基于思科ACS实现AAA认证

一、ACS概述:

Cisco Secure ACS 通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了 接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、 VoIP、防火墙和×××。Cisco Secure ACS 是思科网络准入控制的关键组件。

二、配置步骤:

ACS需要Java虚拟机的支持。首先确保安装了JDK。

clip_image002

clip_image004

clip_image006

clip_image008

然后选择默认值安装。

clip_image010

默认值安装

clip_image012

然后默认值安装就OK了

桌面上会有个ACS admin快捷键。用于每次连接到ACS。每次的端口也不一样。

为了进行操,必须配置IE属性。

clip_image014

点击确定。打开ACS admin对AAA服务器进行配置

由于实验需要与华为设备结合。而华为的属性与ACS 不兼容。我们需要导入华为私有属性。

h3c.ini

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

clip_image016

clip_image018

打开ACS admin对AAA服务器进行配置

clip_image020

clip_image022

clip_image024

clip_image026 clip_image028

点击提交

clip_image030

clip_image032

clip_image034

ACS提供的服务还有很多。有兴趣的可以仔细研究里面的配置。提供哪些操作。

clip_image036

clip_image038

clip_image040

可能需要查看谁登陆了客户端。我们就需要日志了

clip_image042

clip_image044

clip_image046

这样我们的AAA服务器基本上就搭建好了

实现用户的telnet远程管理

案例一、与华为交换机的结合实现AAA服务器认证

拓扑图

clip_image048

交换机配置

clip_image050

clip_image052

测试

clip_image054

案例二、与华为路由器的结合实现AAA服务器认证

拓扑图

clip_image056

路由器配置

aaa-enable
aaa authentication-scheme login default radius
# 配置RADIUS 服务器IP 地址

radius server 192.168.10.1
# 配置RADIUS 服务器密钥,计费方式。

radius shared-key my-secret

aaa accounting-scheme optional

配置客户端地址
int eth0

ip add 192.168.10.2 24

quit

测试

不知道什么原因,在自己机器上做不成功。验证提示已经通过。可是telnet不成功。

案例三、与防火墙的结合实现AAA服务器认证

拓扑图

clip_image058

防火墙配置

clip_image060

clip_image062

clip_image064

测试

clip_image066

上述测试表明实验成功!