利用ACS实现AAA服务

AAA系统的简称:
    认证(Authentication):验证用户的身份与可使用的网络服务;
    授权(Authorization):依据认证结果开放网络服务给用户;
    计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。

ACS简介:
    思科安全访问控制服务器(Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××。Cisco Secure ACS 是思科网络准入控制的关键组件。
  适用场合:
◆集中控制用户通过有线或者无线连接登录网络
◆设置每个网络用户的权限
◆记录记帐信息,包括安全审查或者用户记帐
◆设置每个配置管理员的访问权限和控制指令
◆用于 Aironet 密钥重设置的虚拟 VSA
◆安全的服务器权限和加密
◆通过动态端口分配简化防火墙接入和控制
◆统一的用户AAA服务

           以上内容摘自互联网。

案例 - 1

1、实验说明:

    某公司内部网络采用统一式管理,将交换机设备的帐号和密码的认证任务统一交给Radius服务器(ACS),这样方便管理员通过telnet方式登录设备管理设备。

2、拓扑图:

wps_clip_p_w_picpath-13397

3、实验要求:

    通过telnet连接到交换机;

    登录验证是通过AAA服务器;

    登录交换机后,用户有管理员权限;

4、实验平台:

    Window server 2003;

    AAA服务器:ACS认证系统;

    华为S2000交换机;

5、实验步骤:

1)、AAA服务器(ACS)的搭建:

安装ACS:

wps_clip_p_w_picpath-21522

wps_clip_p_w_picpath-13977

wps_clip_p_w_picpath-6138

wps_clip_p_w_picpath-11876

wps_clip_p_w_picpath-31540

wps_clip_p_w_picpath-26001

wps_clip_p_w_picpath-28991

密码必须是8为以上,并且同时使用字符和数字;

浏览器安全级别必须调到中级或中级以下;

wps_clip_p_w_picpath-30288

安装完成!

在ACS中导入华为私有属性:

私有属性的编辑:

文件名:(h3c.ini),将文件保存到c盘根目录下;

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

wps_clip_p_w_picpath-5502

首先,切换到ACS安装路径的bin目录下:

wps_clip_p_w_picpath-30909

执行以下命令:

wps_clip_p_w_picpath-26837

配置ACS的AAA服务器:

选择网络配置页面:

wps_clip_p_w_picpath-30338

添加AAA客户端(如:交换机的管理地址);

wps_clip_p_w_picpath-29009

填写客户端信息、密钥和验证方式:

wps_clip_p_w_picpath-7252

Key的值必须与AAA Client的向对应;

修改AAA服务器的验证标准:

wps_clip_p_w_picpath-29735

编辑AAA服务器地址,并将AAA服务器的类型改为RADIUS方式:

wps_clip_p_w_picpath-8329

然后进入接口配置页面:

wps_clip_p_w_picpath-1158

选择华为验证:

wps_clip_p_w_picpath-20243

在一个组中应用华为的私用属性:

wps_clip_p_w_picpath-13839

提交配置:

wps_clip_p_w_picpath-28327

然后,在AAA上设置集中的telnet的AAA验证:

进入组设置页面:

wps_clip_p_w_picpath-30701

选择所使用的组,并编辑:
wps_clip_p_w_picpath-4063

选择为用户提供的登录服务(telnet):

wps_clip_p_w_picpath-1515

如果需要其他的登录方式,则可以更改Login-TCP-Port所对应的端口;

在华为私有属性验证中选择用户的登录级别(3级别,管理员级别):

wps_clip_p_w_picpath-7823

提交并重启服务:

wps_clip_p_w_picpath-1785

创建AAA的一个用户:

填写用户名:

wps_clip_p_w_picpath-3755

验证密码,并选择验证组:

wps_clip_p_w_picpath-27892

提交:

wps_clip_p_w_picpath-2413

2)、交换机配置:

#配置交换机管理ip:

[Quidway]interface Vlan-interface1

[Quidway-Vlan-interface1]ip address 192.168.10.2 255.255.255.0

[Quidway-Vlan-interface1]quit

[Quidway]

#添加一条Radius认证策略,策略名为AAA:

[Quidway]radius scheme AAA

New Radius scheme

[Quidway-radius-AAA]primary authentication 192.168.10.1 1812    #指明认证服务器地址和端口号;

[Quidway-radius-AAA]server-type huawei    #服务器类型,huawei;

[Quidway-radius-AAA]accounting optional    #由于不需要审计,所以选择审计可选;

[Quidway-radius-AAA]key authentication 123456    #与验证服务器之间沟通的密码,必须与AAA服务器的密码对应;

[Quidway-radius-AAA]user-name-format without-domain    #在交换机上取消域名信息;

[Quidway-radius-AAA]quit

[Quidway]

#创建一个域tec:

[Quidway]domain tec

New Domain added.

[Quidway-isp-tec]radius-scheme AAA    #在tec域中应用AAA的验证策略;

[Quidway-isp-tec]access-limit enable 10     #设置域的用户数量为10;

[Quidway-isp-tec]quit

#将tec域设置为默认域;

[Quidway]domain default enable tec

[Quidway]

#开启802.1x服务;

[Quidway]dot1x

802.1X is enabled globally.

[Quidway]dot1x authentication-method pap    #设置验证方式为pap;

PAP authentication is enabled.

[Quidway]

#进入用户虚拟接口视图

[Quidway]user-interface vty 0 4

[Quidway-ui-vty0-4]authentication-mode scheme    #设置验证方式为scheme;

[Quidway-ui-vty0-4]quit

[Quidway]

6、测试:

管理PC的ip地址:

wps_clip_p_w_picpath-1977

管理PC通过 telnet连接交换机:

wps_clip_p_w_picpath-25756

进行验证登录:

wps_clip_p_w_picpath-3531

wps_clip_p_w_picpath-15655

 

案例 - 2

1、实验说明:

    某公司内部网络采用统一式管理,将路由器设备的帐号和密码的认证任务统一交给Radius服务器(ACS),这样方便管理员通过telnet方式登录设备管理设备。

2、拓扑图:

wps_clip_p_w_picpath-12042

3、实验要求:

    通过telnet连接到路由器;

    登录验证是通过AAA服务器;

    登录路由器后,用户有管理员权限;

4、实验平台:

    Window server 2003;

    AAA服务器:ACS认证系统;

    华为S2620路由器;

5、实验步骤:

路由器配置:

[Router]int e0

[Router-Ethernet0]ip add 192.168.10.2 24

[Router]

[Router]int e1

[Router-Ethernet1]ip add 192.168.20.2 24

[Router-Ethernet1]quit

[Router]

#开启AAA验证

[Router]aaa-enable

[Router]aaa authentication-scheme login default radius    #登录验证方式为Radius;

[Router]

# 配置 RADIUS 服务器 IP 地址和端口(默认为1812)。

[Router]

[Router]radius server 192.168.10.1

[Router]

配置 RADIUS 服务器密钥、重传次数及计费选项。

[Router]radius shared-key 123456

[Router]radius retry 2

[Router]radius timer response-timeout 5

[Router]aaa accounting-scheme optional

[Router]

6、测试:

管理PC的ip地址:

wps_clip_p_w_picpath-5995

管理PC通过 telnet连接路由器:

wps_clip_p_w_picpath-10837

进行验证登录:

wps_clip_p_w_picpath-15074

 

案例 - 3

1、实验说明:

    某公司内部网络采用统一式管理,将防火墙设备的帐号和密码的认证任务统一交给Radius服务器(ACS),这样方便管理员通过telnet方式登录设备管理设备。

2、拓扑图:

wps_clip_p_w_picpath-25868

3、实验要求:

    通过telnet连接到防火墙;

    登录验证是通过AAA服务器;

    登录防火墙后,用户有管理员权限;

4、实验平台:

    Window server 2003;

    AAA服务器:ACS认证系统;

    华为F100-C防火墙;

5、实验步骤:

防火墙配置:

#设置防火墙默认为允许通过;

[H3C]firewall packet-filter default permit

#将eth1划分到untrue区域;

[H3C]firewall zone untrust

[H3C-zone-untrust]add int eth0/1

[H3C-zone-untrust]quit

[H3C]

#进行接口配置;

[H3C]int eth0/0

[H3C-Ethernet0/0]ip add 192.168.10.2 255.255.255.0

[H3C-Ethernet0/0]quit

[H3C]

[H3C]int eth0/1

[H3C-Ethernet0/1]ip add 192.168.20.2 255.255.255.0

[H3C-Ethernet0/1]quit

[H3C]

#创建一个Radius方案,方案的名称为AAA;

[H3C]radius scheme AAA

[H3C-radius-AAA]primary authentication 192.168.10.1 1812    #验证服务器地址和端口;

[H3C-radius-AAA]server-type extended    #验证方式为扩展方式;

[H3C-radius-AAA]accounting optional    #由于不需要审计,所以选择审计可选;

[H3C-radius-AAA]key authentication 123456    #与验证服务器之间沟通的密码,必须与AAA服务器的密码对应;

[H3C-radius-AAA]user-name-format with-domain    #在交换机上取消域名信息;

[H3C-radius-AAA]quit

[H3C]

#创建一个域tec:

[H3C]domain tec

New Domain added.

[H3C-isp-tec]radius-scheme AAA    #在tec域中应用AAA的验证策略;         

[H3C-isp-tec]access-limit enable 10    #设置域的用户数量为10;

[H3C-isp-tec]quit

[H3C]

#将tec域设置为默认域;

[H3C]domain default enable tec

[H3C]

#进入用户虚拟接口视图

[H3C]user-interface vty 0 4

[H3C-ui-vty0-4]authentication-mode scheme    #设置验证方式为scheme;

[H3C-ui-vty0-4]quit

[H3C]

6、测试:

管理PC的ip地址:

wps_clip_p_w_picpath-27660

管理PC通过 telnet连接防火墙:

wps_clip_p_w_picpath-15305

进行验证登录:

wps_clip_p_w_picpath-32457