СГЭП IT
Каталог
Ethernet коммутаторы
Ethernet-коммутаторы доступа 100М
Ethernet-коммутаторы PoE
Ethernet-коммутаторы доступа 1GE
Ethernet-коммутаторы агрегации
Ethernet-коммутаторы агрегации 10G
Ethernet-коммутаторы промышленные
Модули
Опции
Гарантия
Маршрутизаторы
Сервисные маршрутизаторы
Межсетевые экраны сертифицированные ФСТЭК
Маршрутизаторы ядра
Опции и лицензии
VoIP телефония
Транковые шлюзы
Абонентские шлюзы
IP-АТС
Пограничные контроллеры сессий
SoftSwitch
IP-Телефоны
Гарантия
Опции
Программные опции
для SMG-2
для SMG-200
для SMG-500
для SMG-1016M
для SMG-2016
для SMG-3016
для SBC-1000
для SBC-2000
Беспроводной доступ
INDOOR / OUTDOOR точки доступа
БШПД (Радиомосты)
Wi-Fi антенны
LTE
Wi-Fi контроллер
PoE-инжекторы
SFP модули
SFP 155 Мбит/с
SFP 1 Gb | 1 волокно
SFP 1 Gb | 2 волокна
SFP+ 10 Gb | 1 волокно
SFP+ 10 Gb | 2 волокна
QSFP+
SFP28 25G
Медные SFP | RJ-45
Direct Attach
AOC
QSFP28
Оборудование TDM
Оптические мультиплексоры ToPGATE
Гибкий мультиплексор
АТС
Системы электропитания
Инверторы
Моноблочные инверторные системы со встр. байпасом
Комплектующие
Байпасы
Модульные инверторные системы
Модульные инверторные системы с универс.входом
Электропитающие установки
ЗВУ 24В
ЗВУ 48В
ИБП постоянного тока (ИБЭП)
ИБЭП 24В
ИБЭП 48В
Комплектующие
ИБП переменного тока
Однофазные ИБП (1-10 кВА)
Трехфазные ИБП (10-40 кВА)
Модульные ИБП (10-200 кВА)
Промышленные ИБП
Батарейные модули
Опции
Доп. оборудование
Серверное оборудование
Серверы DEPO
Сетевые серверы DEPO Stream 1000
Однопроцессорные серверы DEPO Storm 1000
Двухпроцессорные серверы DEPO Storm 3000
Четырехпроцессорные серверы DEPO Storm 4000
Специализированные серверы DEPO Storm 5000
Высокопроизводительные серверы DEPO Storm 6000
Серверы Aquarius
Системы хранения данных
СХД DEPO
Системы хранения данных NAS и SAN DEPO Storage 5000
Системы хранения данных SAN DEPO Storage 4000
Системы хранения данных NAS и SAN DEPO Storage 3000
СХД Aquarius
Аккумуляторные батареи
Литий-ионные аккумуляторы
СГЭП
Cospowers
Delta
Акку-Фертриб (STARK LITHIUM)
Аккумуляторная сборка
AGM батареи
Гелевые батареи
Фронт-терминальные
Видеонаблюдение
IP-камеры
Блог
Кейсы
Решения
Услуги
Компания
О компании
Команда
Вендоры
Вакансии
Лицензии и сертификаты
Контакты
Тех.поддержка
+7 800 770 75 12
Заказать звонок
Задать вопрос
  • Сравнение товаров0
sales1@sgep-it.ru
630087, г. Новосибирск, ул. Новогодняя, 24/1, оф. 410
СГЭП IT
Ваш город
Новосибирск
Сравнение0
+7 800 770 75 12
sales1@sgep-it.ru
Cкопировать email в буфер обмена Скопировано
Каталог
  • Ethernet коммутаторы
    • Ethernet-коммутаторы доступа 100М
    • Ethernet-коммутаторы PoE
    • Ethernet-коммутаторы доступа 1GE
    • Ethernet-коммутаторы агрегации
    • Ethernet-коммутаторы агрегации 10G
    • Ethernet-коммутаторы промышленные
    • Модули
    • Опции
    • Гарантия
  • Маршрутизаторы
    • Сервисные маршрутизаторы
    • Межсетевые экраны сертифицированные ФСТЭК
    • Маршрутизаторы ядра
    • Опции и лицензии
  • VoIP телефония
    • Транковые шлюзы
    • Абонентские шлюзы
    • IP-АТС
    • Пограничные контроллеры сессий
    • SoftSwitch
    • IP-Телефоны
    • Гарантия
    • Опции
    • Программные опции
  • Беспроводной доступ
    • INDOOR / OUTDOOR точки доступа
    • БШПД (Радиомосты)
    • Wi-Fi антенны
    • LTE
    • Wi-Fi контроллер
    • PoE-инжекторы
  • SFP модули
    • SFP 155 Мбит/с
    • SFP 1 Gb | 1 волокно
    • SFP 1 Gb | 2 волокна
    • SFP+ 10 Gb | 1 волокно
    • SFP+ 10 Gb | 2 волокна
    • QSFP+
    • SFP28 25G
    • Медные SFP | RJ-45
    • Direct Attach
    • AOC
    • QSFP28
    • +  ЕЩЕ 1
  • Оборудование TDM
    • Оптические мультиплексоры ToPGATE
    • Гибкий мультиплексор
    • АТС
  • Системы электропитания
    • Инверторы
    • Электропитающие установки
    • ИБП постоянного тока (ИБЭП)
    • ИБП переменного тока
    • Доп. оборудование
  • Серверное оборудование
    • Серверы DEPO
    • Серверы Aquarius
  • Системы хранения данных
    • СХД DEPO
    • СХД Aquarius
  • Аккумуляторные батареи
    • Литий-ионные аккумуляторы
    • Аккумуляторная сборка
    • AGM батареи
    • Гелевые батареи
    • Фронт-терминальные
  • Видеонаблюдение
    • IP-камеры
Блог
Кейсы
Решения
Услуги
Компания
  • О компании
  • Команда
  • Вендоры
  • Вакансии
  • Лицензии и сертификаты
  • Контакты
Тех.поддержка
+  ЕЩЕ
    СГЭП IT
    Сравнение0
    +7 800 770 75 12
    sales1@sgep-it.ru
    Cкопировать email в буфер обмена Скопировано
    Каталог
    • Ethernet коммутаторы
      • Ethernet-коммутаторы доступа 100М
      • Ethernet-коммутаторы PoE
      • Ethernet-коммутаторы доступа 1GE
      • Ethernet-коммутаторы агрегации
      • Ethernet-коммутаторы агрегации 10G
      • Ethernet-коммутаторы промышленные
      • Модули
      • Опции
      • Гарантия
    • Маршрутизаторы
      • Сервисные маршрутизаторы
      • Межсетевые экраны сертифицированные ФСТЭК
      • Маршрутизаторы ядра
      • Опции и лицензии
    • VoIP телефония
      • Транковые шлюзы
      • Абонентские шлюзы
      • IP-АТС
      • Пограничные контроллеры сессий
      • SoftSwitch
      • IP-Телефоны
      • Гарантия
      • Опции
      • Программные опции
    • Беспроводной доступ
      • INDOOR / OUTDOOR точки доступа
      • БШПД (Радиомосты)
      • Wi-Fi антенны
      • LTE
      • Wi-Fi контроллер
      • PoE-инжекторы
    • SFP модули
      • SFP 155 Мбит/с
      • SFP 1 Gb | 1 волокно
      • SFP 1 Gb | 2 волокна
      • SFP+ 10 Gb | 1 волокно
      • SFP+ 10 Gb | 2 волокна
      • QSFP+
      • SFP28 25G
      • Медные SFP | RJ-45
      • Direct Attach
      • AOC
      • QSFP28
      • +  ЕЩЕ 1
    • Оборудование TDM
      • Оптические мультиплексоры ToPGATE
      • Гибкий мультиплексор
      • АТС
    • Системы электропитания
      • Инверторы
      • Электропитающие установки
      • ИБП постоянного тока (ИБЭП)
      • ИБП переменного тока
      • Доп. оборудование
    • Серверное оборудование
      • Серверы DEPO
      • Серверы Aquarius
    • Системы хранения данных
      • СХД DEPO
      • СХД Aquarius
    • Аккумуляторные батареи
      • Литий-ионные аккумуляторы
      • Аккумуляторная сборка
      • AGM батареи
      • Гелевые батареи
      • Фронт-терминальные
    • Видеонаблюдение
      • IP-камеры
    Блог
    Кейсы
    Решения
    Услуги
    Компания
    • О компании
    • Команда
    • Вендоры
    • Вакансии
    • Лицензии и сертификаты
    • Контакты
    Тех.поддержка
    +  ЕЩЕ
      СГЭП IT
      • Каталог
        • Назад
        • Каталог
        • Ethernet коммутаторы
          • Назад
          • Ethernet коммутаторы
          • Ethernet-коммутаторы доступа 100М
          • Ethernet-коммутаторы PoE
          • Ethernet-коммутаторы доступа 1GE
          • Ethernet-коммутаторы агрегации
          • Ethernet-коммутаторы агрегации 10G
          • Ethernet-коммутаторы промышленные
          • Модули
          • Опции
          • Гарантия
        • Маршрутизаторы
          • Назад
          • Маршрутизаторы
          • Сервисные маршрутизаторы
          • Межсетевые экраны сертифицированные ФСТЭК
          • Маршрутизаторы ядра
          • Опции и лицензии
        • VoIP телефония
          • Назад
          • VoIP телефония
          • Транковые шлюзы
          • Абонентские шлюзы
          • IP-АТС
          • Пограничные контроллеры сессий
          • SoftSwitch
          • IP-Телефоны
          • Гарантия
          • Опции
          • Программные опции
            • Назад
            • Программные опции
            • для SMG-2
            • для SMG-200
            • для SMG-500
            • для SMG-1016M
            • для SMG-2016
            • для SMG-3016
            • для SBC-1000
            • для SBC-2000
        • Беспроводной доступ
          • Назад
          • Беспроводной доступ
          • INDOOR / OUTDOOR точки доступа
          • БШПД (Радиомосты)
          • Wi-Fi антенны
          • LTE
          • Wi-Fi контроллер
          • PoE-инжекторы
        • SFP модули
          • Назад
          • SFP модули
          • SFP 155 Мбит/с
          • SFP 1 Gb | 1 волокно
          • SFP 1 Gb | 2 волокна
          • SFP+ 10 Gb | 1 волокно
          • SFP+ 10 Gb | 2 волокна
          • QSFP+
          • SFP28 25G
          • Медные SFP | RJ-45
          • Direct Attach
          • AOC
          • QSFP28
        • Оборудование TDM
          • Назад
          • Оборудование TDM
          • Оптические мультиплексоры ToPGATE
          • Гибкий мультиплексор
          • АТС
        • Системы электропитания
          • Назад
          • Системы электропитания
          • Инверторы
            • Назад
            • Инверторы
            • Моноблочные инверторные системы со встр. байпасом
            • Комплектующие
            • Байпасы
            • Модульные инверторные системы
            • Модульные инверторные системы с универс.входом
          • Электропитающие установки
            • Назад
            • Электропитающие установки
            • ЗВУ 24В
            • ЗВУ 48В
          • ИБП постоянного тока (ИБЭП)
            • Назад
            • ИБП постоянного тока (ИБЭП)
            • ИБЭП 24В
            • ИБЭП 48В
            • Комплектующие
          • ИБП переменного тока
            • Назад
            • ИБП переменного тока
            • Однофазные ИБП (1-10 кВА)
            • Трехфазные ИБП (10-40 кВА)
            • Модульные ИБП (10-200 кВА)
            • Промышленные ИБП
            • Батарейные модули
            • Опции
          • Доп. оборудование
        • Серверное оборудование
          • Назад
          • Серверное оборудование
          • Серверы DEPO
            • Назад
            • Серверы DEPO
            • Сетевые серверы DEPO Stream 1000
            • Однопроцессорные серверы DEPO Storm 1000
            • Двухпроцессорные серверы DEPO Storm 3000
            • Четырехпроцессорные серверы DEPO Storm 4000
            • Специализированные серверы DEPO Storm 5000
            • Высокопроизводительные серверы DEPO Storm 6000
          • Серверы Aquarius
        • Системы хранения данных
          • Назад
          • Системы хранения данных
          • СХД DEPO
            • Назад
            • СХД DEPO
            • Системы хранения данных NAS и SAN DEPO Storage 5000
            • Системы хранения данных SAN DEPO Storage 4000
            • Системы хранения данных NAS и SAN DEPO Storage 3000
          • СХД Aquarius
        • Аккумуляторные батареи
          • Назад
          • Аккумуляторные батареи
          • Литий-ионные аккумуляторы
            • Назад
            • Литий-ионные аккумуляторы
            • СГЭП
            • Cospowers
            • Delta
            • Акку-Фертриб (STARK LITHIUM)
          • Аккумуляторная сборка
          • AGM батареи
          • Гелевые батареи
          • Фронт-терминальные
        • Видеонаблюдение
          • Назад
          • Видеонаблюдение
          • IP-камеры
      • Блог
      • Кейсы
      • Решения
      • Услуги
      • Компания
        • Назад
        • Компания
        • О компании
        • Команда
        • Вендоры
        • Вакансии
        • Лицензии и сертификаты
        • Контакты
      • Тех.поддержка
      • Новосибирск
        • Назад
        • Города
        • Москва
        • Новосибирск

      Настройка TACACS+ на оборудовании Eltex

      Главная
      -
      Блог
      -Настройка TACACS+ на оборудовании Eltex
      12 сентября 2024 0:00

      tacacs+banner.png

      Сетевая инфраструктура любой компании – это достаточно важный ресурс, потеря контроля над которым может привести к серьезным последствиям как для компании, так и для вас. Важно сделать максимум для того, чтобы обезопасить себя и свою сеть от внешних воздействий. О некоторых вещах я расскажу в этой статье.

      Протокол TACACS+

      Сегодня речь пойдет об использовании внешнего сервера для аутентификации пользователей - централизованном ААА – сервере (А-Authentication А-Authorization А-Accounting). Такие серверы успешно используются у сетей операторов связи, в сетях широкополосного доступа, и т.д.

      Итак, что же такое ААА – сервер. Это своего рода целая платформа, которая используется для контроля доступа к сетевому оборудованию, и не только.

      иконка.png   Authentication (Аутентификация) – отвечает за то, кому разрешен доступ, а кому нет;

      иконка.png   Authorization. (Авторизация) – отвечает за уровень привилегий доступа;

      иконки.png  Accounting (Аккаунтинг) – отвечает за фиксацию действий в системе, другими словами – осуществляет логирование ваших действий.

      Отдельный сервер решает задачу управления учетными записями, позволяет реализовать политики доступа, сохраняет ввод команд пользователей с привязкой по времени. Самое удобное это то, что вся эта информация будет доступна фактически в режиме «одного окна». Учетные записи хранятся на сервере в базе данных: это может быть интеграция с Oracle, MySQL, LDAP, и т.д. Об этом мы говорить не будем, вы можете использовать в принципе любой подходящий вариант.

      А вот основных систем ААА различают всего две, а именно RADIUS и TACACS+.

      RADIUS (Remote Authentication Dial In User Service) – работает по протоколу UDP, авторизация интегрирована в процесс аутентификации, степень защищенности – хорошая. Можно сказать, что в контексте ААА RADIUS поддерживает практически все устройства.

      TACACS+ – это изначально сеансовый протокол, результат усовершенствования стандартного TACACS, разработки Cisco. Работает по протоколу TCP, поэтому, если говорить о скорости – относительно Radius он медленнее, но зато более защищенный, потому что в RADIUS шифруется только пароль, а в TACACS+ шифруется весь пакет.

      Протокола RADIUS вам будет достаточно, если:

      - ваша инфраструктура перегружена трафиком,

      - у вас присутствуют потери пакетов,

      - вам не требуется вести логирование команд пользователя,

      - вам требуется перенаправление запросов в пределах нескольких Radius-серверов.

      Во всех остальных случаях рекомендуется использовать TACACS+. Однако на оборудовании допускается и комбинированная авторизация, когда запрос идет к примеру, на RADIUS, а в случае его недоступности - на TACACS+ сервер. Как правило в крупных сетях есть минимум 2 сервера, основной и резервный.

      tacacs+in.png

      Настройка протокола TACACS+

      Собственно, давайте рассмотрим настройку TACACS+ применительно к коммутаторам Eltex.

      Для настройки на коммутаторе MES3324F (линейка MES23xx/33xx/35xx/5324) :

          1. Команда с указанием IP-адреса TACACS+ сервера и секрета выглядит следующим образом:

      MES3324F(config)#tacacs-server host 192.168.111.11 key secret

          2. Способ аутентификации задаем следующим образом

      MES3324F(config)#aaa authentication login authorization default tacacs local

      С версии прошивки 4.0.6 возможен выбор аутентификации break / chain

      Break – аутентификация останавливается после неудачной попытки

      Сhain – аутентификация не останавливается, а идет по следующему правилу в цепочке.

          3. Повышение уровня привилегий через TACACS+ задается командой:

      MES3324F(config)#aaa authentication enable default tacacs enable

          4. Ведение учета для сессий управления (кто, под какой учетной записью, и куда зашел):

      MES3324F(config)#aaa accounting login start-stop group tacacs+

      Статистику можно посмотреть примерно так:

      1tacacs+.png

          5. Логирование введенных команд:

      MES3324F(config)#aaa accounting commands stop-only group tacacs+

      В совокупности с предыдущей командой логи принимают следующий вид:

      2tacacs.png

      Чтобы каждая команда проверялась на легитимность и проходила авторизацию на сервере:

      MES3324F(config)#aaa authorization commands default group tacacs+ local

      Это вся базовая настройка. А теперь рассмотрим комбинированное решение и сделаем 2 сервера авторизации, один из которых RADIUS, а в случае его недоступности - TACACS+.

      Предположим, что у нас уже есть коммутатор с настроенным RADIUS-сервером:

      Изначальные настройки такие:

      3.png

      Добавляем TACACS+. Тогда настройки трансформируются в следующий вид:

      4.png

      Итогом конфигурации будет работа с 2 серверами авторизации одновременно.

      Скажу несколько слов про конфигурацию TACACS+:

      1. Всегда настраивайте логирование - это замечательный инструмент для контроля инцидентов, если конечно инциденты возникли в результате человеческого фактора.
      2. Не забывайте настраивать ротацию логов. Если ваша инфраструктура достаточно велика, на оборудовании работают не только сетевые инженеры, под системными пользователями работают различные скрипты и системы автоматизации. Поэтому объем логов будет достаточно большим.
      3. Всегда раздавайте персоналу достаточные уровни привилегий, и не более того.
      4. Регулярно меняйте учетные данные TACACS+ сервера, пароль должен соответствовать стандартам безопасности.
      5. Синхронизируйте собственную транспортную сеть и сервера авторизации от одного резервируемого NTP сервера. Это позволит вам соотносить аварийные события на оборудовании с логами ввода команд на сервере.   
      6. Настраивайте Hostname ваших сетевых устройств так, чтобы вы однозначно понимали, о каком устройстве вы ищете информацию.
      7. Изначально, протоколом управления является Telnet. Трафик передается в незашифрованном виде. Выключайте telnet и пользуйтесь SSH.
      8. TACACS+ и RADIUS – серверы должны находится в VLAN управления, доступных только для администраторов и систему управления сетью.

      Придерживаясь этих правил, вы значительно поднимете уровень безопасности вашей инфраструктуры, и помните – безопасности много не бывает.

      Реализацией продукции Eltex и поддержкой пользователей занимается НТЦ СГЭП, являющийся официальным дилером производителя. Наши специалисты предоставляют качественную техническую поддержку и регулярные обновления программного обеспечения, гарантируя стабильную и безопасную работу устройств Eltex.Вы найдете все контакты в разделе Команда.

      Хотите, чтобы ваши корпоративные сети имели высокую производительность, были надежными и безопасными? Переходите по ссылке.

      Товары
      Все 27
      Ethernet-коммутаторы PoE 3
      Ethernet-коммутаторы доступа 1GE 6
      Ethernet-коммутаторы агрегации 12
      Ethernet-коммутаторы агрегации 10G 2
      Ethernet-коммутаторы промышленные 4
      Назад к списку
      • Ethernet коммутаторы
        • Ethernet-коммутаторы доступа 100М
        • Ethernet-коммутаторы PoE
        • Ethernet-коммутаторы доступа 1GE
        • Ethernet-коммутаторы агрегации
        • Ethernet-коммутаторы агрегации 10G
        • Ethernet-коммутаторы промышленные
        • Гарантия
        • Модули
        • Опции
      • Маршрутизаторы
        • Сервисные маршрутизаторы
        • Межсетевые экраны сертифицированные ФСТЭК
        • Маршрутизаторы ядра
        • Опции и лицензии
      • VoIP телефония
        • Транковые шлюзы
        • Абонентские шлюзы
        • IP-АТС
        • SoftSwitch
        • Пограничные контроллеры сессий
        • IP-Телефоны
        • Гарантия
        • Опции
        • Программные опции
      • Беспроводной доступ
        • INDOOR / OUTDOOR точки доступа
        • БШПД (Радиомосты)
        • Wi-Fi антенны
        • LTE
        • Wi-Fi контроллер
        • PoE-инжекторы
      • SFP модули
        • SFP 155 Мбит/с
        • SFP 1 Gb | 1 волокно
        • SFP 1 Gb | 2 волокна
        • SFP+ 10 Gb | 1 волокно
        • SFP+ 10 Gb | 2 волокна
        • QSFP+
        • SFP28 25G
        • Медные SFP | RJ-45
        • Direct Attach
        • AOC
        • QSFP28
      • Оборудование TDM
        • Оптические мультиплексоры ToPGATE
        • АТС
        • Гибкий мультиплексор
      • Системы электропитания
        • Инверторы
        • Электропитающие установки
        • ИБП постоянного тока (ИБЭП)
        • ИБП переменного тока
        • Доп. оборудование
      • Серверное оборудование
        • Серверы DEPO
        • Серверы Aquarius
      • Системы хранения данных
        • СХД DEPO
        • СХД Aquarius
      • Аккумуляторные батареи
        • Литий-ионные аккумуляторы
        • Аккумуляторная сборка
        • AGM батареи
        • Гелевые батареи
        • Фронт-терминальные
      • Видеонаблюдение
        • IP-камеры
      • Новости 128
      • Обзоры товаров 8
      • Статьи 22
      Теги
      Eltex СГП Форпост
      Мессенджеры

      Телефон
      E-MAIL
      Написать сообщение

      Каталог
      Блог
      Кейсы
      Услуги
      Решения
      Компания
      О компании
      Команда
      Вендоры
      Вакансии
      Лицензии и сертификаты
      Контакты
      Информация
      Реквизиты
      Отзывы
      Карьера
      Партнеры
      Конфиденциальность
      Помощь
      Доставка
      Оплата
      Гарантия
      Договор оферты
      Карта сайта
      Подписаться на рассылку
      +7 800 770 75 12
      Заказать звонок
      Помощь в подборе
      Получить прайс-лист 2023 на ИБП
      Референс ИБП
      Скачать каталог
      Узнать цены
      Запросить наличие и стоимость
      Скачать таблицу сравнения
      sales1@sgep-it.ru
      630087, г. Новосибирск, ул. Новогодняя, 24/1, оф. 410
      2025 © ООО "Научно-технический центр СГЭП"

      Все фильтры

      Применить Сбросить