3-思科防火墙：认证管理访问：ACS联动

一、实验拓扑： 二、实验要求： 1、ASA客户端上配置：aaa-server 认证协议、目的主机、密匙； 2、安装ACS：登录用户名：admin，密码：Root123； 使用VM5虚拟网卡，手动配置地址：10.1.2.4/24，网关：10.1.2.254； 命名管道：\.\pipe\ACS，用Pipe连接，使用Securt连接； 配置IP：10.1.2.254；网关：10.1.12.10；show application status acs（全running）；

3、ASA Ping 10.1.2.254，ACS Ping 10.1.2.10，查看是否可通后再进行下一步； 4、浏览器中输入：https://10.1.2.254，用户名：acsadmin，密码：root（可以在W7上执行远程管理，如这样ACS连接的VM5网卡应该还原回192.168.32.1/24，网关：192.168.36.1虚拟网卡11的地址，因为它连接G2口，这个没成功）； 5、ACS服务端上配置：用户名和密码、AAA Client； 6、ASA命令行测试aaa-server是否可通。 三、命令部署： 1、ASA上部署aaa-server配置： ASA(config)# aaa-server zhou protocol tacacs+ ASA(config-aaa-server-group)# aaa-server zhou (DMZ) host 10.1.2.254 ASA(config-aaa-server-host)# key zhou

四、验证： 1、ASA上部署aaa-server配置查看： ASA# show run aaa-server aaa-server zhou protocol tacacs+ aaa-server zhou (dmz) host 10.1.2.254 key ***** 2、ACS和ASA相互Ping，ACS查看application： ACS/admin# ping ip 10.1.2.10 PING 10.1.2.10 (10.1.2.10) 56(84) bytes of data. 64 bytes from 10.1.2.10: icmp_seq=1 ttl=255 time=4.71 ms 64 bytes from 10.1.2.10: icmp_seq=2 ttl=255 time=0.984 ms 64 bytes from 10.1.2.10: icmp_seq=3 ttl=255 time=1.19 ms 64 bytes from 10.1.2.10: icmp_seq=4 ttl=255 time=1.30 ms --- 10.1.2.10 ping statistics --- 4 packets transmitted, 4 received, 0% packet loss, time 3001ms rtt min/avg/max/mdev = 0.984/2.048/4.711/1.542 ms

ACS/admin# show application status acs ACS role: PRIMARY Process 'database' running Process 'management' running Process 'runtime' running Process 'ntpd' running Process 'view-database' running Process 'view-jobmanager' running Process 'view-alertmanager' running Process 'view-collector' running Process 'view-logprocessor' running

ASA# ping 10.1.2.254 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.1.2.254, timeout is 2 seconds:!!!!! 3、ASA测试： ASA(config)# test aaa-server authentication zhou username bb password bbbb Server IP Address or name: 10.1.2.254(timeout: 12 seconds) INFO: Authentication Successful