本文介绍了Cisco Secure ACS的功能特点及其在Windows环境下的安装配置流程,并通过三个实战案例详细展示了如何与华为交换机、路由器及防火墙进行集成,实现网络接入控制。
一、原理:
基于 Windows 的思科安全访问控制服务器(ACS) 思科安全访问控制服务器(ACS)是一个高度可扩展、高性能的访问控制服务器,提供了全面的 身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS 通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了 接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、 VoIP、防火墙和×××。Cisco Secure ACS 是思科网络准入控制的关键组件。
基于 Windows 的思科安全访问
控制服务器(ACS)
集中控制用户通过有线或者无线连接登录网络
设置每个网络用户的权限
记录记帐信息,包括安全审查或者用户记帐
设置每个配置管理员的访问权限和控制指令
用于 Aironet 密钥重设置的虚拟VSA
安全的服务器权限和加密
通过动态端口分配简化防火墙接入和控制
统一的用户 AAA 服务
关键特性
支持思科NAC 第二阶段
基于简况的策略
通过将一个基于标准的RDBMS 作为内部库,提高性能和规模
为无线验证提供EAP-FAST 支持
提高了认证撤回列表(CRL)比较的性能,可用于EAP-TLS 验证
机器接入限制的例外情况列表,对802.1X 机器验证构成补充
改进了复制,提供更多精确的复制选项
二、案例 ACS安装与配置
ACS需要Java虚拟机的支持。首先确保安装了JDK。
然后选择默认值安装。
默认值安装
然后默认值安装就OK了
桌面上会有个ACS admin快捷键。用于每次连接到ACS。每次的端口也不一样。
为了进行操,必须配置IE属性。
点击确定。打开ACS admin对AAA服务器进行配置
由于实验需要与华为设备结合。而华为的属性与ACS 不兼容。我们需要导入华为私有属性。
h3c.ini
[User Defined Vendor]
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
Profile=IN OUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
打开ACS admin对AAA服务器进行配置
点击提交
ACS提供的服务还有很多。有兴趣的可以仔细研究里面的配置。提供哪些操作。
可能需要查看谁登陆了客户端。我们就需要日志了
这样我们的AAA服务器基本上就搭建好了
实现用户的telnet远程管理
案例一、与华为交换机的结合实现AAA服务器认证
拓扑图
交换机配置
测试
案例二、与华为路由器的结合实现AAA服务器认证
拓扑图
路由器配置
aaa-enable
aaa authentication-scheme login default radius
# 配置RADIUS 服务器IP 地址
radius server 192.168.10.1
# 配置RADIUS 服务器密钥,计费方式。
radius shared-key my-secret
aaa accounting-scheme optional
配置客户端地址
int eth0
ip add 192.168.10.2 24
quit
测试
不知道什么原因,在自己机器上做不成功。验证提示已经通过。可是telnet不成功。
案例三、与防火墙的结合实现AAA服务器认证
拓扑图
防火墙配置
测试
转载于:https://blog.51cto.com/zhangzhenzz/973403
扫一扫
91
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
