?

ACS簡(jiǎn)介 思科安全訪問(wèn)控制服務(wù)器（Cisco Secure Access Control Sever）是一個(gè)高度可擴(kuò)展、高性能的訪問(wèn)控制服務(wù)器，提供了全面的身份識(shí)別網(wǎng)絡(luò)解決方案，是思科基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)架構(gòu)的重要組件。Cisco Secure ACS通過(guò)在一個(gè)集中身份識(shí)別聯(lián)網(wǎng)框架中將身份驗(yàn)證、用戶或管理員接入及策略控制相結(jié)合，強(qiáng)化了接入安全性。這使企業(yè)網(wǎng)絡(luò)能具有更高靈活性和移動(dòng)性，更為安全且提高用戶生產(chǎn)率。Cisco Secure ACS 支持范圍廣泛的接入連接類型，包括有線和無(wú)線局域網(wǎng)、撥號(hào)、寬帶、內(nèi)容、存儲(chǔ)、VoIP、防火墻和 ×××。Cisco Secure ACS 是思科網(wǎng)絡(luò)準(zhǔn)入控制的關(guān)鍵組件。 適用場(chǎng)合： 1.集中控制用戶通過(guò)有線或者無(wú)線連接登錄網(wǎng)絡(luò) 2.設(shè)置每個(gè)網(wǎng)絡(luò)用戶的權(quán)限 3.記錄記帳信息，包括安全審查或者用戶記帳 4.設(shè)置每個(gè)配置管理員的訪問(wèn)權(quán)限和控制指令 5.用于 Aironet 密鑰重設(shè)置的虛擬 VSA 6.安全的服務(wù)器權(quán)限和加密 7.通過(guò)動(dòng)態(tài)端口分配簡(jiǎn)化防火墻接入和控制 8.統(tǒng)一的用戶AAA服務(wù) AAA簡(jiǎn)介 AAA系統(tǒng)的簡(jiǎn)稱： 認(rèn)證(Authentication)：驗(yàn)證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù)； 授權(quán)(Authorization)：依據(jù)認(rèn)證結(jié)果開(kāi)放網(wǎng)絡(luò)服務(wù)給用戶； 計(jì)帳(Accounting)：記錄用戶對(duì)各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計(jì)費(fèi)系統(tǒng)。 AAA-----身份驗(yàn)證 (Authentication)、授權(quán) (Authorization)和統(tǒng)計(jì) (Accounting)Cisco開(kāi)發(fā)的一個(gè)提供網(wǎng)絡(luò)安全的系統(tǒng)。奏見(jiàn)authentication。authorization和accounting 常用的AAA協(xié)議是Radius。 另外還有 HWTACACS協(xié)議（Huawei Terminal Access Controller Access Control System）協(xié)議。HWTACACS是華為對(duì)TACACS進(jìn)行了擴(kuò)展的協(xié)議 HWTACACS是在TACACS（RFC1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)的一種安全協(xié)議。該協(xié)議與RADIUS協(xié)議類似，主要是通過(guò)“客戶端－服務(wù)器”模式與HWTACACS服務(wù)器通信來(lái)實(shí)現(xiàn)多種用戶的AAA功能。 HWTACACS與RADIUS的不同在于： l RADIUS基于UDP協(xié)議，而HWTACACS基于TCP協(xié)議。 l RADIUS的認(rèn)證和授權(quán)綁定在一起，而HWTACACS的認(rèn)證和授權(quán)是獨(dú)立的。 l RADIUS只對(duì)用戶的密碼進(jìn)行加密，HWTACACS可以對(duì)整個(gè)報(bào)文進(jìn)行加密。 認(rèn)證方案與認(rèn)證模式 AAA支持本地認(rèn)證、不認(rèn)證、RADIUS認(rèn)證和HWTACACS認(rèn)證四種認(rèn)證模式，并允許組合使用。 組合認(rèn)證模式是有先后順序的。例如，authentication-mode radius local表示先使用RADIUS認(rèn)證，RADIUS認(rèn)證沒(méi)有響應(yīng)再使用本地認(rèn)證。 當(dāng)組合認(rèn)證模式使用不認(rèn)證時(shí)，不認(rèn)證（none）必須放在最后。例如：authentication-mode radius local none。 認(rèn)證模式在認(rèn)證方案視圖下配置。當(dāng)新建一個(gè)認(rèn)證方案時(shí)，缺省使用本地認(rèn)證。 授權(quán)方案與授權(quán)模式 AAA支持本地授權(quán)、直接授權(quán)、if-authenticated授權(quán)和HWTACACS授權(quán)四種授權(quán)模式，并允許組合使用。 組合授權(quán)模式有先后順序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授權(quán)，HWTACACS授權(quán)沒(méi)有響應(yīng)再使用本地授權(quán)。 當(dāng)組合授權(quán)模式使用直接授權(quán)的時(shí)候，直接授權(quán)必須在最后。例如：authorization-mode hwtacacs local none 授權(quán)模式在授權(quán)方案視圖下配置。當(dāng)新建一個(gè)授權(quán)方案時(shí)，缺省使用本地授權(quán)。 RADIUS的認(rèn)證和授權(quán)是綁定在一起的，所以不存在RADIUS授權(quán)模式。 計(jì)費(fèi)方案與計(jì)費(fèi)模式 AAA支持六種計(jì)費(fèi)模式：本地計(jì)費(fèi)、不計(jì)費(fèi)、RADIUS計(jì)費(fèi)、HWTACACS計(jì)費(fèi)、同時(shí)RADIUS、本地計(jì)費(fèi)以及同時(shí)HWTACACS、本地計(jì)費(fèi)。 實(shí)驗(yàn)拓?fù)鋱D：

?

?

安裝ACS，安裝ACS需要JDK環(huán)境，所以先安裝JDK。安裝成功之后，查看端口，并華為的私有協(xié)議導(dǎo)入ACS中

?

?

配置ACS

?

?

?

?

?

?

?

?

?

?

?

?

一．交換機(jī)相關(guān)配置如下： radius scheme xxx //新建一個(gè)radius 方案 server-type huawei //服務(wù)器類型 huawei primary authentication 192.168.101.201 //主服務(wù)器地址 accounting optional //計(jì)費(fèi)可選 key authentication 123456 //驗(yàn)證密鑰 user-name-format without-domain //用戶名格式 domain tec //新建域 scheme radius-scheme xxx //引入radius方案 access-limit enable 10 //設(shè)置登錄人數(shù) 端口認(rèn)證： [Quidway]dot1x 802.1X is enabled globally. [Quidway]int e1/0/5 [Quidway-Ethernet1/0/5]dot1x 802.1X is enabled on port Ethernet1/0/5.

?

?

二．路由器相關(guān)配置： interface Ethernet0 ip address 192.168.101.15 255.255.255.0 interface Ethernet1 ip address 192.168.10.5 255.255.255.0 radius server 192.168.101.201 //服務(wù)器地址 radius shared-key 123456 //密鑰 aaa-enable aaa authentication-scheme login default radius none //默認(rèn)登錄認(rèn)證方式 aaa accounting-scheme optional

ACS相關(guān)配置

?

?

三．防火墻相關(guān)配置 [H3C]dis cu
domain default enable tec //將域tec設(shè)置為默認(rèn)域
firewall packet-filter enable
firewall packet-filter default permit firewall statistic system enable
radius scheme h3c //radius方案
server-type extended // 服務(wù)器類型
primary authentication 192.168.101.201 //主服務(wù)器的地址
accounting optional
key authentication 123456 //密鑰
user-name-format without-domain

domain tec //新建域 tec
scheme radius-scheme h3c //引入radius方案
access-limit enable 100
local-user user1
password simple 123
service-type ssh telnet
level 3 interface Ethernet0/0 //接口配置
ip address 192.168.101.20 255.255.255.0
interface Ethernet0/1
ip address 192.168.10.10 255.255.255.0 firewall zone trust //把端口加入zone
add interface Ethernet0/0
add interface Ethernet0/1 user-interface vty 0 4
authentication-mode scheme ACS相關(guān)配置

?

?

注：該實(shí)驗(yàn)交換機(jī)，路由器，防火墻都是華為設(shè)備。

轉(zhuǎn)載于:https://blog.51cto.com/sunentao/976616

總結(jié)

以上是生活随笔為你收集整理的利用ACS来实现AAA服务的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。