Metoda AAA – konfiguracja przełącznika

Damian Stelmach

Aby możliwa była realizacja logowania na urządzeniu poprzez metodę AAA wymagany jest w sieci serwer, który odpowiadał będzie za zdalne uwierzytelnianie użytkowników. Zakładając, ze taki serwer w sieci już pracuje, do tego aby poprawnie skonfigurować metodę AAA na urządzeniu potrzebować będziemy adres IP tego serwera, a także hasło (klucz) dostępu. W programie Packet Tracer dostępna jest symulacja serwera wraz z usługą AAA. Po podłączeniu serwera do przełącznika, powinniśmy dokonać jego konfiguracji, może ona wyglądać tak:

Tacacs server

W pierwszej tabeli widoczne są dane przełącznika sieciowego (jego nazwa, adres IP, rodzaj protokołu uwierzytelnia oraz hasło). Druga tabela to zbiór użytkowników, którzy będą mogli logować się do urządzenia. Adres IP tego serwera to 10.0.0.1/24.

Teraz czas na konfigurację przełącznika. W przypadku programu Packet Tracer konfiguracja metody AAA możliwa jest tylko na przełączniku z serii 3500, dlatego też na tym sprzęcie ją zrealizujemy. Zaczniemy od tego, że zmienimy nazwę naszego przełącznika (Switch zamienimy na s1 ) i utworzymy sobie lokalnego użytkownika, który będzie mógł zalogować się do urządzenia jeśli z jakiś powodów konfiguracja AAA będzie nieskuteczna, albo utracimy możliwość komunikacji z serwerem:

  • Switch> enable
  • Switch# conf t
  • Switch(config)# hostname s1
  • s1(config)# username user secret haslo

Teraz musimy ustawić adres IP dla przełącznika. Przypominam, że na przełączniku adres IP nadajemy dla całej sieci VLAN, a że domyślnie wszystkie porty przełącznika pracują w sieci VLAN o identyfikatorze 1, dla takiego interfejsu nadajemy adres IP:

  • s1(config)# interface vlan 1
  • s1(config-if)# ip address 10.0.0.2 255.255.255.0
  • s1(config-if)# no shutdown
  • s1(config-if)# exit

Na koniec uruchamiamy funkcjonalność AAA dla przełącznika wydając następujące polecenia:

  • s1(config)# aaa new-model
  • s1(config)# tacacs-server host 10.0.0.1 key trudnehaslo
  • s1(config)# aaa authentication login default group tacacs+ local

Pierwsze polecenie uruchamia nam uwierzytelniania za pomocą potrójnego A. W drugiej linii podajemy parametry serwera, a na koniec uruchamiamy możliwość uwierzytelniania serwerowego. Ostatni parametr local uruchamia możliwość logowania poprzez lokalnego użytkownika, w razie braku komunikacji z serwerem uwierzytelniania.

Podsumowując: aby uruchomić na urządzeniu sieciowym logowanie z użyciem serwera (zakładając, że mamy już skonfigurowany serwer AAA), należy wykonać polecenia:

  • Switch> enable
  • Switch# conf t
  • Switch(config)# hostname s1
  • s1(config)# username user secret haslo
  • s1(config)# interface vlan 1
  • s1(config-if)# ip address 10.0.0.2 255.255.255.0
  • s1(config-if)# no shutdown
  • s1(config-if)# exit
  • s1(config)# aaa new-model
  • s1(config)# tacacs-server host 10.0.0.1 key trudnehaslo
  • s1(config)# aaa authentication login default group tacacs+ local