ACS 4.2安装图解
ACS全名是:CiscoSecure ACS 简称3A;主要提供认证、授权、审计。
安装环境:windows 2003 server,2003系统的基本安装和调试在这里不做介绍。ACS运行环境要求JAVA组件。所以首先安装JAVA组件;整个安装过程如下:
1、安装Java虚拟机,(jre-6u12-windows-i586-p-s.exe)下载地址 http://www.java.com 。不要安装JAVA JDK版本,如果java没有安装,或者安装的版本有问题会导致ACS 安装完之后,打开的页面是空白的,无法运行ACS。如图所示,点击“接受”---“下一步”直至完成。
 

2、打开ACSv4.2.0.124-Full-K9文件夹,双击SETUP.EXE;弹出对话框,选ACCEPT
 

3、在弹出的对话框中点NEXT,继续安装
 

4、弹出安装时的四个要求
最终用户客户端可以成功连接到AAA级客户端,简单点说就是使用AAA账户的人,在使用AAA账户时,能PINGAAA的客户端即交换机或者路由器。
AAA服务器能PING AAA客户端即交换机或者路由器
思科产品的IOS必须是11.1以上
IE的版本是6.0SP1以上
这里的相互连通非常重要,笔者在架设AAA时,就遇到交换机在用户模式下PING不通服务器,服务器反而能PING通交换机,导致配置失败。
 

5、选择安装路径,ACS安装完成后,一般的都是文本的方式保存细信息,所以不需要多大的硬盘空间。
 

 
6、选择ACS账户类型,ACS单独的账户管理或者使用Windows账户管理,实例选择ACS账号管理。
 

 
7、开始安装
 

8、选择ACS功能,这里我们全部选择。
User Level Network access Restrictions        ACS账号访问设备时可以设定级别
group level network access restrictions         ACS中通过组来设定用户访问的级别
Max Sessions                             最大的会话数
Default Time of day/day of week speciftication 设置用户访问的时间
Distributed system settings                  分布式的系统设置
Database Replication                       数据库复制
 

9、这里有两个选项,一是Enable 登陆是否检测;我们选择全部。二是邮件提醒,选择时需要输入邮件服务器和发送邮件的账号,这里我们放弃邮件发送。
 

10、这一步是输入ACS的账号数据的密码。
 

11、这里有三个选项:一是启动新装的ACS服务;二是安装从IE配置ACS的功能,这样以后就可以直接通过IE登陆和配置ACS服务器;三是查看说明文件。
 

12、点Finish安装完成。
 

 

 

AAA代表Authentication、Authorization、Accounting,意为认证、授权、记帐,其主要目的是管理哪些用户可以访问服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记帐。

1、 认证:验证用户是否可以获得访问权限——“你是谁?”
2、 授权:授权用户可以使用哪些资源——“你能干什么?”
3、 记帐:记录用户使用网络资源的情况——“你干了些什么?”

一时兴起,想做个路由计费的实验,上网查了下找到了ACS这个软件。ACS是在WIN2000等系统上实现AAA功能的。

一、安装ACS

因为ACS不支持XP,所以开虚拟机在2003里装ACS,安装比较简单,所有都默认安装就OK了。

 

二、搭建路由并与虚拟服务器连接

1、用dynamipsGUI建2个路由,并与虚拟机桥接,(桥接参数的选取略)

 

R1与虚拟机桥接,R1与R2连接

三、路由配置

1、基本配置

R1:S1/0 172.16.5.5<---------------------------->S1/0  172.16.5.6 :R2

R1:fa0/0  192.168.77.254<----------------------> server 2003 192.168.77.220

R1(config)# tacacs-server host 192.168.77.220
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key cisco

R1(config)# enable secret 123 ‘定义enable密码
R1(config)# username abc password 456 ‘定义本地数据库
R1(config)# aaa new-model    ‘启用AAA认证
R1(config)# aaa authentication login default group tacacs+ local ‘设置登陆验证默认为采用先ACS服务器再本地验证(当ACS服务器不可达才用本地数据库验证)
R1(config)# aaa authentication enable default group tacacs+ enable ‘设置enable进入特权模式默认为采用先ACS服务器再本地enable设置的密码
R1(config)# line vty 0 4
R1(config)# login authentication default ‘设置telnet登陆采用前面定义的default

四、ACS设置

1、点击左边的Network Configuration,设置客户端和服务端

2、设置USER,点击左边的USER SETUP

 

五、验证

从R2上TELNET客户端地址192.168.77.254

 

验证登陆成功。如果断开AAA服务器与R1的联系,则可以本地帐户abc登陆