Cisco Secure ACS 数据同步配置

cxin

使用ACS作为身份验证服务器时，对ACS提出了高可用性的要求，在WLC中可以同时设置三台ACS互为热备，那么这就必然涉及到ACS服务器间数据同步的问题。　　首先配置好主ACS，确保可以完成要求的功能，然后安装备ACS，但暂时不要做任何配置。在两个ACS的 Network Configuation 的 AAA Servers 互相添加对方，就是在主ACS中添加备ACS的信息，在备ACS中添加主ACS的信息，两个的key要完全相同。
　　先配置主ACS的同步设置，在 System Configuation 中找到 ACS Internal Database Replication ，在 Replication Components 中可以设置服务器Send数据或Receive数据哪些数据，对于主ACS为Send。在 Outbound Replication 的 Scheduling 中可以设置同步的时间，在同步的时候ACS服务会暂时停止，因此尽量选择业务最空闲的时候来同步，选项 Automatically triggered cascade  最后再解释。下面的 Partners 中是设置要把数据发送给哪些ACS服务器，左侧 AAA Servers 列表里的都是在 Network Configuation 里面添加的，需要把备ACS添加到右侧栏里。
　　再来配置备ACS的同步设置，在 Replication Components 中设置Receive数据，注意的是ACS的同步是覆盖而不是合并，接受数据的ACS会覆盖掉自己的数据，哪怕自己的数据是最新的，所以应该是数据复制而不是数据同步。Outbound Replication 不要动，Inbound Replication 可以选择接受那些ACS发送来的同步数据。回到主ACS的 Database Replication Setup ，点一下 Replication Now，再回到备ACS把一些没有同步过来的地方配置好就行了。
　　两台ACS的防火墙上都需要打开TCP 2000端口传递同步数据。同步的情况和日志可以在 Reports and Activity 的 Database Replication 看到。
　　最后再来说一下 Automatically triggered cascade  。ACS可以设置多级同步，就是主ACS把数据同步给一级备份ACS，一级备份ACS再把数据同步给二级备份ACS服务器。这是一级备份ACS就应该选择 Automatically triggered cascade 这样再它接受到上级ACS服务器（主ACS）发来的同步数据后，也会触发它向下级ACS服务器（二级备份ACS）下发同步数据。