?

ACS簡介 思科安全訪問控制服務器（Cisco Secure Access Control Sever）是一個高度可擴展、高性能的訪問控制服務器，提供了全面的身份識別網絡解決方案，是思科基于身份的網絡服務(IBNS)架構的重要組件。Cisco Secure ACS通過在一個集中身份識別聯網框架中將身份驗證、用戶或管理員接入及策略控制相結合，強化了接入安全性。這使企業網絡能具有更高靈活性和移動性，更為安全且提高用戶生產率。Cisco Secure ACS 支持范圍廣泛的接入連接類型，包括有線和無線局域網、撥號、寬帶、內容、存儲、VoIP、防火墻和 ×××。Cisco Secure ACS 是思科網絡準入控制的關鍵組件。 適用場合： 1.集中控制用戶通過有線或者無線連接登錄網絡 2.設置每個網絡用戶的權限 3.記錄記帳信息，包括安全審查或者用戶記帳 4.設置每個配置管理員的訪問權限和控制指令 5.用于 Aironet 密鑰重設置的虛擬 VSA 6.安全的服務器權限和加密 7.通過動態端口分配簡化防火墻接入和控制 8.統一的用戶AAA服務 AAA簡介 AAA系統的簡稱： 認證(Authentication)：驗證用戶的身份與可使用的網絡服務； 授權(Authorization)：依據認證結果開放網絡服務給用戶； 計帳(Accounting)：記錄用戶對各種網絡服務的用量，并提供給計費系統。 AAA-----身份驗證 (Authentication)、授權 (Authorization)和統計 (Accounting)Cisco開發的一個提供網絡安全的系統。奏見authentication。authorization和accounting 常用的AAA協議是Radius。 另外還有 HWTACACS協議（Huawei Terminal Access Controller Access Control System）協議。HWTACACS是華為對TACACS進行了擴展的協議 HWTACACS是在TACACS（RFC1492）基礎上進行了功能增強的一種安全協議。該協議與RADIUS協議類似，主要是通過“客戶端－服務器”模式與HWTACACS服務器通信來實現多種用戶的AAA功能。 HWTACACS與RADIUS的不同在于： l RADIUS基于UDP協議，而HWTACACS基于TCP協議。 l RADIUS的認證和授權綁定在一起，而HWTACACS的認證和授權是獨立的。 l RADIUS只對用戶的密碼進行加密，HWTACACS可以對整個報文進行加密。 認證方案與認證模式 AAA支持本地認證、不認證、RADIUS認證和HWTACACS認證四種認證模式，并允許組合使用。 組合認證模式是有先后順序的。例如，authentication-mode radius local表示先使用RADIUS認證，RADIUS認證沒有響應再使用本地認證。 當組合認證模式使用不認證時，不認證（none）必須放在最后。例如：authentication-mode radius local none。 認證模式在認證方案視圖下配置。當新建一個認證方案時，缺省使用本地認證。 授權方案與授權模式 AAA支持本地授權、直接授權、if-authenticated授權和HWTACACS授權四種授權模式，并允許組合使用。 組合授權模式有先后順序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授權，HWTACACS授權沒有響應再使用本地授權。 當組合授權模式使用直接授權的時候，直接授權必須在最后。例如：authorization-mode hwtacacs local none 授權模式在授權方案視圖下配置。當新建一個授權方案時，缺省使用本地授權。 RADIUS的認證和授權是綁定在一起的，所以不存在RADIUS授權模式。 計費方案與計費模式 AAA支持六種計費模式：本地計費、不計費、RADIUS計費、HWTACACS計費、同時RADIUS、本地計費以及同時HWTACACS、本地計費。 實驗拓撲圖：

?

?

安裝ACS，安裝ACS需要JDK環境，所以先安裝JDK。安裝成功之后，查看端口，并華為的私有協議導入ACS中

?

?

配置ACS

?

?

?

?

?

?

?

?

?

?

?

?

一．交換機相關配置如下： radius scheme xxx //新建一個radius 方案 server-type huawei //服務器類型 huawei primary authentication 192.168.101.201 //主服務器地址 accounting optional //計費可選 key authentication 123456 //驗證密鑰 user-name-format without-domain //用戶名格式 domain tec //新建域 scheme radius-scheme xxx //引入radius方案 access-limit enable 10 //設置登錄人數 端口認證： [Quidway]dot1x 802.1X is enabled globally. [Quidway]int e1/0/5 [Quidway-Ethernet1/0/5]dot1x 802.1X is enabled on port Ethernet1/0/5.

?

?

二．路由器相關配置： interface Ethernet0 ip address 192.168.101.15 255.255.255.0 interface Ethernet1 ip address 192.168.10.5 255.255.255.0 radius server 192.168.101.201 //服務器地址 radius shared-key 123456 //密鑰 aaa-enable aaa authentication-scheme login default radius none //默認登錄認證方式 aaa accounting-scheme optional

ACS相關配置

?

?

三．防火墻相關配置 [H3C]dis cu
domain default enable tec //將域tec設置為默認域
firewall packet-filter enable
firewall packet-filter default permit firewall statistic system enable
radius scheme h3c //radius方案
server-type extended // 服務器類型
primary authentication 192.168.101.201 //主服務器的地址
accounting optional
key authentication 123456 //密鑰
user-name-format without-domain

domain tec //新建域 tec
scheme radius-scheme h3c //引入radius方案
access-limit enable 100
local-user user1
password simple 123
service-type ssh telnet
level 3 interface Ethernet0/0 //接口配置
ip address 192.168.101.20 255.255.255.0
interface Ethernet0/1
ip address 192.168.10.10 255.255.255.0 firewall zone trust //把端口加入zone
add interface Ethernet0/0
add interface Ethernet0/1 user-interface vty 0 4
authentication-mode scheme ACS相關配置

?

?

注：該實驗交換機，路由器，防火墻都是華為設備。

轉載于:https://blog.51cto.com/sunentao/976616

總結

以上是生活随笔為你收集整理的利用ACS来实现AAA服务的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。