新一篇: IPSec VPN简单配置实例(PIX506E+ACS) | 

一.  测试架构及设备配置:

1.      架构图:

2.      设备配置:   
A.Cisco Catalyst 3750-24TS交换机,Version 12.1(19)EA1d
B.一台Windows 2003 Server SP1服务器做为AD Server
C.一台Windows 2000 Server SP4服务器做为ACS Server和CA Server
D.一台Windows 2003 Server SP1工作站做为终端接入设备
E.Cisco Secure ACS for Windows version 3.3.1

 

二.  AD及CA安装:

          AD&CA安装(在此不做介绍),装CA的SERVER要在登入AD后再安装CA服务.

三.  AD配置:

1.      创建OU.

2.      在OU下建GROUP,比如:NETGroup,SYSGroup等

3.      再创建User,把对应的User加入到各自的Group中,便于管理,在ACS中也需要,在ACS配置中再介绍.

 

四.  ACS的安装与配置.

1.      ACS的安装:

A.     安装ACS的SERVER必须登入到AD中.

B.     ACS软件安装很简单,下一步下一步,到完成.

C.     还需安装Java的插件.

 

2.      ACS的配置:

A.     在ACS服务器上申请证书:在ACS服务器浏览器上键http://192.168.68.19/certsrv进入证书WEB申请页面，登录用户采用域管理用户账号.选择“Request a certificate→Advanced request→Submit a certificate request to this CA using a form”,

接下来Certificate Template处选择“Web Server”,Name:处填入“TSGNET”,Key Options:下的Key Size:填入“1024”,同时勾选“Mark keys as exportable”及“Use local machine store”两个选项,然后submit.出现安全警告时均选择“Yes”,进行到最后会有Certificate Installed的提示信息,安装即可.

 

B.     进行ACS证书的配置:进入ACS的配置接口选择System Configuration→ACS Certificate Setup→Install ACS Certificate进入如下图片,填写申请的“TSGNET” 证书,再Submit.

按提示重启ACS服务,出现如下图片即OK:

C.      配置ACS所信任的CA:

选择System Configuration→ACS Certificate Setup→Install ACS    Certificate→Edit Certificate Trust List”,选择AD Server上的根证书做为信任证书,如下图所示:

D.    重启ACS服务并进行PEAP设置:
选择“System Configuration→Global Authentication Setup”,勾选“Allow EAP-MSCHAPv2”及“Allow EAP-GTC”选项,同时勾选“Allow MS-CHAP Version 1 Authentication”&“Allow MS-CHAP Version 2 Authentication”选项,如下图所示:

 

 

E.     配置AAA Client:
选择“Network Configuration→Add Entry”,在“AAA Client”处输入交换机的主机名，“AAA Client IP Address”处输入C3750的管理IP地址,在“Key”处输入RADIUS认证密钥tsgacs,“Authenticate Using”处选择“RADIUS(IETF)”,再Submit+Restart,如下图所示:

 

  

F.      配置外部用户数据库:
选择“External User Databases→Database Configuration→Windows Database→Create New Configuration”,建一个Database的名称PCEBGIT.COM,Submit,如下图:

再选择“External User Databases→Database Configuration→Windows Database→Configure”,在Configure Domain List处将ACS Server所在的域名称移动到“Domain List”中.要注意一点ACS Server应加入到域中.如下图所示:

 

同时“Windows EAP Settings”的“Machine Authentication”下勾选“Enable PEAP machine authentication”和“Enable EAP-TLS machine authentication.EAP-TLS and PEAP machine anthentication name prefix.” 选项,其中默认的“host/”不用改动,如下图所示:

再选择“External User Databases→Unknown User Policy→Check the following external user databases”,将“External Databases”移动到右边的Selected Databases窗口中,完成后再重启服务,如下图所示:

G.    配置ACS Group Mapping:

由于使用AD的用户名作为认证,用ACS作为用户访问的授权,因此须将此ACS 中的Group与AD的Group映射.
External User Database→Database Group Mappings→PCEBGIT.COM→New Configure”,在Detected Domains中选择PCEBGIT,如下图:    

      

再Submit,确定后出现另一画面,选择PCEBGIT,如下图所示:

 

 

选择PCEBGIT→Add Mapping,如下图,把NT Groups中的Group添加到Selected中,以DBAGroup为例,这里的DBAGroup就是PCEBGIT域中的DBAGroup,添加后,再在CiscoSecure group中选择ACS的GROUP(ACS中的GROUP默认名称是Group 1…,这个名称可以更改,为便于管理给他改名为DBA),再Submit即可.

 

 

 

H.    配置Group的授权:

通过ACS的Group来配置用户访问的权限,比如访问网络中哪一个VLAN及什么时间可以访问网络等.现以不同的用户访问不同的VLAN为例.首先要在Interface Configuration→RADIUS (IETF)下勾选Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID.如下图所示:

 

 

再选择Group Setup→Group:DBA→Edit Settings, 勾选Tunnel-Type; Tunnel-Medium-Type; Tunnel-Private-Group-ID.其中Tunnel-Type设为VLAN; Tunnel-Medium-Type设为802; Tunnel-Private-Group-ID设此Group用户所要访问的VLAN号,现以68为例.如下图所示:

点Submit+Restart即可.到此ACS的配置就完成了!

 

五.  AAA Client的配置(以架构图上3750为例介绍):

1. 配置一个交换机本地的用户名/口令,