CISCO ACS+H3C 交换机 实现验证 在企业网中的应用

宇文氏

　　H3C设备与cisco ACS配合实现AAA验证：
　　1.在windows server 2003上安装ACS
　　2.向ciscoACS中添加华为设备扩展文件
　　3.配置ACS
　　4.交换机额radius配置
　　5.telnet方式下配置cisco ACS
　　1.安装ACS
　　软件环境：
　　1.web浏览器
　　2.java虚拟机
　　3.ACS客户端
　　2.向ciscoACS中添加华为设备扩展文件
　　创建myvsa.ini 文件
　　内容如下：
　　[User Defined Vendor]
　　Name=Huawei
　　IETF Code=2011
　　VSA 29=hw_Exec_Privilege
　　[hw_Exec_Privilege]
　　Type=INTEGER
　　Profile=IN OUT
　　Enums=Encryption-Types
　　[Encryption-Types]
　　0=0
　　1=1
　　2=2
　　3=3
　　保存在C盘下
　　通过命令行提示符方式，使用DOS 命令进入该文件夹
　　通过如下命令，将myvsa.ini 文件导入ACS    内容如下：
　　C:\Program Files\CiscoSecure ACS v4.2\bin>CSUtil.exe -addUDV 0 c:\myvsa.ini
　　CSUtil v4.2(0.124), Copyright 1997-2008, Cisco Systems Inc
　　Adding or removing vendors requires ACS services to be re-started.
　　Please make sure regedit is not running as it can prevent registry
　　backup/restore operations
　　Are you sure you want to proceed? (Y or N)y
　　Parsing [c:\myvsa.ini] for addition at UDV slot [0]
　　Stopping any running services
　　Creating backup of current config
　　Adding Vendor [Huawei] added as [RADIUS (Huawei)]
　　Adding VSA [hw_Exec_Privilege]
　　Done
　　Checking new configuration...
　　New configuration OK
　　Re-starting stopped services
　　C:\Program Files\CiscoSecure ACS v4.2\bin>CSUtil.exe -listUDV
　　CSUtil v4.2(0.124), Copyright 1997-2008, Cisco Systems Inc
　　UDV 0 - RADIUS (Huawei)
　　UDV 1 - Unassigned
　　UDV 2 - Unassigned
　　UDV 3 - Unassigned
　　UDV 4 - Unassigned
　　UDV 5 - Unassigned
　　UDV 6 - Unassigned
　　UDV 7 - Unassigned
　　UDV 8 - Unassigned
　　UDV 9 - Unassigned
　　如果使用CSUtil.exe -listUDV 命令，能看到“Radius（Huawei）”属性，
　　则说明已经将华为扩展属性成功导入ACS。
　　3.配置ACS

　　（1）配置AAA client

　　AAA Client Hostname：AAA 客户端设备名。
　　AAA Client IP Address：AAA 客户端设备的IP 地址。该地址必须与设备送
　　到ACS 上的认证报文所带的源IP 地址相同。
　　Key：Radius 客户端与服务器端的加密密钥。只有在密钥一致的情况下，双
　　方才能彼此接受对方发来的报文，并作出响应。
　　Authenticate Using：认证方式。此处选择新添加的Radius（Huawei）属
　　性。
　　配置完成后，点击“Sumbit＋Restart”按钮，使配置生效。
　　（2）配置interface
　　在Interface Configuration 界面，选中新添加的华为扩展属性，使其出现
　　在 Group（组）编辑界面。

　　（3）配置Group
　　在Group Setup 中的Radius （ IETF ） 栏， 选择服务类型为Login，
　　Login-Service 为Telnet；同时，在Radius（Huawei）栏，为该Group 选择相
　　应的华为设备操作权限，有0－3 级四种（

　　（4） 添加User
　　在User Setup 中新建用户名，并设置密码，然后将其归类到不同的Group
　　中，从而使其在Telnet 到华为设备上，拥有对应的操作权限
　　注意：用户要求ACS的3A认证 可用时，本地认证不能够使用，只有ACS失效时，
　　才能启用本地认证通过在SYSTEM域下配置相关参数并配置“scheme
　　radius-scheme（hwtacas－scheme） icbcxj local”屏蔽system 默认配置，
　　可以实现客户要求。

　　4.交换机的配置radius配置
　　二.TACACS 方式下配置CISCO ACS
　　（1） 配置AAA Client
　　在Network Configuration 中新建一个AAA Client（或使用原有的），AAA
　　Client 的IP 地址，密码一定要配置正确，同时认证类型选择TACACS＋。
　　（2） 配置或检查一下AAA server 的配置
　　AAA server 的类型选择成CiscoSecure ACS 和TACACS+都可以。
　　（3）配置Interface Configuration
　　选择Interface Configuration 中的TACACS+（Cisco IOS）进行TACACS+
　　的相关属性配置，选择PPP IP 和Sell（exec）就行了。
　　（4）配置用户组的相关属性
　　按照下图所示配置用户组中的TACACS+选项，一定要选择PPP IP 、
　　Shell(exec)，并且对Privilege Level 进行设置一般设置为3，也可以设置为0、
　　1、 2 对应我们设备的用户操作级别，如果不设置则无法登录。
　　（5） 添加User
　　在User Setup 中新建用户名，并设置密码，然后将其归类到不同的Group
　　中，从而使其在Telnet 到华为设备上，拥有对应的操作权限。
　　（6）TACACS 认证交换机配置：