利用ACS实现AAA服务

ACS概述

ACS：思科安全访问控制服务器（Cisco Secure Access Control Sever），它是一个高度可扩展、高性能的访问控制服务器，提供了全面的身份识别网络解决方案，是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合，强化了接入安全性。这使企业网络能具有更高灵活性和移动性，更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型，包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××。Cisco Secure ACS 是思科网络准入控制的关键组件。

AAA概述

AAA系统的简称：
　　认证(Authentication)：验证用户的身份与可使用的网络服务；
　　授权(Authorization)：依据认证结果开放网络服务给用户；
　　计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。
　　AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting
　　常用的AAA协议是Radius。
　　另外还有 HWTACACS协议（Huawei Terminal Access Controller Access Control System）协议。HWTACACS是华为对TACACS进行了扩展的协议

案例

实验目的：通过ACS配置AAA服务器实现对客户端(交换机、路由器、防火墙)telnet、端口访问的安全认证。

实验步骤：

1.配置AAA服务器地址

 

2.安装acs服务器

 

3.把华为的私有协议导入ACS中

 

4.针对交换机客户端在acs服务器上配置AAA服务

4.1

 

4.2

 

4.3

 

4.4

 

4.5

 

4.6

 

5.交换机配置

基于telnet认证

radius scheme xxx                                //radius 方案 
primary authentication 192.168.2.0100  //主验证服务器
server-type huawei
key authentication 123456                  //验证沟通密钥
user-name-format without-domain     //不带域名验证
domain tec                                       //新建域
scheme radius-scheme xxx              //引入radius方案
accounting optional                       //审计服务器可选
access-limit enable 10                 //限制用户

测试

 

基于端口认证

[Quidway]dot1x
[Quidway]int e1/0/24
[Quidway-Ethernet1/0/24]dot1x

测试

6.新增加一用户

路由器配置

interface Ethernet0
ip address 192.168.20.15 255.255.255.0
interface Ethernet1
ip address 192.168.2.5 255.255.255.0
radius server 192.168.20.100
radius shared-key 123456
aaa-enable
aaa authentication-scheme login default radius none
aaa accounting-scheme optional

测试

 

7.防火墙配置

domain default enable tec 
firewall packet-filter enable
firewall packet-filter default permit 
firewall statistic system enable
radius scheme h3c 
server-type extended 
primary authentication 192.168.20.100
accounting optional
key authentication 123456    
user-name-format without-domain
domain tec      
scheme radius-scheme h3c 
access-limit enable 10                 
local-user user1
password simple 123 service-type ssh telnet level 3
interface Ethernet0/0 
ip address 192.168.20.20 255.255.255.0
interface Ethernet0/1
ip address 192.168.2.10 255.255.255.0
firewall zone trust   
add interface Ethernet0/0
add interface Ethernet0/1
user-interface vty 0 4
authentication-mode scheme

测试

转载于:https://blog.51cto.com/yz406/973815