一、 实验原理:

思科安全访问控制服务器(Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××。Cisco Secure ACS 是思科网络准入控制的关键组件。   适用场合:(1)集中控制用户通过有线或者无线连接登录网络,(2)设置每个网络用户的权限,(3)记录记帐信息,包括安全审查或者用户记帐,(4)设置每个配置管理员的访问权限和控制指令,(5)用于 Aironet 密钥重设置的虚拟 VSA,(6)安全的服务器权限和加密,(7)通过动态端口分配简化防火墙接入和控制,(8)统一的用户AAA服务。
二、  实验描述:
 
在管理很多的交换机(这里用华为s2000系列)时需要集中式用统一账号和密码来管理,这时需要radius服务器(即cisco ACS 在windows server 2003 上安装)来登录并管理这些交换机。
三、  实验拓扑:

 

四、  详细配置:
在配置acs之前需要将h3c.ini文件导入系统内
h3c.ini 文件:
[User Defined Vendor]
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
Profile=IN OUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
导入步骤如图:

 

    1.现在windows server 2003 系统上安装cisco ACS(这里以3.2版本为例、其他版本可以再网上下载,安装方法大同小异) 具体步骤略。安装好后在里面进行配置(注意:在首次进入acs的时候有时候打开的界面是空白,这时只需要在浏览器中找到internet选项中的“安全”,将安全级别调小即可)具体步骤如下图:

(1)添加用户:

 

 

(2)设置组

 

注意下面勾上015

在“jump to”中选中“RADIUS(HuaWei)勾上最后一行,如下图:

 

(3)设置interface configuration:
 
 advanced options  全部勾上
 

radius HuaWei)设置如下:

(4)network configuration:

 

做好acs配置,下面来进行交换机的配置:
 
radius scheme xxx
primary authentication 192.168.100.10
key authentication 123456
accounting optional
server-type standard
user-name-format without-domain
quit
domain h3c
radius-scheme xxx
access-limit enable 10
accounting optional
authentication radius-scheme xxx
state active
quit
user-interface vty 0 4
authentication-mode scheme
accounting commands scheme
quit
super password simple 456 (这一项至关重要,有些同学telnet进去无法获得管理员权限,就是因为添加这个命令)
 
 
最后进行测试:
 

至此实验完成,更多参考资料及原理请参考互联网。