“安全访问”cisco ACS
一、 实验原理:思科安全访问控制服务器(Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ***。Cisco Secure ACS 是思科网络准入控制的关键组件。 适用场合:(1)集中控制用户通过有线或者无线连接登录网络,(2)设置每个网络用户的权限,(3)记录记帐信息,包括安全审查或者用户记帐,(4)设置每个配置管理员的访问权限和控制指令,(5)用于 Aironet 密钥重设置的虚拟 VSA,(6)安全的服务器权限和加密,(7)通过动态端口分配简化防火墙接入和控制,(8)统一的用户AAA服务。二、 实验描述: 在管理很多的交换机(这里用华为s2000系列)时需要集中式用统一账号和密码来管理,这时需要radius服务器(即cisco ACS 在windows server 2003 上安装)来登录并管理这些交换机。三、 实验拓扑:四、 详细配置:在配置acs之前需要将h3c.ini文件导入系统内h3c.ini文件:Name=HuaweiIETF Code=2011VSA 29=hw_Exec_PrivilegeType=INTEGERProfile=IN OUTEnums=hw_Exec_Privilege-Values0=Access1=Monitor2=Manager3=Administrator导入步骤如图:
1.现在windows server 2003 系统上安装cisco ACS(这里以3.2版本为例、其他版本可以再网上下载,安装方法大同小异) 具体步骤略。安装好后在里面进行配置(注意:在首次进入acs的时候有时候打开的界面是空白,这时只需要在浏览器中找到internet选项中的“安全”,将安全级别调小即可)具体步骤如下图:
(1)添加用户:
(2)设置组
注意下面勾上015
在“jump to”中选中“RADIUS(HuaWei)勾上最后一行,如下图:
(3)设置interface configuration:advanced options 全部勾上 radius (HuaWei)设置如下:
(4)network configuration:
做好acs配置,下面来进行交换机的配置: radius scheme xxxprimary authentication 192.168.100.10key authentication 123456accounting optionalserver-type standarduser-name-format without-domainquitdomain h3cradius-scheme xxx access-limit enable 10accounting optionalauthentication radius-scheme xxxstate activequituser-interface vty 0 4authentication-mode schemeaccounting commands schemequitsuper password simple 456(这一项至关重要,有些同学telnet进去无法获得管理员权限,就是因为添加这个命令)最后进行测试: 至此实验完成,更多参考资料及原理请参考互联网。
页:
[1]