Segurança e VPN : Terminal Access Controller Access Control System (TACACS+)

IO pelo Troubleshooting VRF TACACS+

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

O TACACS+ é pesadamente - usado como o protocolo de autenticação para autenticar usuários aos dispositivos de rede. Cada vez mais os administradores estão segregando seu tráfego de gerenciamento usando o VPN Routing and Forwarding (VRF). À revelia, o AAA em IO usa a tabela de roteamento padrão para enviar pacotes. Este documento descreve como configurar e pesquisar defeitos o TACACS+ quando o server está em um VRF.

Nota: Contribuído por Jesse Dubois, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • TACACS+

  • VRF

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Caracterize a informação

Essencialmente um VRF é uma tabela de roteamento virtual no dispositivo. Quando os IO fazem uma decisão de roteamento se a característica ou a relação estão usando um VRF, as decisões de roteamento são feitas contra essa tabela de roteamento VRF. Se não, a característica usa a tabela de roteamento global. Com isto em mente, é aqui como você configura o TACACS+ para usar um VRF (configuração relevante em corajoso):

version 15.2
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname vrfAAA
!
boot-start-marker
boot-end-marker
!
aaa new-model
!
aaa group server tacacs+ management
 server-private 192.0.2.4 key cisco
 server-private 192.0.2.5 key cisco
 ip vrf forwarding blue
 ip tacacs source-interface GigabitEthernet0/0
!
aaa authentication login default group management local
aaa authorization exec default group management if-authenticated 
aaa accounting exec default start-stop group management
!
aaa session-id common
!
no ipv6 cef
!
ip vrf blue
!
no ip domain lookup
ip cef
!
interface GigabitEthernet0/0
 ip vrf forwarding blue
 ip address 203.0.113.2 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route vrf blue 0.0.0.0 0.0.0.0 203.0.113.1
!
line con 0
line aux 0
line vty 0 4
 transport input all

Como você pode ver, não há nenhum server globalmente definido TACACS+. Se você está migrando os server a um VRF, você pode com segurança remover os server globalmente configurados TACACS+.

Metodologia de Troubleshooting

  1. Certifique-se de você ter o vrf IP apropriado que envia a definição sob seu server do grupo aaa assim como a interface de origem para o tráfego TACACS+.

  2. Verifique sua tabela de roteamento do vrf e certifique-se que há uma rota a seu server TACACS+. O exemplo acima é usado para indicar a tabela de roteamento do vrf:

    vrfAAA#show ip route vrf blue
    
    Routing Table: blue
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
           + - replicated route, % - next hop override
    
    Gateway of last resort is 203.0.113.1 to network 0.0.0.0
    
    S*    0.0.0.0/0 [1/0] via 203.0.113.1
          203.0.0.0/24 is variably subnetted, 2 subnets, 2 masks
    C        203.0.113.0/24 is directly connected, GigabitEthernet0/0
    L        203.0.113.2/32 is directly connected, GigabitEthernet0/0
  3. Pode você sibilar seu server TACACS+? Recorde que este precisa de ser específico VRF também:

    vrfAAA#ping vrf blue 192.0.2.4
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 102.0.2.4, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
  4. Você pode usar o comando aaa do teste verificar a Conectividade (você deve usar a opção do novo-código na extremidade, no legado não faz trabalho):

    vrfAAA#test aaa group management cisco Cisco123 new-code 
    Sending password
    User successfully authenticated
    
    USER ATTRIBUTES
    
    username             "cisco"
    reply-message        "password: "

Se as rotas são no lugar e você não vê nenhuma batida em seu server TACACS+, certifique-se de que os ACL estão permitindo que a porta TCP 49 alcançasse o server do roteador ou do interruptor. Se você obtém uma falha de autenticação pesquise defeitos o TACACS+ como o normal, a característica VRF é apenas para o roteamento do pacote.

Análise de dados

Se tudo acima dos olhares corrige, o aaa e os tacacs debugam podem ser permitidos de pesquisar defeitos a edição. O começo com estes debuga:

  • debugar tacacs

  • debug aaa authentication

Está aqui um exemplo debugar onde algo não é configurado corretamente, como mas não limitado a:

  • Interface de origem de falta TACACS+

  • Comandos ip vrf forwarding faltantes sob a interface de origem ou sob o server do grupo aaa

  • Nenhuma rota ao server TACACS+ na tabela de roteamento VRF

Jul 30 20:23:16.399: TPLUS: Queuing AAA Authentication request 0 for processing
Jul 30 20:23:16.399: TPLUS: processing authentication start request id 0
Jul 30 20:23:16.399: TPLUS: Authentication start packet created for 0(cisco)
Jul 30 20:23:16.399: TPLUS: Using server 192.0.2.4
Jul 30 20:23:16.399: TPLUS(00000000)/0: Connect Error No route to host
Jul 30 20:23:16.399: TPLUS: Choosing next server 192.0.2.5
Jul 30 20:23:16.399: TPLUS(00000000)/0: Connect Error No route to host

Está aqui uma conexão bem sucedida:

Jul 30 20:54:29.091: AAA/AUTHEN/LOGIN (00000000): Pick method list 'default' 
Jul 30 20:54:29.091: TPLUS: Queuing AAA Authentication request 0 for processing
Jul 30 20:54:29.091: TPLUS: processing authentication start request id 0
Jul 30 20:54:29.091: TPLUS: Authentication start packet created for 0(cisco)
Jul 30 20:54:29.091: TPLUS: Using server 192.0.2.4
Jul 30 20:54:29.091: TPLUS(00000000)/0/NB_WAIT/2B2DC1AC: Started 5 sec timeout
Jul 30 20:54:29.095: TPLUS(00000000)/0/NB_WAIT: socket event 2
Jul 30 20:54:29.095: TPLUS(00000000)/0/NB_WAIT: wrote entire 25 bytes request
Jul 30 20:54:29.095: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.095: TPLUS(00000000)/0/READ: Would block while reading
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 16 bytes data)
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: read entire 28 bytes response
Jul 30 20:54:29.099: TPLUS(00000000)/0/2B2DC1AC: Processing the reply packet
Jul 30 20:54:29.099: TPLUS: Received authen response status GET_PASSWORD (8)
Jul 30 20:54:29.099: TPLUS: Queuing AAA Authentication request 0 for processing
Jul 30 20:54:29.099: TPLUS: processing authentication continue request id 0
Jul 30 20:54:29.099: TPLUS: Authentication continue packet generated for 0
Jul 30 20:54:29.099: TPLUS(00000000)/0/WRITE/2B2DC1AC: Started 5 sec timeout
Jul 30 20:54:29.099: TPLUS(00000000)/0/WRITE: wrote entire 25 bytes request
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 6 bytes data)
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: read entire 18 bytes response
Jul 30 20:54:29.103: TPLUS(00000000)/0/2B2DC1AC: Processing the reply packet
Jul 30 20:54:29.103: TPLUS: Received authen response status PASS (2)

Problemas comuns

O problema mais comum é a configuração. Muitas vezes o admin põe no server do grupo aaa, mas não atualiza as linhas aaa para apontar ao grupo de servidor. Em vez de:

aaa authentication login default group management local
aaa authorization exec default group management if-authenticated 
aaa accounting exec default start-stop group management

O admin terá posto em:

aaa authentication login default grout tacacs+ local
aaa authorization exec default group tacacs+ if-authenticated 
aaa accounting exec default start-stop group tacacs+

Atualize simplesmente a configuração com o grupo de servidor correto.

Um segundo problema comum é um usuário recebe este erro ao tentar adicionar o vrf IP que envia sob o grupo de servidor:

% Unknown command or computer name, or unable to find computer address

Isto significa que o comando não esteve encontrado. Se isto ocorre certifique-se dos apoios por-VRF TACACS+ da versão de IOS. Estão aqui algumas versões mínimas comuns:

  • 12.3(7)T

  • 12.2(33)SRA1

  • 12.2(33)SXI

  • 12.2(33)SXH4

  • 12.2(54)SG

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 113667