AAA config parser view on Cisco

Discussion in 'Lab 802.1x' started by root, Jun 27, 2016.

  1. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,163
    Likes Received:
    18
    Trophy Points:
    38

    Parser Views for Role Based Access Control


    Cấu hình parser view và phân quyền cho các user thuộc các profiles của các parser view chỉ được thực hiện các lệnh mà chúng ta định nghĩa trong các profile của parser view
    - Download file config: DOWNLAOD
    - Video hướng dẫn cấu hình Parser view trên Switch 2960


    - Tam khảo thêm bài lab AAA local sử dụng privilege level tại đây:
    http://svuit.vn/threads/authentication-and-authorization-privilege-level-telnet-switch-1246/

    - Có thể xem thêm các bài lý thuyết và Lab cisco aaa configuration
    http://svuit.vn/threads/tong-hop-lab-cisco-aaa-1225/

    I/ Mục tiêu cấu hình parser view


    Yêu cầu:
    - Tạo username và password local trên switch tương ứng với các profiles của các Parser View.
    • Tạo user “svuit-admin” thuộc Parser view “SVUIT-ADMIN”.
    • Tạo user “svuit-staff” thuộc Parser view “SVUIT-STAFF”.
    • Tạo user “svuit-it” thuộc Parser view “SVUIT-IT”.
    - Khi người dùng telnet vào Switch thì nó sẽ yêu cầu người dùng chứng thực với username và password local trên Switch.

    - cấu hình authorization cho các user tương ứng:
    • Username “svuit-staff” có quyền “show ip …” và “show version” trên Switch.
    • Username “svuit-it” có quyền “show running-config” và vào mode config của Switch.
    • Username “svuit-admin” có quyền đầy đủ các quyền mà user “svuit-staff” và “svuit-it”.
    II. Cấu hình Parser View trên Switch
    Cấu hình authentication telnet switch. Khi người dùng authentication thành công thì chúng ta sẽ cấp quyền (authorization) cho user đó theo cấp độ quyền (privilege level) mà user đó thuộc.

    - Đặt IP cho interface vlan 1
    Code:
    Switch(config)# interface vlan 1
    Switch(config-if)# ip address 10.123.10.250 255.255.255.0
    - Bật tính năng AAA trên Switch. Khi người dùng remote vào switch thì sẽ yêu cầu người dùng chứng thực username và password.
    Code:
    Switch(config)# aaa new-model
    - Tạo username và password local trên switch tương ứng với các profiles của các Parser View.
    • Tạo user “svuit-admin” thuộc Parser view “SVUIT-ADMIN”.
    • Tạo user “svuit-staff” thuộc Parser view “SVUIT-STAFF”.
    • Tạo user “svuit-it” thuộc Parser view “SVUIT-IT”.
    Code:
    Switch(config)#Switch(config)#username svuit-admin view SVUIT-ADMIN secret svuit.vn
    Switch(config)#username svuit-staff view SVUIT-STAFF secret svuit.vn
    Switch(config)#username svuit-it view SVUIT-IT secret svuit.vn
    - Khi người dùng chứng thực thành công thì phải phân quyền cho người dùng đó
    Code:
    Switch(config)#aaa authorization exec default local
    - Cấu hình các user thuộc Parser view “SVUIT-STAFF” được sử dụng các lệnh “show version, show ip interface brief,…”
    Code:
    Switch(config)# parser view SVUIT-STAFF
    Switch(config)# secret 5 svuit.vn
    Switch(config)# commands exec include show ip interface brief
    Switch(config)# commands exec include show ip interface
    Switch(config)# commands exec include show ip
    Switch(config)# commands exec include show version
    Switch(config)# commands exec include show interfaces
    Switch(config)# commands exec include show
    
    - Cấu hình các user thuộc Parser view “SVUIT-IT” được sử dụng các lệnh “configure terminal, show running-config, debug,…”
    Code:
    Switch(config)# parser view SVUIT-IT
    Switch(config)# secret 5 svuit.vn
    Switch(config)# commands exec include all configure terminal
    Switch(config)# commands exec include configure
    Switch(config)# commands exec include show running-config
    Switch(config)# commands exec include show
    Switch(config)# commands exec include all debug
    - Cấu hình user thuộc Parser view “SVUIT-ADMIN” được sử dụng toàn bộ các lênh thuộc Parser View “SVUIT-IT” và “SVUIT-STAFF”.
    Code:
    Switch(config)# parser view SVUIT-ADMIN superview
    Switch(config)# secret 5 svuit.vn
    Switch(config)# view SVUIT-STAFF
    Switch(config)# view SVUIT-IT
    
    - Kích hoạt các profiles của Parser View “SVUIT-ADMIN”, “SVUIT-IT” và “SVUIT-STAFF”.
    Code:
    Switch#enable view SVUIT-ADMIN
    Switch#enable view SVUIT-STAFF
    Switch#enable view SVUIT-IT
    III. kiểm tra cấu hình parser view
    - Các bạn thực hiện telnet vào switch và chứng thực với user “svuit-staff”.
    • Các bạn sử dụng lệnh “show parser view” để thấy user “svuit-staff” đang thuộc parser view của “SVUIT-STAFF”.
    - Các bạn có thể thực hiện các lệnh “show ip interface brief” trên Switch.
    - Tuy nhiên, các bạn có thể “show run” và không thể vào mode config của Switch.

    [​IMG]


    - Các bạn thực hiện telnet vào switch và chứng thực với user “svuit-it”.
    - Các bạn sử dụng lệnh “show parser view” để thấy user “svuit-it” đang thuộc parser view của “SVUIT-IT”.
    • Các bạn có thể thực hiện lệnh “show running-config” và vào mode Config của Switch.
    - Tuy nhiên, user “svuit-it” thuộc parser view “SVUIT-IT” không thể sử dụng các lệnh
    • Các bạn không thể “show ip int brief

    [​IMG]


    - Các bạn thực hiện telnet vào switch và chứng thực với user “svuit-admin”.

    - Các bạn sử dụng lệnh “show parser view” để thấy user “svuit-admin” đang thuộc parser view của “SVUIT-ADMIN”. Đây là super parser view được kết hợp bởi parser view “SVUIT-IT” và “SVUIT-STAFF”. Nên user thuộc parser view “SVUIT-ADMIN” có thể sử dụng tất cả các lệnh của parser “SVUIT-IT” và “SVUIT-STAFF”.
    • Các bạn có thể thực hiện lệnh “show running-config” và vào mode Config của Switch. Dựa vào parser view “SVUIT-IT”.
    • Các bạn có thể thực hiện lệnh “show ip interface brief” trên Switch thuộc parser view “SVUIT-STAFF”.
    [​IMG]
     
    Last edited: Jun 27, 2016

Share This Page