Seguridad y VPN : Terminal Access Controller Access Control System (TACACS+)

IOS por el troubleshooting VRF TACACS+

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

El TACACS+ es muy usado como el protocolo de autenticación autenticar a los usuarios a los dispositivos de red. Los administradores están segregando cada vez más su tráfico de administración usando el VPN Routing and Forwarding (VRF). Por abandono, el AAA en el IOS utiliza la tabla de ruteo predeterminado para enviar los paquetes. Este documento describe cómo configurar y resolver problemas el TACACS+ cuando el servidor está en un VRF.

Nota: Contribuido por Jesse Dubois, ingeniero de Cisco TAC.

prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • TACACS+

  • VRF

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Información sobre la Función

Esencialmente un VRF es una tabla de ruteo virtual en el dispositivo. Cuando el IOS toma una decisión de ruteo si la característica o la interfaz está utilizando un VRF, las decisiones de ruteo se toman contra esa tabla de ruteo VRF. Si no, la característica utiliza la tabla de Global Routing. Con esto en la mente, aquí es cómo usted configura el TACACS+ para utilizar un VRF (configuración pertinente en intrépido):

version 15.2
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname vrfAAA
!
boot-start-marker
boot-end-marker
!
aaa new-model
!
aaa group server tacacs+ management
 server-private 192.0.2.4 key cisco
 server-private 192.0.2.5 key cisco
 ip vrf forwarding blue
 ip tacacs source-interface GigabitEthernet0/0
!
aaa authentication login default group management local
aaa authorization exec default group management if-authenticated 
aaa accounting exec default start-stop group management
!
aaa session-id common
!
no ipv6 cef
!
ip vrf blue
!
no ip domain lookup
ip cef
!
interface GigabitEthernet0/0
 ip vrf forwarding blue
 ip address 203.0.113.2 255.255.255.0
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route vrf blue 0.0.0.0 0.0.0.0 203.0.113.1
!
line con 0
line aux 0
line vty 0 4
 transport input all

Como usted puede ver, no hay servidores global definidos TACACS+. Si usted está emigrando los servidores a un VRF, usted puede quitar con seguridad los servidores global configurados TACACS+.

Metodología de Troubleshooting

  1. Aseegurese le tener IP VRF la definición de envío apropiada bajo su servidor del grupo aaa así como interfaz de origen para el tráfico TACACS+.

  2. Marque su tabla de ruteo del vrf y aseegurese allí es una ruta a su servidor TACACS+. El ejemplo anterior se utiliza para visualizar la tabla de ruteo del vrf:

    vrfAAA#show ip route vrf blue
    
    Routing Table: blue
    Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
           + - replicated route, % - next hop override
    
    Gateway of last resort is 203.0.113.1 to network 0.0.0.0
    
    S*    0.0.0.0/0 [1/0] via 203.0.113.1
          203.0.0.0/24 is variably subnetted, 2 subnets, 2 masks
    C        203.0.113.0/24 is directly connected, GigabitEthernet0/0
    L        203.0.113.2/32 is directly connected, GigabitEthernet0/0
  3. ¿Puede usted hacer ping su servidor TACACS+? Recuerde que éste necesita ser específico VRF también:

    vrfAAA#ping vrf blue 192.0.2.4
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 102.0.2.4, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
  4. Usted puede utilizar el comando aaa de la prueba de verificar la Conectividad (usted debe utilizar la opción del nuevo-código en el extremo, la herencia no hace trabajo):

    vrfAAA#test aaa group management cisco Cisco123 new-code 
    Sending password
    User successfully authenticated
    
    USER ATTRIBUTES
    
    username             "cisco"
    reply-message        "password: "

Si las rutas existen y usted no ve ningún golpe en su servidor TACACS+, aseegurese que los ACL están permitiendo que el puerto TCP 49 alcanzara el servidor del router o del Switch. Si usted consigue un Troubleshooting TACACS+ de la falla de autenticación como normal, la característica VRF está apenas para la encaminamiento del paquete.

Análisis de datos

Si todo sobre las miradas corrige, los debugs aaa y de los tacacs se pueden habilitar para resolver problemas el problema. Comience con estos debugs:

  • haga el debug de los tacacs

  • debug aaa authentication

Aquí está un ejemplo de un debug donde algo no se configura correctamente, por ejemplo pero no limitado a:

  • Interfaz de origen perdida TACACS+

  • Comandos ip vrf forwarding que falta bajo interfaz de origen o bajo el servidor del grupo aaa

  • Ninguna ruta al servidor TACACS+ en la tabla de ruteo VRF

Jul 30 20:23:16.399: TPLUS: Queuing AAA Authentication request 0 for processing
Jul 30 20:23:16.399: TPLUS: processing authentication start request id 0
Jul 30 20:23:16.399: TPLUS: Authentication start packet created for 0(cisco)
Jul 30 20:23:16.399: TPLUS: Using server 192.0.2.4
Jul 30 20:23:16.399: TPLUS(00000000)/0: Connect Error No route to host
Jul 30 20:23:16.399: TPLUS: Choosing next server 192.0.2.5
Jul 30 20:23:16.399: TPLUS(00000000)/0: Connect Error No route to host

Aquí está una conexión satisfactoria:

Jul 30 20:54:29.091: AAA/AUTHEN/LOGIN (00000000): Pick method list 'default' 
Jul 30 20:54:29.091: TPLUS: Queuing AAA Authentication request 0 for processing
Jul 30 20:54:29.091: TPLUS: processing authentication start request id 0
Jul 30 20:54:29.091: TPLUS: Authentication start packet created for 0(cisco)
Jul 30 20:54:29.091: TPLUS: Using server 192.0.2.4
Jul 30 20:54:29.091: TPLUS(00000000)/0/NB_WAIT/2B2DC1AC: Started 5 sec timeout
Jul 30 20:54:29.095: TPLUS(00000000)/0/NB_WAIT: socket event 2
Jul 30 20:54:29.095: TPLUS(00000000)/0/NB_WAIT: wrote entire 25 bytes request
Jul 30 20:54:29.095: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.095: TPLUS(00000000)/0/READ: Would block while reading
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 16 bytes data)
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.099: TPLUS(00000000)/0/READ: read entire 28 bytes response
Jul 30 20:54:29.099: TPLUS(00000000)/0/2B2DC1AC: Processing the reply packet
Jul 30 20:54:29.099: TPLUS: Received authen response status GET_PASSWORD (8)
Jul 30 20:54:29.099: TPLUS: Queuing AAA Authentication request 0 for processing
Jul 30 20:54:29.099: TPLUS: processing authentication continue request id 0
Jul 30 20:54:29.099: TPLUS: Authentication continue packet generated for 0
Jul 30 20:54:29.099: TPLUS(00000000)/0/WRITE/2B2DC1AC: Started 5 sec timeout
Jul 30 20:54:29.099: TPLUS(00000000)/0/WRITE: wrote entire 25 bytes request
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: read entire 12 header bytes (expect 6 bytes data)
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: socket event 1
Jul 30 20:54:29.103: TPLUS(00000000)/0/READ: read entire 18 bytes response
Jul 30 20:54:29.103: TPLUS(00000000)/0/2B2DC1AC: Processing the reply packet
Jul 30 20:54:29.103: TPLUS: Received authen response status PASS (2)

Problemas Comunes

El problema más común es la configuración. Muchas veces el admin pone en el servidor del grupo aaa, pero no pone al día las líneas aaa para señalar al grupo de servidores. En vez de:

aaa authentication login default group management local
aaa authorization exec default group management if-authenticated 
aaa accounting exec default start-stop group management

El admin habrá puesto en:

aaa authentication login default grout tacacs+ local
aaa authorization exec default group tacacs+ if-authenticated 
aaa accounting exec default start-stop group tacacs+

Ponga al día simplemente la configuración con el grupo de servidores correcto.

Un segundo problema común es usuario recibe este error al intentar agregar IP VRF el envío bajo grupo de servidores:

% Unknown command or computer name, or unable to find computer address

Esto significa que el comando no fue encontrado. Si ocurre esto aseegurese los soportes por-VRF TACACS+ de la versión del IOS. Aquí están algunas versiones mínimas comunes:

  • 12.3(7)T

  • 12.2(33)SRA1

  • 12.2(33)SXI

  • 12.2(33)SXH4

  • 12.2(54)SG


Información Relacionada


Document ID: 113667