Sécurité et VPN : Terminal Access Controller Access Control System (TACACS+)

IOS par dépannage du VRF TACACS+

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

TACACS+ est fortement utilisé comme protocole d'authentification pour authentifier des utilisateurs aux périphériques de réseau. De plus en plus les administrateurs isolent leur trafic d'administration utilisant le routage VPN et l'expédition (vrf). Par défaut, l'AAA sur l'IOS emploie la table de routage par défaut pour envoyer des paquets. Ce document décrit comment configurer et dépanner TACACS+ quand le serveur est dans un VRF.

Remarque: Contribué par Jesse Dubois, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • TACACS+

  • Vrf

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Les informations de caractéristique

Essentiellement un VRF est une table de routage virtuelle sur le périphérique. Quand l'IOS prend une décision de routage si la caractéristique ou l'interface utilise un VRF, conduisant des décisions sont faits contre cette table de routage de VRF. Autrement, la caractéristique utilise la table de routage globale. À cet effet, voici comment vous configurez TACACS+ pour utiliser un VRF (configuration appropriée en gras) :

version 15.2
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname vrfAAA
!
boot-start-marker
boot-end-marker
!
aaa new-model
!
aaa group server tacacs+ management
 server-private 192.0.2.4 key cisco
 server-private 192.0.2.5 key cisco
 ip vrf forwarding blue
 ip tacacs source-interface GigabitEthernet0/0
!
aaa authentication login default group management local
aaa authorization exec default group management if-authenticated 
aaa accounting exec default start-stop group management
!
aaa session-id common
!
no ipv6 cef
!
ip vrf blue
!
no ip domain lookup
ip cef
!
interface GigabitEthernet0/0
 ip vrf forwarding blue
 ip address 203.0.113.2 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route vrf blue 0.0.0.0 0.0.0.0 203.0.113.1
!
line con 0
line aux 0
line vty 0 4
 transport input all

Comme vous pouvez voir, il n'y a aucun serveur globalement défini TACACS+. Si vous migrez les serveurs vers un VRF, vous pouvez sans risque retirer les serveurs globalement configurés TACACS+.

Dépannage de la méthodologie

  1. Veillez-vous pour avoir la définition appropriée d'ip vrf forwarding sous votre aaa group server aussi bien que l'interface de source pour le trafic TACACS+.

  2. Vérifiez votre table de routage de vrf et assurez-vous qu'il y a une artère à votre serveur TACACS+. L'exemple ci-dessus est utilisé pour afficher la table de routage de vrf :

    vrfAAA#show ip route vrf blue
    
    Routing Table: blue
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
           + - replicated route, % - next hop override
    
    Gateway of last resort is 203.0.113.1 to network 0.0.0.0
    
    S*    0.0.0.0/0 [1/0] via 203.0.113.1
          203.0.0.0/24 is variably subnetted, 2 subnets, 2 masks
    C        203.0.113.0/24 is directly connected, GigabitEthernet0/0
    L        203.0.113.2/32 is directly connected, GigabitEthernet0/0
  3. Pouvez-vous cingler votre serveur TACACS+ ? Souvenez-vous ceci doit être particularité de VRF aussi bien :

    vrfAAA#ping vrf blue 192.0.2.4
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 102.0.2.4, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
  4. Vous pouvez utiliser la commande d'AAA de test de vérifier la Connectivité (vous devez utiliser l'option de nouveau-code à l'extrémité, au legs ne fait pas travail) :

    vrfAAA#test aaa group management cisco Cisco123 new-code 
    Sending password
    User successfully authenticated
    
    USER ATTRIBUTES
    
    username             "cisco"
    reply-message        "password: "

Si les artères sont en place et vous ne voyez aucun hit sur votre serveur TACACS+, assurez-vous que l'ACLs permettent au port TCP 49 pour atteindre le serveur du routeur ou du commutateur. Si vous obtenez un échec d'authentification dépannez TACACS+ en tant que normale, la caractéristique de VRF est juste pour le routage du paquet.

Analyse de données

Si tout au-dessus des aspects corrigent, l'AAA et les tacacs met au point peuvent être activés pour dépanner la question. Le début avec ces derniers met au point :

  • debug tacacs

  • debug aaa authentication

Voici un exemple d'un débogage où quelque chose n'est pas configurée correctement, comme mais pas limité à :

  • Manquer l'interface de source TACACS+

  • L'ip vrf forwarding manquant commande sous l'interface de source ou sous l'aaa group server

  • Aucune artère au serveur TACACS+ dans la table de routage de VRF

Jul 30 20:23:16.399: TPLUS: Queuing AAA Authentication request 0 for processing
Jul 30 20:23:16.399: TPLUS: processing authentication start request id 0
Jul 30 20:23:16.399: TPLUS: Authentication start packet created for 0(cisco)
Jul 30 20:23:16.399: TPLUS: Using server 192.0.2.4
Jul 30 20:23:16.399: TPLUS(00000000)/0: Connect Error No route to host
Jul 30 20:23:16.399: TPLUS: Choosing next server 192.0.2.5
Jul 30 20:23:16.399: TPLUS(00000000)/0: Connect Error No route to host

Voici une connexion réussie :

Jul 30 20:54:29.091: AAA/AUTHEN/LOGIN (00000000): Pick method list 'default' 
Jul 30 20:54:29.091: TPLUS: Queuing AAA Authentication request 0 for processing
Jul 30 20:54:29.091: TPLUS: processing authentication start request id 0
Jul 30 20:54:29.091: TPLUS: Authentication start packet created for 0(cisco)
Jul 30 20:54:29.091: TPLUS: Using server 192.0.2.4
Jul 30 20:54:29.091: TPLUS(00000000)/0/NB_WAIT/2B2DC1AC: Started 5 sec timeout
Jul 30 20:54:29.095: TPLUS(00000000)/0/NB_WAIT: socket event 2
Jul 30 20:54:29.095: TPLUS(00000000)/0/NB_WAIT: wrote entire 25 bytes request
Jul 30 20:54:29.095: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.095: TPLUS(00000000)/0/READ: Would block while reading
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 16 bytes data)
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: read entire 28 bytes response
Jul 30 20:54:29.099: TPLUS(00000000)/0/2B2DC1AC: Processing the reply packet
Jul 30 20:54:29.099: TPLUS: Received authen response status GET_PASSWORD (8)
Jul 30 20:54:29.099: TPLUS: Queuing AAA Authentication request 0 for processing
Jul 30 20:54:29.099: TPLUS: processing authentication continue request id 0
Jul 30 20:54:29.099: TPLUS: Authentication continue packet generated for 0
Jul 30 20:54:29.099: TPLUS(00000000)/0/WRITE/2B2DC1AC: Started 5 sec timeout
Jul 30 20:54:29.099: TPLUS(00000000)/0/WRITE: wrote entire 25 bytes request
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 6 bytes data)
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: read entire 18 bytes response
Jul 30 20:54:29.103: TPLUS(00000000)/0/2B2DC1AC: Processing the reply packet
Jul 30 20:54:29.103: TPLUS: Received authen response status PASS (2)

Problèmes courants

La plupart de problème courant est la configuration. Beaucoup de fois l'admin met dans l'aaa group server, mais ne met pas à jour les lignes d'AAA pour indiquer le groupe de serveurs. Au lieu de :

aaa authentication login default group management local
aaa authorization exec default group management if-authenticated 
aaa accounting exec default start-stop group management

L'admin aura mis dans :

aaa authentication login default grout tacacs+ local
aaa authorization exec default group tacacs+ if-authenticated 
aaa accounting exec default start-stop group tacacs+

Mettez à jour simplement la configuration avec le groupe de serveurs correct.

Un deuxième problème courant est un utilisateur reçoit cette erreur en essayant d'ajouter l'ip vrf forwarding sous le groupe de serveurs :

% Unknown command or computer name, or unable to find computer address

Ceci signifie que la commande n'a pas été trouvée. Si ceci se produit assurez-vous la version du par-VRF TACACS+ de prises en charge d'IOS. Voici quelques versions minimum communes :

  • 12.3(7)T

  • 12.2(33)SRA1

  • 12.2(33)SXI

  • 12.2(33)SXH4

  • 12.2(54)SG


Informations connexes


Document ID: 113667