一.ACS简介:

思科安全访问控制服务器(Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××。Cisco Secure ACS 是思科网络准入控制的关键组件。

适用场合:

◆集中控制用户通过有线或者无线连接登录网络

◆设置每个网络用户的权限

◆记录记帐信息,包括安全审查或者用户记帐

◆设置每个配置管理员的访问权限和控制指令

◆用于 Aironet 密钥重设置的虚拟 VSA

◆安全的服务器权限和加密

◆通过动态端口分配简化防火墙接入和控制

◆统一的用户AAA服务

二.ACS的简单配置实例

 实验环境

在 windows server  2003(或 2008 )  ACS 搭建(ACS 服务器)

1.安装JDK

wps_clip_p_w_picpath-17153

选择默认安装即可!

2.安装ACS

wps_clip_p_w_picpath-17878

选择  “accept”

wps_clip_p_w_picpath-17947

“next”

wps_clip_p_w_picpath-17993

进入ACS的安装目录

使用“CSVtil.exe -listUDV”查看私有属性列表

wps_clip_p_w_picpath-18032

使用“CSVtil.exe –addUDV 0 c:\h3c.ini”导入华为私有属性

wps_clip_p_w_picpath-18140

导入成功

wps_clip_p_w_picpath-18303

包含私有属性的文件如下

wps_clip_p_w_picpath-18336

安装成功后在桌面生成一个ACS 的管理图标

wps_clip_p_w_picpath-18375

双击图标进行管理

wps_clip_p_w_picpath-18398

添加管理网络设备及AAA server(windows server 20003 )

wps_clip_p_w_picpath-18463

创建成功后出现“IETF” 及 “Huawei”

wps_clip_p_w_picpath-18577

增加group1并编辑如下

wps_clip_p_w_picpath-18600

添加user1 加入 group1组

wps_clip_p_w_picpath-18646

增加group2并编辑如下

wps_clip_p_w_picpath-18744

添加user2 加入 group2组

wps_clip_p_w_picpath-18783

3.配置交换机或(quidway s2000 serials HI )

ssh与telnet:

radius scheme xxx

server-type huawei

primary authentication 192.168.101.80

key authentication 123456

user-name-format without-domain

domain tec  //创建域

scheme radius-scheme xxx

access-limit enable 10

ssh authentication-type default all

//ssh 账号验证

user-interface vty 0 4 //定义登录的验证方式为radius服务器验证

authentication-mode scheme

验证:

wps_clip_p_w_picpath-20321

ACS上的日志记录

p_w_picpath

ssh 补充配置及修改

补充:

rsa  local-user-key create

ssh  authen  default  all

protocl   inbond   all (ssh+telnet)

修改:

server-type stanted //ACS 针对于华为不是太兼容。有兴趣可以使用linux环境下的“freeradius-server”。

验证

p_w_picpath

这样ssh登录权限较低!!!!

mac 本地验证:

①.配置本地账户

[S3]local-user 88-ae-1d-d5-45-06

[S3-luser-000f-e274-4920]password simple  88-ae-1d-d5-45-06

[S3-luser-000f-e274-4920]service-type lan-access

[S3-luser-000f-e274-4920]service-type ssh telnet level 3

②.启用mac验证并配置mac验证参数

[S3]mac-authentication

[S3]interface Ethernet 1/0/24

[S3-Ethernet1/0/24]mac-authentication

[S3]mac-authentication authmode usernameasmacaddress usernameformat with-hyphen

③.配置虚拟终端

[S3]user-interface vty 0 4                   

[S3-ui-vty0-4]authentication-mode scheme

④.配置管理地址

[S3]interface Vlan-interface 1

[S3-Vlan-interface1]ip address 192.168.101.33 24

⑤.测试:

ssh 192.168.101.33

wps_clip_p_w_picpath-1953

telnet 192.168.101.33

wps_clip_p_w_picpath-2247

mac radius 验证:

①.在服务器端创建 用户名为“3c-e5-a6-ce-18-95“  密码为“3c-e5-a6-ce-18-95“

账号名属于默认组

wps_clip_p_w_picpath-2981

账号及密码

wps_clip_p_w_picpath-3079

默认组:

wps_clip_p_w_picpath-3155

②.交换机上创建radius 方案

[Quidway]radius scheme  mac

[Quidway-radius-mac]key authentication 123456

[Quidway-radius-mac]primary authentication 192.168.101.80

[Quidway-radius-mac]server-type standard

[Quidway-radius-mac]user-name-format without-domain

③.新建域并在域中引用模式

[Quidway]domain tec

[Quidway-isp-tec]scheme radius-scheme mac

[Quidway-isp-tec]access-limit enable 10

[Quidway-isp-tec]accounting optional

④.将新建域设为默认域

[Quidway]domain default enable tec

[Quidway]mac-authentication authmode usernameasmacaddress usernameformat with-hyphen

⑤.测试

wps_clip_p_w_picpath-4082

四.配置路由器 ( huawei quidway 2600 serials)

radius server 192.168.101.80

//指定radius 服务器
radius shared-key 123456

//设备双方协商的密钥
aaa authentication-scheme login default radius

//验证方式为 radius 服务器验证

interface Ethernet0 
ip address 192.168.101.4 255.255.255.0

//配置ip地址

验证

wps_clip_p_w_picpath-22078

权限较低!!!

应为权限不兼容,所以本人表示,华为不给力啊!!!

后续本人正在研究linux 平台下的 freeradius AAA 服务器。这个有待进一步发现!!!