ACS介紹

思科安全訪問控制服務(wù)器（Cisco Secure Access Control Server）是一個高度可擴展、高性能的訪問控制服務(wù)器，提供了全面的身份識別網(wǎng)絡(luò)解決方案，是思科基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)架構(gòu)的重要組件。Cisco Secure ACS通過在一個集中身份識別聯(lián)網(wǎng)框架中將身份驗證、用戶或管理員接入及策略控制相結(jié)合，強化了接入安全性。這使企業(yè)網(wǎng)絡(luò)能具有更高靈活性和移動性，更為安全且提高用戶生產(chǎn)率。Cisco Secure ACS 支持范圍廣泛的接入連接類型，包括有線和無線局域網(wǎng)、撥號、寬帶、內(nèi)容、存儲、VoIP、防火墻和 VPN。Cisco Secure ACS 是思科網(wǎng)絡(luò)準入控制的關(guān)鍵組件。（以上來自百度百科）

ACS安裝

我這里是在Vmware上安裝的ACS，安裝步驟請自行百度。這里不再贅述。（當然如果不會可以留言，我發(fā)安裝步驟的鏈接）

ACS AAA認證

好嘞，廢話不多說開始！
這里以Cisco設(shè)備配合ACS做Tacacs+認證，包含認證、授權(quán)、計費的詳細信息。

1、上拓撲

2、在AAA-Client上配置接口IP地址以及AAA

AAA-Client(config)#interface ethernet 0/0
AAA-Client(config-if)#no shutdown 
AAA-Client(config-if)#ip address dhcp
AAA-Client(config-if)#exit
AAA-Client(config)#interface ethernet 0/1
AAA-Client(config-if)#no shutdown 
AAA-Client(config-if)#ip address 12.1.1.1 255.255.255.0
AAA-Client(config-if)#exit

AAA-Client(config)#aaa new-model
AAA-Client(config)#aaa authentication login default group tacacs+      //創(chuàng)建一個登陸AAA認證默認模板，tacacs+認證方式
AAA-Client(config)#aaa authentication enable default group tacacs+      //創(chuàng)建一個默認enable AAA認證模板，tacacs+認證方式
AAA-Client(config)#aaa authorization exec alex group tacacs+      //創(chuàng)建一個exec AAA授權(quán)模板名字為alex，tacacs+認證方式
AAA-Client(config)#aaa accounting commands 15 alex start-stop group tacacs+  //創(chuàng)建一個記賬模板，記錄15級用戶的commands使用tacacs+認證方式

AAA-Client(config)#line vty 1 4                //進入vty配置模式
AAA-Client(config-line)#transport input all    //開啟遠程登陸
AAA-Client(config-line)#login authentication default   //調(diào)用認證方式
AAA-Client(config-line)#authorization exec alex    //調(diào)用授權(quán)方式 
AAA-Client(config-line)#accounting commands 15 alex   //調(diào)用記賬方式

AAA-Client(config)#tacacs-server host 172.16.30.206    //指定AAA服務(wù)器
AAA-Client(config)#tacacs-server key 0 Aa123456   //配置預(yù)共享密鑰

3、在R1上配置IP地址，并測試與AAA-Client之間的連通性

R1(config)#interface ethernet 0/1
R1(config-if)#no shutdown 
R1(config-if)#ip address 12.1.1.2 255.255.255.0
R1(config-if)#end

R1#ping 12.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 12.1.1.1, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
R1#

4、在AAA-Client上測試與ACS之間的連通性

AAA-Client#ping 172.16.30.207
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.30.207, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms
AAA-Client#

5、在ACS上添加AAA-Client，設(shè)置Tacacs+認證以及預(yù)共享密鑰

點擊左下角提交即可

6、在ACS上添加用戶，并設(shè)置enable密碼

點擊左下角提交即可

7、在ACS上配置等級3，等級10，等級15，三個模板

點擊左下角提交即可（等級10，等級15類似，這里不再贅述）
在Command sets選項中可以針對用戶下發(fā)某些可以執(zhí)行的命令操作。

8、在ACS上配置授權(quán)模板

ACS會默認存在兩條Rule，我們只需要注意TacacsRule對應(yīng) Default Device Admin，然后我們?nèi)?chuàng)建我們的授權(quán)（ACS會存在一條默認的允許通過的授權(quán)）

10、在ACS上查看日志信息

10、使用權(quán)限10測試

修改第八步，調(diào)用Exec-10

11、在R1上telnet AAA-Client測試

12、在ACS上查看日志信息

13、Exec-10這里不再贅述

14、在R1上敲隨便N條命令

15、在ACS上查看審計信息

至此，Tacacs+認證、授權(quán)、審計操作完成。

報文可以點此鏈接自行獲取，從認證到審計。
文檔：AAA.note
鏈接：點擊跳轉(zhuǎn)

總結(jié)

以上是生活随笔為你收集整理的Cisco ACS AAA认证(Networking)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。