ACS概述

ACS：思科安全访问控制服务器（Cisco Secure Access Control Sever），它是一个高度可扩展、高性能的访问控制服务器，提供了全面的身份识别网络解决方案，是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合，强化了接入安全性。这使企业网络能具有更高灵活性和移动性，更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型，包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××。Cisco Secure ACS 是思科网络准入控制的关键组件。

AAA概述

AAA系统的简称：

　　认证(Authentication)：验证用户的身份与可使用的网络服务； 　　授权(Authorization)：依据认证结果开放网络服务给用户； 　　计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。 　　AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting 　　常用的AAA协议是Radius。 　　另外还有 HWTACACS协议（Huawei Terminal Access Controller Access Control System）协议。HWTACACS是华为对TACACS进行了扩展的协议

案例

实验目的：通过ACS配置AAA服务器实现对客户端(交换机、路由器、防火墙)telnet、端口访问的安全认证。

实验步骤：

1.配置AAA服务器地址

 

2.安装acs服务器

 

3.把华为的私有协议导入ACS中

 

4.针对交换机客户端在acs服务器上配置AAA服务

4.1

 

4.2

 

4.3

 

4.4

 

4.5

 

4.6

 

5.交换机配置

基于telnet认证

radius scheme xxx                                //radius 方案 

primary authentication 192.168.2.0100  //主验证服务器 server-type huawei key authentication 123456                  //验证沟通密钥 user-name-format without-domain     //不带域名验证 domain tec                                       //新建域 scheme radius-scheme xxx              //引入radius方案 accounting optional                       //审计服务器可选 access-limit enable 10                 //限制用户

测试

 

基于端口认证

[Quidway]dot1x

[Quidway]int e1/0/24 [Quidway-Ethernet1/0/24]dot1x

测试

6.新增加一用户

路由器配置

interface Ethernet0

ip address 192.168.20.15 255.255.255.0 interface Ethernet1 ip address 192.168.2.5 255.255.255.0 radius server 192.168.20.100 radius shared-key 123456 aaa-enable aaa authentication-scheme login default radius none aaa accounting-scheme optional

测试

 

7.防火墙配置

domain default enable tec 

firewall packet-filter enable firewall packet-filter default permit  firewall statistic system enable radius scheme h3c  server-type extended  primary authentication 192.168.20.100 accounting optional key authentication 123456     user-name-format without-domain domain tec       scheme radius-scheme h3c  access-limit enable 10                  local-user user1 password simple 123 service-type ssh telnet level 3 interface Ethernet0/0  ip address 192.168.20.20 255.255.255.0 interface Ethernet0/1 ip address 192.168.2.10 255.255.255.0 firewall zone trust    add interface Ethernet0/0 add interface Ethernet0/1 user-interface vty 0 4 authentication-mode scheme

测试