其他文章:
Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例 tacacs+协议报文抓包示例
如果使用wireshark对tacacs+报文进行抓包,需要将tacacs+服务器的tac_plus服务监听端口设置为49,这是为tacacs+分配的默认端口,TCP 49。
此时,会将TCP 49端口的报解码为tacacs+报文。否则,看到的都是TCP交互报文。
实验拓扑:
本次实验在eve-ng仿真环境中进行测试,可测试H3C,华为,Arista,Cisco设备。
图中Linux运行CentOS7系统,安装了Tacacs+守护进程,监听192.168.147.135 TCP 49端口。
图:实验拓扑 Tacacs+报文交互流程图:
图:tacacs+报文交互
注意:在wireshark中抓的tacacs+报文默认为加密报文,无法看到详细的报文内容,需要在wireshark中输入tacacs+密钥进行解密,从而可以查看报文内容。
操作步骤:选择tacacs+协议报文,右键选择Protocol Preferences, 选择,TACACS+Encryption Key
输入Tacacs+服务器密钥即可解密报文。
Authentication报文抓包示例: 认证请求报文:
如下图,当用户远程登陆交换机时,交换机会将用户名,密码都发给tacacs+服务器,进行认证请求。
图:当发起认证后交换机发起的第一个认证报文 认证回应报文:
Tacacs+服务器收到交换机的认证请求报文后,如果账号密码都正确,则返回认证回应报文,里面表明认证通过。
如果账号或密码不正确,则返回认证失败报文。
图:tacacs+服务器给交换机回应的认证通过报文
图:认证失败报文 Authorization报文抓包示例: 授权请求报文:
在认证成功之后,交换机会发起授权请求报文,携带service类型,需要授权的命令。
图:交换机发起的授权请求报文 授权回应报文:
Tacacs+服务器收到授权回应请求报文后,会根据配置文件进行回应授权情况,如:p riv-lvl=15。
图:授权回应报文 Accounting报文抓包示例: 计费请求报文:
在认证和授权成功之后,交换机会发起计费请求报文。
图:计费请求报文 计费回应报文:
图:计费回应报文 输入dis ip inter bri 后的授权和计费过程抓包示例:
在认证成功之后,在交换机输入的每条命令都会进行如下四个报文交互流程。
授权请求报文:
在下图中可看到,当在交换机上输入dis ip inter bri后,交换机会向Tacacs+服务器发起授权请求报文,报文内的dis ip inter bri 会被交换机自动补全,并按空格进行分割,请求多个cmd value,从而发送个服务器进行授权请求。
在Tacacs+服务器上会根据配置文件的授权配置,匹配正则表达等进行判断是否授权。
图:交换机命令的授权请求报文 授权回应报文:
图:授权回应报文,授权通过 计费请求报文:
在命令被授权后,交换机如果配置了tacacs+计费,会发起计费请求报文,计费请求报文中会携带命令的相关信息,命令字符串,命令级,时区等。
图:交换机发起的命令计费请求报文 计费回应报文:
图:计费回应报文 Tacacs+服务超时自动端口连接报文抓包示例:
图:tacacs+服务超时自动断开连接
图:tacacs+计费会应报文 Tacacs+服务器认证,授权,计费日志示例 Access.log: [root@localhost ~]# more /var/log/tac_plus/aaccess/ accounting/ authentication/ authorization/ [root@localhost ~]# more /var/log/tac_plus/access/access.log 2020-10-06 15:47:43 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii login succeeded2020-10-06 16:01:36 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii login succeeded2020-10-06 16:07:37 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii login succeeded2020-10-06 16:13:43 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii login succeeded2020-10-06 17:59:12 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii login succeeded2020-10-06 17:59:22 +0800 192.168.147.134 user GigabitEthernet1/0 192.168.147.1 ascii login failed (no such user)2020-10-06 17:59:22 +0800 192.168.147.134 user GigabitEthernet1/0 192.168.147.1 shell login failed (no such user)2020-10-06 17:59:22 +0800 192.168.147.134 user GigabitEthernet1/0 192.168.147.1 shell login failed (no such user) authentication.log 认证日志示例: [root@localhost ~]# more /var/log/tac_plus/authentication/authentication.log 2020-10-06 15:47:43 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii login succeeded2020-10-06 16:01:36 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii login succeeded2020-10-06 16:07:37 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii login succeeded2020-10-06 16:13:43 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii login succeeded2020-10-06 17:59:12 +0800 192.168.147.134 tacacsuser GigabitEthernet1/0 192.168.147.1 ascii login succeeded2020-10-06 17:59:22 +0800 192.168.147.134 user GigabitEthernet1/0 192.168.147.1 ascii login failed (no such user) authorization.log 授权日志示例: [root@localhost ~]# more /var/log/tac_plus/authorization/authorization.log 2020-10-06 15:47:48 +0800 192.168.147.134 tacacsuser vty0 permit system-view <cr>2020-10-06 16:01:45 +0800 192.168.147.134 tacacsuser vty0 permit display ip interface brief <cr>2020-10-06 16:06:34 +0800 192.168.147.134 tacacsuser vty0 permit system-view <cr>2020-10-06 16:06:35 +0800 192.168.147.134 tacacsuser vty0 permit display this <cr>2020-10-06 16:06:37 +0800 192.168.147.134 tacacsuser vty0 permit display current-configuration <cr>2020-10-06 16:07:19 +0800 192.168.147.134 tacacsuser vty0 permit hwtacacs scheme cas <cr>2020-10-06 16:07:20 +0800 192.168.147.134 tacacsuser vty0 permit primary authentication 192.168.147.135 49 single-connection key simple ****** <cr>2020-10-06 16:07:20 +0800 192.168.147.134 tacacsuser vty0 permit primary authorization 192020-10-06 16:09:15 +0800 192.168.147.134 tacacsuser vty0 permit display ip interface bri accounting.log 计费日志示例: [root@localhost ~]# more /var/log/tac_plus/accounting/accounting.log 2020-10-06 15:47:43 +0800 192.168.147.134 tacacsuser vty0 192.168.147.1 start task_id=0timezone=0 service=shell2020-10-06 15:47:48 +0800 192.168.147.134 tacacsuser vty0 stop task_id=0 timezone=0 service=shell priv-lvl=15 cmd=system-view2020-10-06 15:49:39 +0800 192.168.147.134 tacacsuser vty0 stop task_id=0 timezone2020-10-06 18:27:23 +0800 192.168.147.134 user1 vty0 192.168.147.1 start task_id=0 timezone=0 service=shell2020-10-06 18:27:24 +0800 192.168.147.134 user1 vty0 stop task_id=0 timezone=0service=shell priv-lvl=15 cmd=system-view2020-10-06 18:27:27 +0800 192.168.147.134 user1 vty0 stop task_id=0 timezone=0service=shell priv-lvl=15 cmd=display ip interface brief2020-10-06 18:37:28 +0800 192.168.147.134 user1 vty0 192.168.147.1 stop task_id=0 timezone=0 service=shell disc_cause=0 disc_cause_ext=0 bytes_in=0 bytes_out=0 paks_in=0paks_out=0 elapsed_time=605
其他文章:
Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例