经测试,ACS服务器的备份有两种方法,一种是使用ACS Backup功能,将系统配置(含用户帐号、设备组等信息)导成dmp后缀的文件,恢复时使用ACS Restore即可恢复,这只要一台ACS设备即可以完成,另一种是使用多台ACS服务器,设定主从同步关系,备用ACS接收主ACS下发的信息。下面分别讲述

 
一、单台服务器使用ACS Backup和ACS Restore功能
 
    经测试在ACS4.2版本下,可以将ACS-A的dmp后缀的文件,拿到另一台ACS-B上进行导入。ACS-B上可以生成ACS-A上的所有用户帐号,设备,及系统设置信息(如导入的华为Radius私有属性),但ACS-B上原来的信息会全部被覆盖,只保留ACS-B自己的主机名信息不变。
 
  
二、ACS服务器间数据同步(多台服务器互为热备)
 
    备用ACS上虽然没有手工导入华为radius私有属性,但通过接收主ACS同步信息,可以在备用ACS上直接产生。但reports and activity 菜单下所纪录的用户上、下线,命令操作log等信息,不进行同步。
 
 
配置要点
• 多个ACS服务器必须是同版本的;
• 主ACS与备用ACS服务器之间数据的压缩、加密与传输是通过TCP协议2000端口;
• 主ACS必须配置为AAA Server,备用ACS必须配置相应的AAA Server,并与主ACS有相同的key;
• ACS不支持双向的数据分发,如果主ACS不在备用ACS的主ACS列表中,备用ACS会拒绝数据更新。
 
配置主ACS的服务器
  首先配置好主ACS,确保可以完成要求的功能,然后安装备ACS,但暂时不要做任何配置。在两个ACS的 Network Configuation 的 AAA Servers 互相添加对方,就是在主ACS中添加备ACS的信息,在备ACS中添加主ACS的信息,两台ACS的key要完全相同。 
 
  先配置主ACS的同步设置,在 System Configuation 中找到 ACS Internal Database Replication ,
 
Replication Components 中可以设置服务器Send数据或Receive数据哪些数据,对于主ACS为Send。
Outbound Replication 的 Scheduling 中可以设置同步的时间,在同步的时候ACS服务会暂时停止,因此尽量选择业务最空闲的时候来同步。
 
下面的 Partners 中是设置要把数据发送给哪些ACS服务器,在Replication Partners项,把备用服务器从AAA Server栏添加到Partners栏。左侧 AAA Servers 列表里的都是在 Network Configuation 里面添加的,需要把备ACS添加到右侧栏里。
 
    修改数据库更新频率等配置,提交后主服务器即可向其他ACS服务器发送数据
 
 
配置备ACS的同步设置
    Network Configuration项中,把主ACS服务器添加到AAA服务器列表。(与主ACS配置方式相同)
    Replication Components 中设置Receive数据,注意的是ACS的同步是覆盖而不是合并,接受数据的ACS会覆盖掉自己的数据,哪怕自己的数据是最新的
Outbound Replication 不要动,Inbound Replication 可以选择接受那些ACS发送来的同步数据
如果备用服务器只从唯一的主服务器接收数据,则在Accept replication list选择框选择对应的主服务器名。
如果备用服务器只从多个主服务器接收数据,则在Accept replication list选择框选择Any Known Cisco Secure ACS
 
这里特别注意,不要把主ACS服务器添加Replication Partner栏,Replication Partner栏最好是空的(防止备用ACS把信息覆盖主ACS)
 
ACS上执行同步或设定好自动同步
    回到主ACS的 Database Replication Setup ,点一下 Replication Now,再回到备ACS把一些没有同步过来的地方配置好就行了。
 
  两台ACS的防火墙上都需要打开TCP 2000端口传递同步数据。同步的情况和日志可以在 Reports and Activity 的 Database Replication 看到。