Mohammadreza Soleimani 391 روز پیش verl
بازدید 1070 بدون دیدگاه

راه اندازی AAA در سیسکو

راه اندازی AAA در سیسکو، گاهی اوقات در شبکه هایی با مقیاس بزرگ که شامل تعداد زیادی از روتر ها و سوئیچ ها می شود یک کاربر برای انجام تنظیمات بر روی تجهیزات مورد نظر نیاز به دسترسی دارد. در چنین شرایطی ایجاد یک حساب کاربری روی هر یک از تجهیزات مد نظر کاری زمان بر خواهد بود و همچنین گاهی ممکن است برخی تغییرات دسترسی و تغییر رمز و موارد دیگر مورد نیاز باشد. برای هر یک از مواردی که پیش رو خواهد بود باید این تغییرات تک به تک روی تمامی تجهیزات اعمال گردد. این فرایند یک راهکار مقیاس پذیر برای چنین سناریو هایی نخواهد بود. در چنین شرایطی استفاده از یک سرور مرکزی جهت مدیریت دسترسی ها و حساب های کاربری و احراز هویت کاربران امری اجتناب ناپذیر خواهد بود.

 

راه اندازی AAA در سیسکو

فهرست مطالب

  1. AAA چیست
  2. پیش نیاز ها
  3. پیاده سازی

 

 

AAA چیست

در ابتدا یک مفهوم ساده از AAA خواهیم داشت. AAA مخفف Authentication (احراز هویت) ، Authorization (اعتبارسنجی) ، Accounting (حسابرسی) می باشد.

  • Authentication: در واقع شناسایی کاربر به واسطه Authentication انجام خواهد گرفت و کاربر احراز هویت خواهد شد. یکی از مکانیزم هایی که برای شناسایی می توان مورد استفاده قرار داد، رمز عبور (Password) می باشد.
  • Authorization: در مرحله دوم پس از احراز هویت یک کاربر، باید محدوده های دسترسی کاربر در نظر گرفته شود. اینکه یک کاربر چه کارهایی می تواند انجام دهد. از نقطه نظر AAA این فرایند توسط Authorization انجام خواهد گرفت.
  • Accounting: از این مرحله به عنوان Auditing نیز یاد می گردد. در این فرایند مشخص می گردد که یک کاربر چه کار هایی انجام داده است.

 

پیش نیاز ها

جهت راه اندازی AAA می بایست به پیش نیاز های مورد نظر دقت داشته باشیم :

  • AAA Server: این سرور موظف به نگهداری نام های کاربری و رمز های عبور ، سطوح دسترسی کاربر و همچنین نگهداری رکورد های حساب کاربری (کار های انجام شده توسط کاربر) می باشد. این سرور را می توان AAA Server نام گذاری نمود.
  • AAA Client: برای اینکه بتوان از مزیت های AAA سرور بهره برد می بایست در ابتدا تجهیزات (سوئیچ ها و روتر ها و غیره) را طوری پیکربندی کنیم تا در هنگام در خواست کاربران جهت اتصال به آن ها جهت انجام تنظیمات، ابتدا اطلاعات کاربر را با AAA سرور چک نماید. این بدین معناست که این تجهیزات به عنوان AAA Client در شبکه محسوب خواهند گردید.
  • Protocols: هرکدام از تجهیزات که قصد دارند با AAA server ارتباط برقرار نمایند از پروتکل های مشخصی استفاده می نمایند. برای ارتباط AAA client و AAA server دو پروتکل اصلی وجود دارد :
  1. RADIUS: یک پروتکل استاندارد می باشد و تمامی تجهیزات از این پروتکل پشتیبانی می نمایند.
  2. TACACS+: یک پروتکل انحصاری سیسکو محسوب می شود و در محیط هایی که تمامی تجهیزات مورد استفاده سیسکو هستند، قابل بکار گیری می باشد.

 

پیش از پیاده سازی AAA در شبکه باید ابتدا یک طرح و نقشه مسیر داشته باشیم. در این طرح باید مشخص شود که قصد داریم از کدام قابلیت AAA استفاده نماییم ( احراز هویت ، اعتبارسنجی ، حسابرسی ) . در مرحله بعدی مشخص شود که از این قابلیت در چه قسمتی استفاده شود برای مثال احراز هویت برای کاربرانی که قصد استفاده از SSH بر روی روتر دارند اعمال شود. در نهایت باید مشخص شود که از کدام پروتکل برای بهره گیری از AAA استفاده می شود ( TACACS+ یا RADIUS) .

 

 

پیاده سازی AAA در سیسکو

از AAA در سناریو های بسیاری می توان بهره برد اما یکی از کاربردی ترین موارد این پیاده سازی را در اتصال کاربر به تجهیزات از طریق SSH در نظر گرفت. در این مقاله نیز ما قصد داریم از این قابلیت جهت کنترل و احراز هویت کاربران برای اتصال از طریق SSH به روتر از طریق پروتکل TACACS+ استفاده نماییم. در این چنین سناریویی تنظیمات سرور می بایست از پیش انجام شده باشد. در AAA سرور ابتدا باید روتر یا تجهیز مد نظر را به عنوان Client معرفی نماییم و نام کاربری و رمز عبوری نیز برای ارتباط بین AAA سرور و تجهیز در نظر بگیریم. علاوه بر این نام کاربری و رمز عبور کاربر نیز در AAA می بایست تعریف شده باشد. همچنین فرض بر این است که پیاده سازی SSH نیز از قبل انجام شده است. چنانچه به اطلاعات بیشتر در خصوص راه اندازی SSH نیاز دارید، مقاله (SSH چیست – چگونگی پیاده سازی) کلیه فرایند راه اندازی را در اختیار شما قرار خواهد داد.

 

فرایند راه اندازی AAA جهت SSH در روتر سیسکو با دستورات زیر انجام خواهد گرفت. اولین دستور یک دستور عمومی محسوب می گردد که بدین معناست که قصد داریم از AAA استفاده نماییم.

MSP-Router(config)#aaa new-model

 

در مرحله بعدی آدرس IP سرور AAA و همچنین رمز عبوری که جهت ارتباط بین تجهیز و سرور در داخل سرور AAA تعریف نمودیم را وارد می نماییم .


MSP-Router(config)#tacacs-server host 192.168.1.3 key PASSWORD

 

در مرحله بعدی باید در روتر مورد نظر متد و روش مورد نظر برای احراز هویت را مشخص می نماییم که در اینجا قصد داریم از TACACS+ استفاده کنیم. در این دستور aaa authentication login به این معنی است که برای احراز هویت هنگام Login نمودن از این قابلیت استفاده می نماییم. پس از کلمه Login از یک اسم برای Method list که در حال ایجاد آن هستیم استفاده نموده تا بتوانیم این Method List را به واسطه نام در جایی که نیاز داریم فراخوانی کنیم. در این سناریو اسم Test را به این منظور انتخاب می کنیم. در نهایت در انتهای دستور پروتکل مورد نظر را انتخاب می کنیم (TACACS+) .


MSP-Router(config)#aaa authentication login Test group tacacs

 

در انتها قصد ما در این سناریو بر این است که کاربر هنگام دسترسی به SSH برای اتصال به روتر، از AAA برای احراز هویت استفاده نماید. به همین منظور در line VTY می بایست دستور زیر را وارد نماییم. در این دستور همانگونه که در مرحله قبلی به آن اشاره شد Method List مورد نظر را فراخوانی خواهیم نمود تا این Method list به VTY و  در نهایت به ارتباطات SSH اعمال گردد.


MSP-Router(config)# line vty 0 4
MSP-Router(config-line)#login authentication Test

 

پس از اجرای دستور های فوق از این پس کاربری که قصد اتصال به روتر از طریق SSH را دارد، از طریق AAA احراز هویت شده و در صورت موفقیت آمیز بودن فرایند احراز هویت دسترسی و ارتباط با روتر مورد نظر برقرار خواهد گردید.

 

نظرات کاربران

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Select the fields to be shown. Others will be hidden. Drag and drop to rearrange the order.
  • Image
  • SKU
  • Rating
  • Price
  • Stock
  • Availability
  • Add to cart
  • Description
  • Content
  • Weight
  • Dimensions
  • Additional information
Click outside to hide the comparison bar
Compare