一:ACS说明:
安全访问控制服务器为思科智能信息网络提供基于身份的全面的访问控制解决方案。 Secure ACS (ACS)是具高可扩展性的高性能访问控制服务器,可作为集中的RADIUS 和 TACACS+ 服务器运行。Cisco Secure ACS将验证、用户访问和管理员访问与策略控制结合在一个集中的身份识别网络解决方案中,因此提高了灵活性、移动性、安全性和用户生产率, 从而进一步增强了访问安全性。通过对所有用户帐户使用一个集中数据库,Cisco Secure ACS可集中控制所有的用户权限并将他们分配到网络中的几百甚至几千个接入点。对于记帐服务,Cisco Secure ACS针对网络用户的行为提供具体的报告和监控功能,并记录整个网络上每次的访问连接和设备配置变化。Cisco Secure ACS支持广泛的访问连接,包括有线和无线局域网、宽带、内容、存储、IP上的语音(VoIP)、防火墙和VPN等。它是基于远程身份验证拨入用户服务 (RADIUS)
二:RADIUS(Remote Authentication Dial In User Service)协议是在IETF的RFC2865和2866中定义的。RADIUS 是基于 UDP 的一种客户机/服务器协议。RADIUS客户机是网络访问服务器,它通常是一个路由器、交换机或无线访问点。RADIUS服务器通常是在UNIX或Windows 2000服务器上运行的一个监护程序。RADIUS 协议的认证端口是1812 ,计费端口是1813。
RADIUS的工作过程:
1、用户输入用户名、密码等信息到客户端或连接到NAS;
2、客户端或NAS产生一个“接入请求(Access-Request)”报文到RADIUS服务器,其中包括用户名、口令、客户端(NAS)ID 和用户访问端口的ID。口令经过MD5算法进行加密。
3、RADIUS服务器对用户进行认证;
4、若认证成功,RADIUS服务器向客户端或NAS发送允许接入包(Access-Accept),否则发送拒绝加接入包(Access-Reject);
5、若客户端或NAS接收到允许接入包,则为用户建立连接,对用户进行授权和提供服务,并转入6;若接收到拒绝接入包,则拒绝用户的连接请求,结束协商过程;
6、客户端或NAS发送计费请求包给RADIUS服务器;
7、RADIUS服务器接收到计费请求包后开始计费,并向客户端或NAS回送开始计费响应包;
8、用户断开连接,客户端或NAS发送停止计费包给RADIUS服务器;
9、RADIUS服务器接收到停止计费包后停止计费,并向客户端或NAS回送停止计费响应包,完成该用户的一次计费,记录计费信息。
三:案例:
某公司采用统一式管理,将设备的账户和密码统一交给ACS服务器管理,方便管理员进行统一管理
拓扑方案:
配置:
一:windows server 2003上安装ACS:
ACS安装完毕!!!
二:将化为私有属性导入ACS
三:配置ACS服务器:
四:交换机配置:
[switch]interface Vlan-interface 1
[switch-Vlan-interface1]ip add 192.168.10.20 255.255.255.0
[switch]radius scheme xxx #规定radius方案,名称是xxx
[switch-radius-xxx]primary authentication 192.168.10.10 #设置主RADIUS服务器的IP地址
[switch-radius-xxx]server-type huawei #radius服务器类型
[switch-radius-xxx]user-name-format without-domain #设置发送给RADIUS服务器的用户名格式,不带域名
[switch-radius-xxx]key authentication 123456 #配置RADIUS报文的共享密钥
[switch]domain tec #设置tec域
[switch-isp-tec]radius-scheme xxx #设置radius方案
[switch-isp-tec]access-limit enable 10 #指定可容纳接入用户数的最大值
[switch-isp-tec]accounting optional #设置用户计费模式
[switch]domain default enable tec #将tec设置为默认域
[switch]user-interface vty 0 4
[switch-ui-vty0-4]authentication-mode scheme
[switch]super password level 3 simple 123456 #使用telnet或者ssh登录设备后,可能不是管理员级别,使用此命令可以更改级别
[switch]ssh authentication-type default all #缺省允许使用ssh登录
测试:
使用ssh登录时,需要ACS服务器作如下修改:
如果换做路由器:则配置如下:
[Router] interface e0
[Router-Ethernet0]ip add 192.168.10.20 255.255.255.0
[Router]radius shared-key 123456 #与服务器协商密钥
[Router]radius server 192.168.10.10 #服务器的地址
[Router]aaa authentication-scheme login default radius #登录认证
测试:
如果换做h3c防火墙,则配置如下:
<H3C>system-view
[H3C]interface Ethernet 0/0
[H3C-Ethernet0/0]ip add 192.168.10.10 255.255.255.0
[H3C]radius scheme xxx #规定radius方案,名称是xxx
[H3C-radius-xxx]primary authentication 192.168.10.10 #设置主RADIUS服务器的IP地址
[H3C-radius-xxx]key authentication 123456 #配置RADIUS报文的共享密钥
[H3C-radius-xxx]server-type standard #radius服务器类型为standard类型
[H3C-radius-xxx]user-name-format without-domain #设置发送给RADIUS服务器的用户名格式,不带域名
[H3C-radius-xxx]qu
[H3C]domain tec #设置tec域
[H3C-isp-tec]radius-scheme xxx #设置radius方案
[H3C-isp-tec]access-limit enable 10 #指定可容纳接入用户数的最大值
[H3C-isp-tec]accounting optional #设置用户计费模式
[H3C]domain default enable tec #将tec设置为默认域
[H3C]user-interface vty 0 4 #远程登录数量为5
[H3C-ui-vty0-4]authentication-mode scheme
[H3C]ssh authentication-type default all #缺省允许使用ssh登录
[H3C] super password level 3 simple 123456 #使用telnet或者ssh登录设备后,可能不是管理员级别,使用此命令可以更改级别
测试: