Отправить запрос
    Tacacs+. Пример настройки контроля доступа по ssh и учета действий пользователя на коммутаторах серии QSW-6200

    Отправить запрос

    Внимание! Если у вас вопрос в техническую поддержку, то вам нужно завести заявку в разделе технической поддержки

    Tacacs+. Пример настройки контроля доступа по ssh и учета действий пользователя на коммутаторах серии QSW-6200

    1. Функционал TACACS
    TACACS+ сеансовый протокол контроля доступа.TACACS используется для контроля доступа к сетевым устройствам, проверки прав пользования, учета совершаемых действий. TACACS во многом похож на RADIUS.
    Основные отличия  в протоколе  TACACS+:   
    • в качестве транспорта используется TCP;
    • процессы контроля доступа( аутентификации), проверки прав доступа (авторизации ), учета действий( аккаунтинга) разделены. Как пример  для проверки прав пользователя (авторизации) не требуется предварительно установленной сессии контроля доступа (аутентификации). 
    • шифруются все  передаваемые данные (а не только пароли как в RADIUS) для обеспечения безопасности.



    2.Пример конфигурации для контроля доступа  по ssh и учета действий пользователя  на коммутаторе  с использованием сервера аутентификации и учета  TACACS :

    Tacacs+ sketch_6200.png
    (config)#interface vlan 1
    (config-if-VLAN 1)#ip address 10.0.0.2 24
    (config-if-VLAN 1)#exit
    (config)#
    (config)#tacacs-server host 10.0.0.1
    (config)#tacacs-server key TEST
    (config)#
    (config)#show ip ssh
    SSH Disable - version 1.99
    please enable service ssh-server
    SSH Port: 22
    Authentication timeout: 120 secs
    Authentication retries: 3
    SSH SCP Server: disabled
    (config)#show crypto key mypubkey rsa
    (config)#
    (config)#enable service ssh-server
    (config)#ip ssh version 2
    (config)#crypto key generate rsa
    Choose the size of the rsa key modulus in the range of 512 to 2048
    and the size of the dsa key modulus in the range of 360 to 2048 for your
    Signature Keys. Choosing a key modulus greater than 512 may take
    a few minutes.

    How many bits in the modulus [512]:2048
    % Generating 2048 bit RSA1 keys ...[ok]
    % Generating 2048 bit RSA keys ...[ok]
    (config)#show ip ssh
    SSH Enable - version 2.0
    SSH Port: 22
    Authentication timeout: 120 secs
    Authentication retries: 3
    SSH SCP Server: disabled
    (config)#
    (config)#aaa new-model
    (config)#aaa accounting exec TAC_EXEC_ACC start-stop group tacacs+
    (config)#aaa accounting commands 1 TAC_COMM_ACC_1 start-stop group tacacs+
    (config)#aaa accounting commands 15 TAC_COMM_ACC_15 start-stop group tacacs+
    (config)#aaa authorization exec TAC_AUTHOR_EXEC group tacacs+ local
    (config)#aaa authorization commands 1 TAC_AUTHOR_COMM_1 group tacacs+
    (config)#aaa authorization commands 15 TAC_AUTHOR_COMM_15 group tacacs+
    (config)#aaa authentication login TACACS+_AUTHEN group tacacs+ local
    (config)#line vty 10 35
    (config-line)#transport input ssh
    (config-line)#accounting exec TAC_EXEC_ACCT
    (config-line)#accounting commands 1 TAC_COMM_ACC_1
    (config-line)#accounting commands 15 TAC_COMM_ACC_15
    (config-line)#authorization exec TAC_AUTHOR_EXEC
    (config-line)#authorization commands 1 TAC_AUTHOR_COMM_1
    (config-line)#authorization commands 15 TAC_AUTHOR_COMM_15
    (config-line)#login authentication TACACS+_AUTHEN
    (config-line)#exit
    (config)#


    Смотрите так же
    Для данной линейки коммутаторов, если у вас появилась необходимость организовать динамически назначаемый Voice Vlan, вам необходимо Разрешить получение LLDP информации. Создать Voice vlan перевести порт в режим работы Trunk Проверить что на порту разрешено LLDP Указать Voice Vlan на пор...
    Vlan-translation VLAN-translation - это функция, которая позволяет преобразовать тэг VLAN пакета в новый в соответствии с требованиями. Это позволяет обмениваться данными в разных VLAN. VLAN-translation может быть использован на обоих направлениях трафика. Ниж...
    Виртуальное тестирование кабеля(VCT) на коммутаторах QSW-2850/3470/4610 Virtual Cable Tester. Функция коммутатора, благодаря которой можно провести виртуальный тест медного кабеля.  Для ввода команды, переходим в привилегированный режим. (enable ) Далее вводим команду:  ...

    К списку