Skip to content

Настройка учета действий (Accounting)

Описание и назначение функции

Учет действий (accounting) регистрирует все команды и сеансы пользователей на коммутаторе, отправляя записи на внешний TACACS+ сервер. Функция работает независимо от аутентификации и авторизации, обеспечивая полный аудит действий администраторов в сети.

Основные сценарии использования:

  • Аудит действий администраторов и регистрация всех выполненных команд
  • Соблюдение требований политик информационной безопасности
  • Расследование инцидентов и анализ последовательности действий
  • Контроль использования привилегированных команд в продуктивной среде

Учет рекомендуется включать на всех управляемых устройствах для обеспечения прозрачности администрирования.

Необходимые условия и предварительные требования

Для настройки учета действий требуется:

  • Доступность TACACS+ сервера по сети (проверка командой ping)
  • Настроенный TACACS+ сервер с общим секретным ключом (shared secret)
  • Версия ПО: v1.0.2 и выше (серия CIT L3200)
  • Наличие привилегий уровня 15 для конфигурирования
  • Предварительная настройка TACACS+ сервера и группы серверов
  • Настроенные методы аутентификации и авторизации (при использовании совместно с учетом)

Примечание: Учет действий может работать независимо от аутентификации и авторизации, но обычно применяется в составе полной AAA конфигурации.

Назначение команд конфигурации

Команда Режим Назначение
tacacs-server [NAME] ip-address [IP] key [SECRET] AAA config Создает TACACS+ сервер с IP-адресом и общим ключом
tacacs-server [NAME] src-ip [IP] AAA config Указывает источник IP для связи с TACACS+ сервером
server-group [GROUP] tacacs-server [NAME] AAA config Объединяет серверы в группу для централизованного управления
aaa accounting login method [NAME] server-group [GROUP] AAA config Создает метод учета сеансов входа в систему
login accounting aaa method [NAME] Line config Применяет метод учета к линиям VTY

Команды обеспечивают регистрацию всех сеансов и команд на внешнем TACACS+ сервере для последующего аудита.

Пример конфигурирования

Пошаговые инструкции

Шаг 1: Проверка связности с TACACS+ сервером

Switch>ping 192.168.100.99
Reply from 192.168.100.99: bytes=64 time<1ms TTL=64

Убедитесь в доступности сервера перед настройкой.

Шаг 2: Вход в режим конфигурации AAA

Switch>configure
Switch(config)#aaa
Switch(config-aaa)#

Все команды AAA выполняются в специальном подрежиме config-aaa.

Шаг 3: Настройка TACACS+ сервера

Switch(config-aaa)#tacacs-server TAC1 ip-address 192.168.100.99 key labSharedSecret port 49 single-connection enable
Switch(config-aaa)#tacacs-server TAC1 src-ip 192.168.100.254
Switch(config-aaa)#tacacs-server timeout 5

Команда создает сервер TAC1, устанавливает ключ и включает режим постоянного соединения. Опция single-connection enable позволяет использовать одно TCP-соединение для нескольких сеансов.

Шаг 4: Создание группы серверов

Switch(config-aaa)#server-group TACGRP tacacs-server TAC1

Группа позволяет использовать несколько серверов для отказоустойчивости.

Шаг 5: Создание метода учета

Switch(config-aaa)#aaa accounting login method ACCT_TAC server-group TACGRP

Метод определяет, что учет сеансов входа выполняется через группу TACGRP.

Шаг 6: Применение метода к линиям VTY

Switch(config-aaa)#exit
Switch(config)#line vty 1 32
Switch(config-line)#login accounting aaa method ACCT_TAC

Учет активируется на линиях VTY для удаленных подключений по SSH/Telnet.

Шаг 7: Включение SSH (опционально)

Switch(config-line)#exit
Switch(config)#sshd

Запуск SSH-сервера для безопасного удаленного доступа.

Полный вывод выполненных конфигураций

Команды для copy-paste в режиме privileged EXEC:

configure
aaa
tacacs-server timeout 5
tacacs-server TAC1 ip-address 192.168.100.99 key labSharedSecret port 49 single-connection enable
tacacs-server TAC1 src-ip 192.168.100.254
server-group TACGRP tacacs-server TAC1
aaa accounting login method ACCT_TAC server-group TACGRP
exit
line vty 1 32
login accounting aaa method ACCT_TAC
exit
sshd
end

Вывод show running-config (релевантная секция):

!
aaa
 tacacs-server timeout 5
 tacacs-server TAC1 ip-address 192.168.100.99 key $9$3751$...
 tacacs-server TAC1 single-connection enable
 tacacs-server TAC1 src-ip 192.168.100.254
 server-group TACGRP tacacs-server TAC1
 aaa accounting login method ACCT_TAC server-group TACGRP
!
line vty 1 32
 login accounting aaa method ACCT_TAC
!

Изучение состояния устройства

Просмотр конфигурации

Проверка статуса TACACS+ сервера:

Switch#show aaa tacacs-server TAC1 statistic
Server Name                           : TAC1
Server IP Address                     : 192.168.100.99
Server Port                           : 49
Socket Opens                        : 0
Socket Closes                       : 0
Socket Errors                       : 0          <---- должно быть 0
Socket Timeouts                     : 0          <---- должно быть 0
Total Packets Sent                  : 0
Total Packets Recv                  : 0

Обратите внимание на параметры:

  • Socket Errors и Socket Timeouts — должны быть 0 при нормальной работе
  • Total Packets Sent/Recv — увеличиваются при обмене с сервером

Просмотр параметров работы

Проверка группы серверов:

Switch#show aaa server-group
Server-group Name                  : TACGRP
Server-group Protocol Type       : tacacs
Primary Server                   : TAC1(192.168.100.99:49)
Current Active Server            : TAC1(192.168.100.99:49)    <---- активный сервер

Проверка методов учета:

Switch#show aaa method
Method Name                        : ACCT_TAC
Method Apply Type                : login
Method Apply Funtion             : accounting        <---- тип функции
Method Local                     : disable
Method None                      : disable
Method Group List                : TACGRP

Просмотр записей учета на TACACS+ сервере

На стороне TACACS+ сервера (tac_plus):

# tail -f /var/log/tacacs/tac_plus.acct
Jan 8 08:31:26 192.168.100.254 labuser unknown 192.168.100.99 start service=shell priv_lvl=15
Jan 8 08:31:36 192.168.100.254 labuser unknown 192.168.100.99 update cmd=show aaa
Jan 8 08:31:40 192.168.100.254 labuser unknown 192.168.100.99 update cmd=configure
Jan 8 08:32:11 192.168.100.254 labuser unknown 192.168.100.99 stop service=shell

Записи содержат:

  • Временную метку действия
  • IP-адрес коммутатора (192.168.100.254)
  • Имя пользователя (labuser)
  • Выполненные команды и время сеанса

Рекомендации выполнения команд и настроек

  1. Безопасность ключей
    • Используйте сложные ключи длиной не менее 16 символов
    • Никогда не используйте ключи по умолчанию в продуктивной среде
    • Периодически ротируйте ключи согласно политике безопасности
  2. Отказоустойчивость
    • Настройте несколько TACACS+ серверов в группе для резервирования
    • Установите адекватный timeout (5-10 секунд) для предотвращения зависания сеансов
    • Протестируйте поведение при недоступности всех серверов
  3. Мониторинг записей
    • Регулярно проверяйте записи учета на TACACS+ сервере
    • Настройте ротацию и архивирование файлов accounting для предотвращения переполнения диска
    • Используйте систему анализа журналов (SIEM) для автоматического обнаружения аномалий
  4. Производительность
    • Включайте single-connection enable для снижения нагрузки на установку TCP-соединений
    • Учитывайте, что учет каждой команды генерирует сетевой трафик к серверу
  5. Тестирование
    • Проверьте доступность TACACS+ сервера командой ping перед настройкой
    • Выполните тестовый вход после настройки и проверьте наличие записей на сервере
    • Сохраните конфигурацию командой write memory после успешного тестирования

История возникновения команды

Команды в данной главе применимы для:

  • Аппаратных платформ CIT серии L3200 с установленной версией ПО v1.0.2 и выше
  • Являются актуальными с версии ПО v1.0.2

Функция учета действий реализована в соответствии со спецификацией TACACS+.

Ссылка на внешнюю документацию

RFC 8907 "The Terminal Access Controller Access-Control System Plus (TACACS+) Protocol" определяет архитектуру и протокол работы системы учета. При возникновении вопросов обратитесь к технической поддержке.