基于思科ACS实现AAA认证
一、ACS概述:
Cisco Secure ACS 通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了 接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、 VoIP、防火墙和×××。Cisco Secure ACS 是思科网络准入控制的关键组件。
二、配置步骤:
ACS需要Java虚拟机的支持。首先确保安装了JDK。
然后选择默认值安装。
默认值安装
然后默认值安装就OK了
桌面上会有个ACS admin快捷键。用于每次连接到ACS。每次的端口也不一样。
为了进行操,必须配置IE属性。
点击确定。打开ACS admin对AAA服务器进行配置
由于实验需要与华为设备结合。而华为的属性与ACS 不兼容。我们需要导入华为私有属性。
h3c.ini
[User Defined Vendor]
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
Profile=IN OUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
打开ACS admin对AAA服务器进行配置
点击提交
ACS提供的服务还有很多。有兴趣的可以仔细研究里面的配置。提供哪些操作。
可能需要查看谁登陆了客户端。我们就需要日志了
这样我们的AAA服务器基本上就搭建好了
实现用户的telnet远程管理
案例一、与华为交换机的结合实现AAA服务器认证
拓扑图
交换机配置
测试
案例二、与华为路由器的结合实现AAA服务器认证
拓扑图
路由器配置
aaa-enable
aaa authentication-scheme login default radius
# 配置RADIUS 服务器IP 地址
radius server 192.168.10.1
# 配置RADIUS 服务器密钥,计费方式。
radius shared-key my-secret
aaa accounting-scheme optional
配置客户端地址
int eth0
ip add 192.168.10.2 24
quit
测试
不知道什么原因,在自己机器上做不成功。验证提示已经通过。可是telnet不成功。
案例三、与防火墙的结合实现AAA服务器认证
拓扑图
防火墙配置
测试
上述测试表明实验成功!
转载于:https://blog.51cto.com/mh3570/976566