如何在 TACACS+ 服务器的拨号接口上应用访问列表

Posted 2023-04-26

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了如何在 TACACS+ 服务器的拨号接口上应用访问列表相关的知识，希望对你有一定的参考价值。

参考技术A 目前2811设备所在网络A通过双连接至网络B，Tacacs server连接在网络B中，
链路1：2811-----ppp---------------------7200-------------网络B-----Tacacs server
链路2：2811-----ethetnet----3550-----7500--------------网络B-----Tacacs server
正常情况下2811，3550，7200，7500均可以通过AAA认证，当2811------7200之间的ppp链路断了以后，3550，7200，7500仍然可以通过认证，但是2811不能取得认证，通过debug tacacs events和telnet <tacacs+> 49 发现2811不能到达Tacacs server 的49端口，检查在2811----3550之间没有acl限制，且在2811上使用扩展ping命令至Tacacs server可以ping通，
问题：为什么会出现情况？可能原因会在什么地方?望高人指点迷津。谢谢

debug tacacs events显示如下：（注：2台ACS，10.1.253.1为主，10.1.253.2为备）
Jul 9 04:45:00.326: TAC+: Opening TCP/IP to 10.1.253.1/49 timeout=5
Jul 9 04:45:05.326: TAC+: TCP/IP open to 10.1.253.1/49 failed -- Connection timed out; remote host not responding
Jul 9 04:45:05.326: TAC+: Opening TCP/IP to 10.1.253.2/49 timeout=5
router_2811#
Jul 9 04:45:10.326: TAC+: TCP/IP open to 10.1.253.2/49 failed -- Connection timed out; remote host not responding
通过telnet检测tacacs的49端口发现：
router_2811#telnet 10.1.253.1 tacacs
...
% Connection timed out; remote host not responding
正常可以认证的情况下通过telnet检查结果如下：
router_2811#telnet 10.1.253.1 tacacs
Trying 10.1.253.1, 49 ... Open
qu
qu
[Connection to 10.1.253.1 closed by foreign host]
router_2811#

TACACS+协议工作原理及双因素/双因子认证应用

TACACS+协议工作原理及双因素/双因子认证应用_双因子认证

之前写过一篇《Radius协议认证原理及双因素/双因子认证应用》，TACACS+协议和Radius协议都是AAA协议的一种，核心作用都是认证（Authentication）、授权（Authorization）和计费（Accounting），和Radius协议的区别是：

TACACS+协议工作原理及双因素/双因子认证应用_身份认证_02

TACACS+和Radius一样也是C/S架构

TACACS+协议工作原理及双因素/双因子认证应用_双因素认证_03

图中NAS（网络接入服务器）作为TACACS+客户端，向远程接入用户提供接入及与TACACS+服务器交互的服务。TACACS+服务器上则存储用户的身份信息、授权信息以及访问记录，对用户进行认证、授权和计费服务。

TACACS+工作原理

TACACS+协议工作原理及双因素/双因子认证应用_TACACS+协议_04

1、Telnet用户请求登录设备。

2、TACACS+客户端收到请求之后，向TACACS+服务器发送认证开始报文。

3、TACACS+服务器发送认证回应报文，请求用户名。

4、TACACS+客户端收到回应报文后，向用户询问用户名。

5、用户输入用户名。

6、TACACS+客户端收到用户名后，向TACACS+服务器发送认证持续报文，其中包括了用户名。

7、TACACS+服务器发送认证回应报文，请求登录密码。

8、TACACS+客户端收到回应报文，向用户询问登录密码。

9、用户输入密码。

10、TACACS+客户端收到登录密码后，向TACACS+服务器发送认证持续报文，其中包括了登录密码。

11、TACACS+服务器发送认证回应报文，指示用户通过认证。

12、TACACS+客户端向TACACS+服务器发送授权请求报文。

13、TACACS+服务器发送授权回应报文，指示用户通过授权。

14、TACACS+客户端收到授权回应成功报文，向用户输出设备的配置界面。

15、TACACS+客户端向TACACS+服务器发送计费开始报文。

16、TACACS+服务器发送计费回应报文，指示计费开始报文已经收到。

17、用户请求断开连接。

18、TACACS+客户端向TACACS+服务器发送计费结束报文。

19、TACACS+服务器发送计费结束报文，指示计费结束报文已经收到。

TACACS+协议本身的优势非常明显，那么在双因素/双因子认证领域中如何应用？

TACACS+在双因素/双因子认证领域中的应用

TACACS+主要体现在网络设备中，Cisco设备使用的TACACS+协议，华为和华三设备使用的HWTACACS协议，功能一致，以HWTACACS为例：

配置hwtacacs服务器模板

（在服务器模板下，指定与交换机对接的服务器的IP地址、端口号（默认为49）和共享密钥，交换机上的配置信息需要与服务器上的信息保持一致）

#
hwtacacs-server template ckey //建立“ckey”hwtacacs服务器模板
hwtacacs-server authentication xxx.xxx.xxx.xxx //认证服务器地址
hwtacacs-server authorization xxx.xxx.xxx.xxx //授权服务器地址
hwtacacs-server accounting xxx.xxx.xxx.xxx //审计服务器地址
hwtacacs-server shared-key cipher ****** //配置共享秘钥******
undo hwtacacs-server user-name domain-included //取消域名后缀，登录时不需要后缀域名
quit
#

配置AAA方案

#
aaa
authentication-scheme ckey1 //创建认证方案ckey1
authentication-mode hwtacacs local  //认证模式为hwtacacs认证，备份认证模式为本地认证
quit
authorization-scheme ckey2 //创建授权方案ckey2
authorization-mode hwtacacs local    //授权模式为hwtacacs授权，备份授权模式为本地授权
authorization-cmd 15 hwtacacs local //用户级别授权
quit
accounting-scheme ckey3 //创建计费方案ckey3
accounting-mode hwtacacs //计费模式为hwtacacs计费（交换机没有本地计费）
accounting start-fail online         //计费功能启动失败，允许用户上线
accounting interim-fail online //计费功能临时故障，允许用户上线
quit
#

注：需要在设备上配置本地用户，以确保在hwtacacs服务器故障的情况下，用户可以本地认证上线

配置本地用户

#
aaa
local-user user1 password irreversible-cipher ****** //创建用户user1和密码
local-user user1 privilege level 15 //为user1用户授予15级权限
local-user user1 service-type telnet //授予user1 Telnet权限
quit
#

配置域

（配置用户所属的域并在域下绑定AAA方案和服务器模板，默认情况下普通用户在default域内，管理员用户在default_admin内）

#
aaa
domain ckeydas //创建ckeydas域
authentication-scheme ckey1 //绑定ckey1认证方案
authorization-scheme ckey2 //绑定ckey2授权方案
accounting-scheme ckey3 //绑定ckey3计费方南
hwtacacs-server ckey //绑定ckey hwtacacs服务器模板
#