Roteador MSR 30 –16: Configurando TACACS em uma VPN-Instance (VRF)

Compatilho abaixo o script (comentado) para a autenticação de usuários em uma base remota para administração de um Roteador MSR 30-16. Os testes serviram para validar um Servidor ACS da Cisco para autenticação via TACACS em um Roteador HPN. A diferença deste teste para as outras configurações é a utilização do TACACS dentro de uma vpn-instance (VRF).


Configuração
#
ip vpn-instance test
 route-distinguisher 1:1
 vpn-target 1:1 export-extcommunity
 vpn-target 1:1 import-extcommunity
! Criando a VRF “test”
#
super password level 3 simple s3nhasup3r
super authentication-mode scheme
#
telnet server enable
#
hwtacacs scheme acs
! Criando o esquema TACACS com o nome acs
primary authentication 192.168.1.10 vpn-instance test
!Configurando o IP do Servidor ACS para autenticação
primary authorization 192.168.1.10 vpn-instance test
!Configurando o IP do Servidor ACS para autorização
primary accounting 192.168.1.10 vpn-instance test
!Configurando o IP do Servidor ACS para contabilidade
nas-ip 172.16.1.1
!Endereço de IP do Switch cadastrado no ACS
key authentication teste123
! Chave para autenticação com o servidor ACS  com a senha"teste123"
key authorization teste123
key accounting teste123
user-name-format without-domain
! Encaminhamento do usuário sem o formato @dominio
#
domain acs
authentication login hwtacacs-scheme acs local
!Configurando a autenticação com TACACS e em caso de falha, a autenticação será local.
authorization login hwtacacs-scheme acs local
accounting login hwtacacs-scheme acs local
authentication default hwtacacs-scheme acs local
authorization default hwtacacs-scheme acs
accounting default hwtacacs-scheme acs
authentication super hwtacacs-scheme acs
accounting command hwtacacs-scheme acs
#
domain default enable acs
! Habilitando o dominio acs como default para auetnticação
#
interface Ethernet0/0
 port link-mode route
 ip binding vpn-instance test
 172.16.1.1 255.255.255.0
#
user-interface vty 0 4
authentication-mode scheme
#

obs: Sugerimos que durante os testes, não configure o authentication-mode scheme no acesso via Console, para em caso de falha nos testes, você não fique trancado do lado de fora do Switch.

A autenticação do “super-usuário” via TACACS também está inclusa no script.

Abração

Switches HPN 4200G – Configurando a autenticação com TACACS

Compatilho abaixo o script básico (comentado) para a autenticação no acesso em Switches HPN utilizando AAA, com o Servidor ACS da Cisco e o protocolo TACACS. A autenticação para o super usuário em nosso exemplo, está como local.

Configuração

#
super password level 3 simple S3nha
! Criando a senha do super usuário como "S3nha"
#
hwtacacs scheme comutadores
! Criando o esquema TACACS com o nome Comutadores
primary authentication 192.168.1.10
!Configurando o IP do Servidor ACS para autenticação
primary authorization 192.168.1.10
!Configurando o IP do Servidor ACS para autorização
primary accounting 192.168.1.10
!Configurando o IP do Servidor ACS para contabilidade
nas-ip 148.91.219.56
!Endereço de IP do Switch cadastrado no ACS
key authentication s3nhacom
! Chave para autenticação com o servidor ACS  com a senha"s3nhacom"

key authorization s3nhacom
key accounting s3nhacom
user-name-format without-domain
! Encaminhamento do usuário sem o formato @dominio
#
domain comutadores.com.br
authentication login hwtacacs-scheme comutadores local
!Configurando a autenticação com TACACS e em caso de falha, a autenticação será local.
authorization login hwtacacs-scheme comutadores local
accounting login hwtacacs-scheme comutadores local
#
domain default enable comutadores.com.br
! Habilitando o dominio comutadores.com.br como default para auetnticação
#
user-interface vty 0 4
authentication-mode scheme
#

obs: Sugerimos que durante os testes, não configure o authentication-mode scheme no acesso via Console, para em caso de falha nos testes, você não fique trancado do lado de fora do Switch. 😉

Boa semana!