ACS简介
思科安全访问控制服务器(Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××。Cisco Secure ACS 是思科网络准入控制的关键组件。
 适用场合:
集中控制用户通过有线或者无线连接登录网络
设置每个网络用户的权限
记录记帐信息,包括安全审查或者用户记帐
设置每个配置管理员的访问权限和控制指令
用于 Aironet 密钥重设置的虚拟 VSA
安全的服务器权限和加密
通过动态端口分配简化防火墙接入和控制
统一的用户AAA服务
AAA简介
AAA系统的简称:
  认证(Authentication):验证用户的身份与可使用的网络服务;
  授权(Authorization):依据认证结果开放网络服务给用户;
  计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
  AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting
  常用的AAA协议是Radius。
  另外还有 HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。HWTACACS是华为对TACACS进行了扩展的协议
  HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过“客户端-服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。
  HWTACACS与RADIUS的不同在于:
  l RADIUS基于UDP协议,而HWTACACS基于TCP协议。
  l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。
  l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。
  认证方案与认证模式
  AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。
  组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。
  当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local none。
  认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。
  授权方案与授权模式
  AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。
  组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。
  当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-mode hwtacacs local none
  授权模式在授权方案视图下配置。当新建一个授权方案时,缺省使用本地授权。
  RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。
  计费方案与计费模式
  AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。
注:以上内容来自百度百科
案例一 华为交换机
实验拓扑图:

 

 

实验步骤:
安装ACS,安装ACS需要JDK环境,所以先安装JDK。安装ACS步骤网上比较详细,这里就不再介绍了。
安装成功之后,查看端口,并华为的私有协议导入ACS中

 

 

 

 

 

配置ACS
添加客户端sw-1

 

 

配置如下

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

交换机配置如下:
radius scheme xxx //新建一个radius 方案
server-type huawei //服务器类型 huawei
primary authentication 192.168.101.201 //主服务器地址
accounting optional //计费可选
key authentication 123456 //验证密钥
user-name-format without-domain //用户名格式
domain tec //新建域
scheme radius-scheme xxx //引入radius方案
access-limit enable 10 //设置登录人数
测试

 

 

 

基于端口的认证
[Quidway]dot1x
802.1X is enabled globally.
[Quidway]int e1/0/5
[Quidway-Ethernet1/0/5]dot1x
802.1X is enabled on port Ethernet1/0/5.
新加一个用户test1

 

 

 

 

 

 

 

案例二 华为路由器
拓扑图:

 

 

 

 

 

路由器配置:
interface Ethernet0
ip address 192.168.101.15 255.255.255.0
interface Ethernet1
ip address 192.168.10.5 255.255.255.0
radius server 192.168.101.201 //服务器地址
radius shared-key 123456 //密钥
aaa-enable
aaa authentication-scheme login default radius none //默认登录认证方式
aaa accounting-scheme optional
测试

 

 

 

案例三 H3C防火墙
拓扑图:

 

 

 

防火墙配置
[H3C]dis cu
domain default enable tec //将域tec设置为默认域
firewall packet-filter enable
firewall packet-filter default permit
firewall statistic system enable
radius scheme h3c //radius方案
server-type extended // 服务器类型
primary authentication 192.168.101.201 //主服务器的地址
accounting optional
key authentication 123456 //密钥
user-name-format without-domain

domain tec //新建域 tec
scheme radius-scheme h3c //引入radius方案
access-limit enable 100
local-user user1
password simple 123
service-type ssh telnet
level 3
interface Ethernet0/0 //接口配置
ip address 192.168.101.20 255.255.255.0
interface Ethernet0/1
ip address 192.168.10.10 255.255.255.0
firewall zone trust //把端口加入zone
add interface Ethernet0/0
add interface Ethernet0/1
user-interface vty 0 4
authentication-mode scheme
测试