11

H3C设备与cisco ACS配合实现AAA验证:

         1.在windows server 2003上安装ACS

         2.向ciscoACS中添加华为设备扩展文件

         3.配置ACS

         4.交换机额radius配置

         5.telnet方式下配置cisco ACS

 1.安装ACS

     软件环境:

         1.web浏览器

         2.java虚拟机

         3.ACS客户端

 2.向ciscoACS中添加华为设备扩展文件

创建myvsa.ini 文件

内容如下:

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=Encryption-Types

[Encryption-Types]

0=0

1=1

2=2

3=3

保存在C盘下

通过命令行提示符方式,使用DOS 命令进入该文件夹

通过如下命令,将myvsa.ini 文件导入ACS    内容如下:

C:\Program Files\CiscoSecure ACS v4.2\bin>CSUtil.exe -addUDV 0 c:\myvsa.ini

CSUtil v4.2(0.124), Copyright 1997-2008, Cisco Systems Inc

 

Adding or removing vendors requires ACS services to be re-started.

Please make sure regedit is not running as it can prevent registry

backup/restore operations

 

Are you sure you want to proceed? (Y or N)y

Parsing [c:\myvsa.ini] for addition at UDV slot [0]

Stopping any running services

Creating backup of current config

Adding Vendor [Huawei] added as [RADIUS (Huawei)]

Adding VSA [hw_Exec_Privilege]

Done

Checking new configuration...

New configuration OK

Re-starting stopped services

 

C:\Program Files\CiscoSecure ACS v4.2\bin>CSUtil.exe -listUDV

CSUtil v4.2(0.124), Copyright 1997-2008, Cisco Systems Inc

UDV 0 - RADIUS (Huawei)

UDV 1 - Unassigned

UDV 2 - Unassigned

UDV 3 - Unassigned

UDV 4 - Unassigned

UDV 5 - Unassigned

UDV 6 - Unassigned

UDV 7 - Unassigned

UDV 8 - Unassigned

UDV 9 - Unassigned

如果使用CSUtil.exe -listUDV 命令,能看到“Radius(Huawei)”属性,

则说明已经将华为扩展属性成功导入ACS。

    3.配置ACS

    

1

      (1)配置AAA client

           

11

AAA Client Hostname:AAA 客户端设备名。

AAA Client IP Address:AAA 客户端设备的IP 地址。该地址必须与设备送

到ACS 上的认证报文所带的源IP 地址相同。

Key:Radius 客户端与服务器端的加密密钥。只有在密钥一致的情况下,双

方才能彼此接受对方发来的报文,并作出响应。

Authenticate Using:认证方式。此处选择新添加的Radius(Huawei)属

性。

配置完成后,点击“Sumbit+Restart”按钮,使配置生效。

  (2)配置interface 

       在Interface Configuration 界面,选中新添加的华为扩展属性,使其出现

在 Group(组)编辑界面。

      

11

 

 

1

 

   (3)配置Group

在Group Setup 中的Radius ( IETF ) 栏, 选择服务类型为Login,

Login-Service 为Telnet;同时,在Radius(Huawei)栏,为该Group 选择相

应的华为设备操作权限,有0-3 级四种(

    

1

  

11

  (4) 添加User

在User Setup 中新建用户名,并设置密码,然后将其归类到不同的Group

中,从而使其在Telnet 到华为设备上,拥有对应的操作权限

    注意:用户要求ACS的3A认证 可用时,本地认证不能够使用,只有ACS失效时,

才能启用本地认证通过在SYSTEM域下配置相关参数并配置“scheme

radius-scheme(hwtacas-scheme) icbcxj local”屏蔽system 默认配置,

可以实现客户要求。

   

111

      4.交换机的配置radius配置

 

 

 

 二.TACACS 方式下配置CISCO ACS

    (1) 配置AAA Client

在Network Configuration 中新建一个AAA Client(或使用原有的),AAA

Client 的IP 地址,密码一定要配置正确,同时认证类型选择TACACS+。

    (2) 配置或检查一下AAA server 的配置

        AAA server 的类型选择成CiscoSecure ACS 和TACACS+都可以。 

    (3)配置Interface Configuration

选择Interface Configuration 中的TACACS+(Cisco IOS)进行TACACS+

的相关属性配置,选择PPP IP 和Sell(exec)就行了。

    (4)配置用户组的相关属性

按照下图所示配置用户组中的TACACS+选项,一定要选择PPP IP 、

Shell(exec),并且对Privilege Level 进行设置一般设置为3,也可以设置为0、

1、 2 对应我们设备的用户操作级别,如果不设置则无法登录。

    (5) 添加User

在User Setup 中新建用户名,并设置密码,然后将其归类到不同的Group

中,从而使其在Telnet 到华为设备上,拥有对应的操作权限。

    (6)TACACS 认证交换机配置: