ACS(思科安全访问控制服务器,Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××。Cisco Secure ACS 是思科网络准入控制的关键组件。

适用场合:

◆集中控制用户通过有线或者无线连接登录网络

◆设置每个网络用户的权限

◆记录记帐信息,包括安全审查或者用户记帐

◆设置每个配置管理员的访问权限和控制指令

◆用于Aironet 密钥重设置的虚拟 VSA

◆安全的服务器权限和加密

◆通过动态端口分配简化防火墙接入和控制

◆统一的用户AAA服务

 

实验简介:某公司内部网络采用统一式管理,将所有设备的帐号和密码的认证任务统一交给Radius服务器(ACS),这样方便管理员通过telnet方式登录设备管理设备。

以下3个实验都需要用到Radius服务器,radius服务器需要借助思科的ACS软件来设置,现在我们来配置ACS。ACS的安装如下:

一、Radius认证服务器配置

1.安装ACS服务器

需要注意的是安装ACS服务器需要JDK环境。

以下是安装过程中的截图,部分图片来自于互联网,所以有些混乱,以实际为准。

clip_p_w_picpath002

clip_p_w_picpath004

clip_p_w_picpath006

clip_p_w_picpath010

clip_p_w_picpath012

clip_p_w_picpath014

clip_p_w_picpath016

clip_p_w_picpath018

clip_p_w_picpath020

clip_p_w_picpath022

clip_p_w_picpath024

clip_p_w_picpath026

这样,ACS服务器就安装完成了。

2.将华为私有属性导入ACS

查看相关ACS端口

clip_p_w_picpath001

尽管ACS服务器已经安装完成,但是需要导入华为的私有属性,这样才能去管理华为的交换机和华为兼容。

首先,将以下代码保存为h3c.ini,并将它放在E盘下。

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

然后进入到ACS的安装目录(默认位于C:\Program Files\CiscoSecure ACS v4.0\bin),执行以下指令。clip_p_w_picpath002[4]

之后再执行以下指令,如果出现下图所示的内容证明导入成功。

clip_p_w_picpath004[4]

3.配置ACS服务器

接下来进行配置ACS服务器。首先,配置Network。

配置客户端,由于需要对交换机进行管理,因此客户端地址是交换机地址。

clip_p_w_picpath002[1]

配置好如下

clip_p_w_picpath004[1]

 

配置服务器。

5

配置好如下:

clip_p_w_picpath006[1]

进行接口配置,选择认证的RADIUS为huawei。

clip_p_w_picpath001[4]

选择华为的私有属性:

clip_p_w_picpath001[6]

进行组配置。

clip_p_w_picpath001[8]

clip_p_w_picpath001[10]

 

clip_p_w_picpath022[4]

进行用户配置。

clip_p_w_picpath001[12]

p_w_picpath

clip_p_w_picpath028

把配置好的用户加入到相关的组中:

clip_p_w_picpath030

案例1-H3C交换机 实验拓扑

ACS

配置大致的过程

在交换机上需要配置一下命令:

radius scheme xxx  //新建一个radius方案 
  server-type huawei  //设置服务器类型
  primary authentication 192.168.101.201  //主服务器的地址
  accounting optional   //计费可选
  key authentication 123456 //验证密钥
  user-name-format without-domain //用户名格式

domain tec  //新建作用域tec
  scheme radius-scheme xxx //引入radius xxx方案 
  access-limit enable 10  //设置登录主机数量

截图测试:

telnet验证:

clip_p_w_picpath002[4]

 

调整为华为客户端验证方式:需要调整一些配置:

基于端口的认证

[Quidway]dot1x  //启动dot1x认证协议,

802.1X is enabled globally. 

[Quidway]int e1/0/5  //进入相关的端口,绑定到相关的端口。

[Quidway-Ethernet1/0/5]dot1x 

802.1X is enabled on port Ethernet1/0/5.

新加一个用户test1

clip_p_w_picpath001[15]

clip_p_w_picpath002[6]

测试

clip_p_w_picpath003

针对华为的交换机中的s2000中的HI系列,可以进行以下配置,实现ssh验证:

radius服务器上进行简单的配置,如下图:

clip_p_w_picpath002[5]

交换机上的配置如下:

ssh authentication-type default all
ssh user ssh authentication-type password
ssh user ssh service-type stelnet
#
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme

radius scheme xxx
server-type standard
primary authentication 192.168.20.100
accounting optional
key authentication 123456
user-name-format without-domain
#
domain system
domain xxx
scheme radius-scheme xxx
access-limit enable 100
accounting optional

测试如下:

clip_p_w_picpath002[7] 

案例2-H3C路由器

实验拓扑

11

路由器的配置很简单

需要重新添加一个客户端

clip_p_w_picpath001[1]

路由的配置:

radius server 192.168.101.201 //指明radius服务器地址
    radius shared-key 123456   //密钥
    aaa-enable
    aaa authentication-scheme login default radius none  //默认的登录方式
    aaa accounting-scheme optional

telnet测试如下

clip_p_w_picpath001[3]

 

 

案例3-H3C防火墙

实验拓扑

firewall

添加aaa客户端firewall-1

clip_p_w_picpath002[1]

 

配置过程如下:

[H3C]dis cu

#

domain default enable tec //将域tec设置为默认域

#

firewall packet-filter enable
firewall packet-filter default permit
#
firewall statistic system enable
#
radius scheme system
server-type extended
radius scheme h3c            //radius方案
server-type standard        //服务器类型标准
primary authentication 192.168.101.201  //主radius服务器的地址
accounting optional                //收费标准
key authentication 123456      //密钥
user-name-format without-domain   //设置为不带域名的。需要前面的设置默认域名配合。
#
domain system
domain tec                            //新建域tec
scheme radius-scheme h3c     //引入radius方案
access-limit enable 10
#
local-user user1                         
password simple 123
service-type telnet
level 3

#
interface Aux0
async mode flow
#
interface Ethernet0/0
ip address 192.168.10.15 255.255.255.0   //配置端口地址
#
interface Ethernet0/3
ip address 192.168.101.100 255.255.255.0   //配置端口地址
#
firewall zone untrust                    //把端口加入到相关的zone中
add interface Ethernet0/0
add interface Ethernet0/3
set priority 5
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme

测试

clip_p_w_picpath002[3]

案例4-H3C 基于mac的验证

拓扑图:

switch-mac

实验大致过程:

H3C交换机HI系类实现远端基于MAC的验证

interface Vlan-interface1
ip address 192.168.101.4 255.255.255.0

[Quidway]mac-authentication
[Quidway]int eth1/0/2    在端口上开启MAC验证
[Quidway-Ethernet1/0/2]mac-authentication    
[Quidway]mac-authentication authmode usernameasmacaddress usernameformat with-hyphen //MAC地址的格式

radius scheme xxx
server-type standard
primary authentication 192.168.101.100
accounting optional
key authentication 123456
user-name-format without-domain

domain tec
scheme radius-scheme xxx
access-limit enable 10
accounting optional
domain default enable tec

radius

01

3

5

8

6

测试截图

7