|
ACS简介 思科安全访问控制服务器(Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 VPN。Cisco Secure ACS 是思科网络准入控制的关键组件。 适用场合: 集中控制用户通过有线或者无线连接登录网络 设置每个网络用户的权限 记录记帐信息,包括安全审查或者用户记帐 设置每个配置管理员的访问权限和控制指令 用于 Aironet 密钥重设置的虚拟 VSA 安全的服务器权限和加密 通过动态端口分配简化防火墙接入和控制 统一的用户AAA服务 AAA简介 AAA系统的简称: 认证(Authentication):验证用户的身份与可使用的网络服务; 授权(Authorization):依据认证结果开放网络服务给用户; 计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。 另外还有 HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。HWTACACS是华为对TACACS进行了扩展的协议 HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过“客户端-服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。 HWTACACS与RADIUS的不同在于: 1. RADIUS基于UDP协议,而HWTACACS基于TCP协议。 2.RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。 3.RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。 认证方案与认证模式 AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。 组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。 当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local none。 认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。 授权方案与授权模式 AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。 组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。 当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-mode hwtacacs local none 授权模式在授权方案视图下配置。当新建一个授权方案时,缺省使用本地授权。 RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。 计费方案与计费模式 AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。 实验一: 实验目的:某公司内部网络采用统一式管理,将所有设备的帐号和密码的认证任务统一交给Radius服务器(ACS),这样方便管理员管理设备。我们分别使用telnet方式和dot1x方式进行验证。
拓扑图:
实验步骤:
一、Radius认证服务器配置 1.安装ACS服务器 需要注意的是安装ACS服务器需要JDK环境。 安装acs之前,我们首先要安装jdk,找到jdk的安装程序,直接点击默认安装就可以了。
安装完jdk后,开始安装acs,打开autorun.exe,开始安装,安装后的程序管理页面如下图所示
因为此程序为cisco私有,而我们用的设备是华为设备,所以我们需要导入华为的私有属性
导入步骤如下:
编写h3c.ini文件(以下即为文件内容)[User Defined Vendor]
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
Profile=IN OUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
将编译好的华为的配置设置文件夹考到硬盘中,找到acs的安装目录下的bin文件夹,复制其 路径,打开命令提示符,进入该路径下,输入CSUtil.exe -addUDV 0 私有属性目录(c:\h3c.ini),回车
导入华为私有属性成功。
配置aaa客户端
AAA客户端和服务器端配置完成
进入interface configuration
创建组
点击group setup按钮,创建一个组
编辑
设置为这个组的用户都可以使用华为的私有属性,并且每个组成员都是管理员。
创建用户
点击user setup 按钮,创建一个名为test1的用户,加入group1
在华为交换机上配置radius认证:
radius scheme xxx primary authentication 192.168.100.10 key authentication 123456 accounting optional server-type standard user-name-format without-domain quit domain h3c radius-scheme xxx access-limit enable 10 accounting optional authentication radius-scheme xxx state active quit user-interface vty 0 4 authentication-mode scheme accounting commands scheme quit super password simple 456
客户端 telnet测试:
客户端dot1x测试:
| 
QQ群⑧:
窥视卡
雷达卡
发表于 2012-8-27 08:52:38
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡