WAAS Express/APPNAV XE usando la autorización del comando aaa

Opciones de descarga

  • PDF     (135.2 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (96.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (189.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:19 de julio de 2016
ID del documento:200575

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento proporciona los detalles de configurar la aplicación de la área ancha (WAAS) Express/APPNAV-XE usando los Sistemas de control de acceso del Terminal Access Controller (TACACS) y autenticación, autorización y el comando authorization que considera (AAA).

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Cisco WAAS
  • Autorización AAA
  • TACACS

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • WAAS 6.1.1x
  • 2900 Router
  • IOS Versoin 15.2(4)M3

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

El administrador central WAAS requiere el Secure Shell (SSH) y el HTTPS seguro para acceder WAAS expresa y APPNAV - Routers XE.

El Secure Shell (SSH) se utiliza para la configuración inicial/el registratoin.

El HTTPS se utiliza para la configuración y la supervisión en curso.

A menudo la combinación de HTTPS y de configuración AAA en el dispositivo evita que el administrador central comunique con estos dispositivos correctamente.

Configuración de TACACs del ejemplo

aaa new-model
!
!
aa group server tacacs+ tacacsgroup
 server name server1
 server name server2
 
aaa authentication login AUTH group AAA-Servers
aaa authorization commands 1 PRIV1 group AAA-Servers
aaa authorization commands 15 PRIV15 group AAA-Servers
aaa authorization exec AUTHLIST group AAA-Servers

Configuración del ejemplo HTTPS

ip http server
ip http authentication aaa exec-authorization AUTHLIST
ip http authentication aaa command-authorization 1 PRIV1 ip http authentication aaa command-authorization 15 PRIV15 ip http authentication aaa login-authentication AUTH ip http secure-server
ip http secure-trustpoint TP-self-signed-2945720990
ip http client source-interface GigabitEthernet0/0
ip http client secure-trustpoint TP-self-signed-2945720990

Los comandos se ejecutan por el CM en WAAS Express/APPNAV-XE vía el HTTP

Ésta es una lista de los comandos que el administrador central necesita para poder ejecutarse en el dispositivo remoto.

Modo de configuración CLI

do show running-config | section crypto pki trustpoint

crypto pki export

   

Modo EXEC CLI

WAASX - Estado

show waas token | format
show waas status | format
show waas alarms | format
show running-config | section hostname
show ip interface brief | format
show interfaces  | include line protocol | Internet address | address is | *uplex
show running-config brief | include clock timezone
show clock
show crypto pki trustpoints | include Trustpoint
show inventory

   

WAASX - Configuración

show parameter-map type waas waas_global | format
show class-map type waas | format
show policy-map type waas | format
write memory

  

WAASX - Estadísticas

show waas statistics peer | format
show waas statistics application | format
show waas connection brief
show waas statistics accelerator http-express | format
show waas statistics accelerator http-express https | format
show waas statistics accelerator ssl-express | format
show waas statistics class | format
show waas statistics accelerator cifs-express detail | format

   

Registro

registration
show waas status extended | format

   

APPNAV-XE

show service-insertion token | format
show service-insertion status | format
show class-map type appnav | format
show ip int br | format
show service-insertion service-context | format
show service-insertion service-node-group | format
show service-insertion statistics service-node-group | format
show policy-map type appnav | format
show policy-map target service-context | format
show service-insertion config service-context | format
show service-insertion config service-node-group | format
show service-insertion config appnav-controller-group | format
show service-insertion alarms | format
show ip access-list
show vrf
show running-config | section interface
show running-config | include service-insertion swap src-ip

Troubleshooting

El AAA incorrecto o la configuración HTTP en el dispositivo extremo puede causar los errores en errores del registro y de la actualización del estado.

Note: La manera más simple de probar si hay un problema de la autorización es poner un usuario local WAAS, una autenticación AAA local y ip http un local de la autenticación. Si esta configuración de la prueba trabaja significa que usted tiene probablemente un problema con su comando authorization del usuario remoto.

En el administrador central CLI WAAS

Confirme que usted puede ssh del CM CLI al dispositivo remoto.

#ssh <device-name>

habilite el debug CMS en el CM y revise los archivos de cms.log y de waasx-audit.log durante el registro, eliminando los config y la recolección de estadística.

# debug cms waasx-regis
# debug cms router-config
# debug cms stats
(config)# logging disk priority 7

 
# cd errorlog
# type-tail cms.log follow
# type-tail waasx-audit.log follow

Entradas de registro del ejemplo cuando el CM no puede avanzar los comandos WAAS-expresos o el AppNav-XE.

05/27/2016 00:14:03.760 [I] cdm(RtrSync-40) Configuration commands failed on the device CeConfig_2875943/USNY25W39-R02. Not Taking backup of complete device configuration. 
05/27/2016 00:14:03.774 [W] cdm(RtrSync-64) 700001 Failed configuration commands are ...  
05/27/2016 00:14:03.774 [W] cdm(RtrSync-64) 700001 
class-map type appnav match-any HTTPS
CLI:class-map type appnav match-any HTTPS
Status:8
Output:Command authorization failed.

Pruebe el acceso HTTPS del navegador

Usted puede iniciar sesión a la interfaz HTTP.

https://<IP_ADDRESS>/level/15/exec/-/

Entonces teclee sus comandos en la sección.

Ejemplo de un comando invetory de trabajo de la demostración

Ejemplo de un comando del inventario de la demostración que falla

El debug en WAAS expresa al router

autorización aaa del #debug

Comando running con éxito

Jul  5 07:09:19.161: AAA/AUTHOR/TAC+: (2935402750): user=waasx
Jul  5 07:09:19.161: AAA/AUTHOR/TAC+: (2935402750): send AV service=shell
Jul  5 07:09:19.161: AAA/AUTHOR/TAC+: (2935402750): send AV cmd=show
Jul  5 07:09:19.161: AAA/AUTHOR/TAC+: (2935402750): send AV cmd-arg=vrf
Jul  5 07:09:19.161: AAA/AUTHOR/TAC+: (2935402750): send AV cmd-arg=
Jul  5 07:09:19.365: AAA/AUTHOR (2935402750): Post authorization status = PASS_ADD

Falla de autorización

Jul  5 07:08:32.485: AAA/AUTHOR/TAC+: (819547031): user=waasx
Jul  5 07:08:32.485: AAA/AUTHOR/TAC+: (819547031): send AV service=shell
Jul  5 07:08:32.485: AAA/AUTHOR/TAC+: (819547031): send AV cmd=show
Jul  5 07:08:32.485: AAA/AUTHOR/TAC+: (819547031): send AV cmd-arg=inventory
Jul  5 07:08:32.485: AAA/AUTHOR/TAC+: (819547031): send AV cmd-arg=
Jul  5 07:08:32.685: AAA/AUTHOR (819547031): Post authorization status = FAIL
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Neil Armstrong
    Ingeniero de Cisco TAC

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos