), cấp quyền (authorization), tính cước (accounting) là các phần
riêng biệt mà ta có thể sử dụng trong dịch vụ mạng, cần thiết để mở rộng và bảo mật mạng.
AAA có thể dùng để tập hợp thông tin từ nhiều thiết bị trên mạng. Ta có thể bật các dịch vụ AAA trên
router, switch, firewall, các thiết bị VPN, server, …
Các dịch vụ AAA được chia thành ba phần, xác thực (authentication), cấp quyền (accounting), tính
cước (accounting).
+ Xác thực (Authentication)
Xác thực dùng để nhận dạng (identify) người dùng. Trong suốt quá trình xác thực, username và
password của người dùng được kiểm tra và đối chiếu với cơ sở dữ liệu lưu trong AAA Server. Tất nhiên,
tùy thuộc vào giao thức mà AAA hỗ trợ mã hóa đến đâu, ít nhất thì cũng mã hóa username và password.
Sau khi xác thực thành công thì người dùng đó có thể truy cập được vào mạng. Tiến trình này chỉ là một
trong các thành phần để điều khiển người dùng với AAA. Một khi username và password được chấp nhận,
AAA có thể dùng để định nghĩa thẩm quyền mà người dùng được phép làm trong hệ thống.
+ Phân quyền (Authorization)
VIET.NB 3
*** *** ***
Authorization cho phép nhà quản trị điều khiển việc cấp quyền trong một khoảng thời gian, hay
trên từng thiết bị, từng nhóm, từng người dùng cụ thể hay trên từng giao thức. AAA cho phép nhà quản trị
tạo ra các thuộc tính mô tả các chức năng của người dùng được phép làm. Do đó, người dùng phải được
xác thực trước khi cấp quyền cho người đó.
AAA Authorization làm việc giống như một tập các thuộc tính mô tả những gì mà người dùng đã
được xác thực có thể có. Những thuộc tính này được so sánh với thông tin chứa trong cơ sở dữ liệu của
người dùng đó và kết quả được trả về AAA để xác định khả năng cũng như giới hạn thực tế của người đó.
+ Tính cước (Accounting)
Accounting cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt đầu, thời gian kết thúc
người dùng truy cập vào hệ thống, các câu lệnh đã thực thi, thống kê lưu lượng, việc sử dụng tài nguyên và
sau đó
- Có hai giao thức bảo mật dùng trong dịch vụ AAA đó là

TACACS (Terminal Access Controller Access Control System)
RADIUS (Remote Authentication Dial-In User Service).
• TACACS thường được dùng trong môi trường enterprise. Nó có nhiều ưu điểm và làm việc tốt đáp
ứng yêu cầu quản lý mạng hàng ngày như:
TACACS+ được chia làm ba phần: xác thực (authentication), cấp quyền (authorization) và tính
cước (accounting). Với cách tiếp cận theo module, ta có thể sử dụng các dạng khác của xác thực và vẫn
sử dụng TACACS+ để cấp quyền và tính cước. Chẳng hạn như, việc sử dụng phương thức xác thực
Kerberos cùng với việc cấp quyền và tính cước bằng TACACS+ là rất phổ biến.
TACACS+ hỗ trợ nhiều giao thức.
VIET.NB 4
*** *** ***
Với TACACS+, ta có thể dùng hai phương pháp để điều khiển việc cấp quyền thực thi các dòng
lệnh của một user hay một nhóm nhiều user:
O Phương pháp thứ nhất là tạo một mức phân quyền (privilege) với một số câu lệnh giới hạn
và user đã xác thực bởi router và TACACS server rồi thì sẽ được cấp cho mức đặc quyền xác định nói
trên.
O Phương pháp thứ hai đó là tạo một danh sách các dòng lệnh xác định trên TACACS+ server
để cho phép một user hay một nhóm sử dụng.
2. Giới thiệu tổng quan về phần mềm ACS-CISCO
Cisco Secure ACS được xem như là một dịch vụ điều khiển việc xác thực (authentication), cấp quyền
(authorization), tính cước (accounting) cho các hệ thống thiết bị mạng. Cisco Secure ACS giúp tập trung
cho việc phân quyền truy cập vào router hay switch.
Với Cisco Secure ACS, nhà cung cấp dịch vụ có thể nhanh chóng quản trị account, thay đổi yêu cầu
dịch vụ cho toàn bộ các nhóm người dùng. Cisco Secure hỗ trợ các thiết bị cisco và các thiết bị thế hệ thứ
ba có thể cấu hình với TACACS+, RADIUS
VIET.NB 5
*** *** ***
Giao diện ACS-CISCO
II. Tích hợp thiết bị vào ACS
 Topo logic
VIET.NB 6
*** *** ***
 Kiểm tra kết nối giữa thiết bị và ACS server trước khi tích hợp
-Từ thiết bị ping test tới IP ACS server
VIET.NB 7
*** *** ***
-Từ ACS server ping test tới thiết bị muốn quản lý.
1. Add quản lý các thiết bị trên ACS

B1: Login vào giao diện quản lý ACS trên trình duyệt web theo link sau
User login đăng nhập mặc định (yêu cầu đổi pass lần đăng nhập đầu tiên) theo định dạng sau
VIET.NB 8
*** *** ***
User/pass mặc định = ten.hodem (viết tắt)/vtvcab@123

VD: cuong.dc/vtvcab@123; thai.nv/vtvcab@123
B2: Phân chia vùng location (dễ dàng quản lý hơn) (đã khai báo sẵn)
B3: Phân chia loại thiết bị (đã khai báo sẵn)
VIET.NB 9
*** *** ***
B4: Tạo network device (đã khai báo sẵn thông tin Network các SW + OLT với key xác thực
“vtvcab@123”)
B5: Tạo các “Shell Profiles” để cấu hình phần quyền cho từng group/user thuộc các privilege level
nào
VIET.NB 10
*** *** ***
VIET.NB 11
*** *** ***
B6: Tạo các “Command set” phân quyền cho user chứng thực thành công thì có thể thực thi những
lệnh nào, bị cấm những lệnh nào
VIET.NB 12
*** *** ***
B7: Tạo các policy truy cập
+ Tạo xác thực định danh cho các user thuộc Active directory server (Domain) dựa vào giao thức
TACACS+
VIET.NB 13
*** *** ***
+ Tạo các rule phân quyền để match các User/Group thuộc domain được phép thực hiện những
lệnh gì, ở các privilege level nào => dùng thông tin các User này để login thiết bị về sau
VIET.NB 14
*** *** ***
2. Cấu hình khai báo giao thức TACACS+ trên thiết bị client
B1: Thực hiện xóa các tài khoản Local trên thiết bị (chỉ giữ lại 1-2 tài khoản local privilege 15 ) để sử
dụng trong trường hợp login qua ACS bị lỗi.
B2: Thực hiện enable và khai báo giao thức TACACS trên các thiết bị client
Thiết bị Lệnh Ý nghĩa

!
login local tacacs primary
login local tacacs enable Cho phép login ưu tiên qua giao thức
login remote tacacs primary TACACS
login remote tacacs enable
login tacacs server 172.20.111.41 vtvcab@123 Khai báo xác thực với các server
login tacacs server 172.20.111.15 vtvcab@123 TACACS sử dụng key"vtvcab@123"
V8102 login tacacs timeout 5 Thời gian gửi request tới các server
Trao đổi bản tin với server qua interface
login tacacs interface vlan 2502 vlan 2502
login tacacs priority-level max
login tacacs server move 172.20.111.41 1 Ưu tiên xác thực qua server
login tacacs server move 172.20.111.15 5 172.20.111.41 trước
Giám sát thông tin log hoạt động của
login accounting-mode start user khi login
!
!
login local tacacs primary
login local tacacs enable
login remote tacacs primary
login remote tacacs enable
login tacacs server 172.20.111.41 vtvcab@123
login tacacs server 172.20.111.15 vtvcab@123
V5842
login tacacs timeout 5
login tacacs interface br2502
login tacacs priority-level max
login tacacs server move 172.20.111.41 1
login tacacs server move 172.20.111.15 5
login accounting-mode start
!
C3850 !
VIET.NB 15
*** *** ***
enable secret 5 VTVcab@123 Đặt pass enable là "VTVcab@123"

!
aaa new-model Bật chức năng aaa
aaa group server tacacs+ ACS Khai báo xác thực với các server
server-private 172.20.111.41 key vtvcab@123 TACACS sử dụng key"vtvcab@123"
server-private 172.20.111.15 key vtvcab@123 Bản tin giao tiếp với server qua interface
ip tacacs source-interface Vlan2502 vlan 2502
!
Nhập thông tin xác thực sai quá 7 lần
aaa authentication attempts login 7 user bị locked
Xác thực thông tin login default qua
group server TACACS "ACS" đã tạo ở
trên
Nếu xác thực qua server fail, thiết bị sẽ
dùng tiếp acc local để xác thực
aaa authentication login default group ACS local
=> Bắt buộc phải tạo xác thực theo
thông tin local ở cuối cùng để phòng
trường hợp thiết bị không giao tiếp được
với ACS server, vẫn có thể dùng acc
local login được vào
Xác thực thông tin login qua user local,
không dùng giao thức TACACS+ =>
aaa authentication login BYPASS local gán policy này cho line console
aaa authorization config-commands
aaa authorization exec default group ACS local if-authenticated Phân quyền cho các User sau khi được
aaa authorization commands 0 default group ACS local if- xác thực có thể được thực hiện những
authenticated lệnh nào, ở privilege nào, có được phân
aaa authorization commands 10 default group ACS local if- quyền vào mode EXEC (#) không dựa
authenticated trên database của ACS server
aaa authorization commands 15 default group ACS local if-
authenticated
aaa accounting exec default start-stop group ACS
aaa accounting commands 0 default start-stop group ACS
aaa accounting commands 1 default start-stop group ACS user khi login, các lệnh thực hiện
!
line con 0
login authentication BYPASS
!
!
VIET.NB 16
*** *** ***
login-authentication-type tacacs+ Cho phép xác thực và phân quyền qua

login-authorization-type tacacs+ giao thức TACACS+
!
enable secret VTVcab@123 Đặt pass enable là "VTVcab@123"
!
tacacs enable Bật giao thức tacacs trên thiết bị
tacacs-server timeout 5
tacacs-server packet 1024
!
tacacs-server host 172.20.111.41 key vtvcab@123 Khai báo xác thực với các server
tacacs-server host 172.20.111.15 key vtvcab@123 TACACS sử dụng key"vtvcab@123"
!
aaa group-server tacacs+ ACS
server 172.20.111.41 Cấu hình tạo group server TACACS+
server 172.20.111.15
ZTE- !
C320 Xác thực thông tin login default qua
group server TACACS "ACS" đã tạo ở
trên
Nếu xác thực qua server fail, thiết bị sẽ
dùng tiếp acc local để xác thực
aaa authentication login default group ACS local
=> Bắt buộc phải tạo xác thực theo
thông tin local ở cuối cùng để phòng
trường hợp thiết bị không giao tiếp được
với ACS server, vẫn có thể dùng acc
local login được vào
aaa authorization exec default group ACS local if-authenticated Phân quyền cho các User sau khi được
aaa authorization commands 0 default group ACS xác thực có thể được thực hiện những
lệnh nào, ở privilege nào, có được phân
aaa authorization commands 10 default group ACS quyền vào mode EXEC (#) không dựa
aaa authorization commands 15 default group ACS trên database của ACS server
aaa accounting commands 0 default stop-only group ACS
aaa accounting commands 10 default stop-only group ACS user khi login, các lệnh thực hiện
aaa accounting commands 15 default stop-only group ACS
!
3. Kiểm tra khai báo giao thức TACACS+ trên thiết bị

- Trên thiết bị Cisco
VIET.NB 17
*** *** ***
- Trên thiết bị OLT
VIET.NB 18
*** *** ***
4. Giám sát log, lịch sử thao tác trên ACS
VIET.NB 19
*** *** ***
VIET.NB 20
*** *** ***
VIET.NB 21
*** *** ***
III. HƯỚNG DẪN LOGIN THIẾT BỊ BẰNG ACCOUNT ACS
1. Đổi pass mặc định trước khi login (bắt buộc)

 Người dùng cần thực hiện việc đổi pass tài khoản định danh mặc định trước khi thực hiện
login vào các thiết bị như Switch, OLT.
 Định dạng user/pass mặc định trên hệ thống như sau:
User/pass mặc định = ten.hodem (viết tắt)/vtvcab@123

VD: cuong.dc/vtvcab@123; thai.nv/vtvcab@123
 Quy tắc đổi pass mặc định: Pass mới có độ dài <= 8 kí tự
 Cách thay đổi pass mặc định trên HĐH Windows:
B1: Kiểm tra kết nối tới máy chủ Active Directory: Mở Command Prompt (kích nút start, nhập cmd
nhấn enter), gõ ping 172.20.111.37 hoặc 172.20.111.16. Đảm bảo máy tính đang được kết nối mạng và
kết quả trả về như hình dưới là đã kết nối thông được tới máy chủ
VIET.NB 22
*** *** ***
B2: Đổi DNS trên các máy client về DNS 172.20.111.37 và 172.20.111.16
B3: Trên các máy client chạy Windows ở tài khoản Admin , ấn phím tắt Ctr+Alt+Del và chọn
Change a password để thay đổi pass mặc định (có 1 số trường hợp phải disable firewall tren máy client
trước mới đổi được pass)
VIET.NB 23
*** *** ***
Trong đó:
1 => tài khoản cần đổi mật khẩu, nhập đúng theo định dạng đầy đủ
VD: ttvt-vtvcab.vn\man.nk
2 => là mật khẩu mặc định (cần đổi)
3 => là mật khẩu mới, ấn mũi tên để hoàn thành việc thay đổi mật khẩu
VIET.NB 24
*** *** ***
2. Login vào các thiết bị theo tài khoản ACS

Dùng thông tin user/pas login vào thiết bị qua các phần mềm Xshell, SecuCRT, Puty như
bình thường
3. Thông tin hỗ trợ
Với các trường hợp gặp lỗi không login hoặc không thực hiện được lệnh trên thiết bị bằng
account ACS mới, thực hiện mô tả lỗi chi tiết và lưu log chụp hình gửi về tổ triển khai VT
theo mail dưới.
trienkhaivt@vtvcab.vn
VIET.NB 25

Quy Trình Tich Hop Thiet Bi Vao Acs

Uploaded by

Document Information

Copyright

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Quy Trình Tich Hop Thiet Bi Vao Acs

Uploaded by

Copyright:

Trung Tâm Viễn Thông & KSCLHT

* * ***

QUY TRÌNH TÍCH HỢP VÀ XÁC THỰC CÁC THIẾT

Thông tin về tài liệu

Bảo mật thông tin

1. Giới thiệu tổng quan về dịch vụ AAA

- Có hai giao thức bảo mật dùng trong dịch vụ AAA đó là

2. Giới thiệu tổng quan về phần mềm ACS-CISCO

Giao diện ACS-CISCO

II. Tích hợp thiết bị vào ACS

1. Add quản lý các thiết bị trên ACS

User/pass mặc định = ten.hodem (viết tắt)/vtvcab@123

B3: Phân chia loại thiết bị (đã khai báo sẵn)

B7: Tạo các policy truy cập

Thiết bị Lệnh Ý nghĩa

enable secret 5 VTVcab@123 Đặt pass enable là "VTVcab@123"

login-authentication-type tacacs+ Cho phép xác thực và phân quyền qua

3. Kiểm tra khai báo giao thức TACACS+ trên thiết bị

- Trên thiết bị OLT

4. Giám sát log, lịch sử thao tác trên ACS

III. HƯỚNG DẪN LOGIN THIẾT BỊ BẰNG ACCOUNT ACS

1. Đổi pass mặc định trước khi login (bắt buộc)

User/pass mặc định = ten.hodem (viết tắt)/vtvcab@123

2. Login vào các thiết bị theo tài khoản ACS

You might also like