利用acs實現AAA服務器的搭建

AAA服務器：

AAA是驗證、受權和記帳（Authentication、Authorization、Accounting ）三個英文單詞的簡稱。其主要目的是管理哪些用戶能夠訪問網絡服務器，具備訪問權的用戶能夠獲得哪些服務，如何對正在使用網絡資源的用戶進行記帳。AAA服務器（AAA server）是一個可以處理用戶訪問請求的服務器程序。提供驗證受權以及賬戶服務。AAA服務器一般同網絡訪問控制、網關服務器、數據庫以及用戶信息目錄等協同工做。同AAA服務器協做的網絡鏈接服務器接口是「遠程身份驗證撥入用戶服務 (RADIUS)」。具體爲：

一、 驗證(Authentication): 驗證用戶是否能夠得到訪問權限；

二、 受權(Authorization) : 受權用戶可使用哪些服務；

三、 記帳(Accounting) : 記錄用戶使用網絡資源的狀況。

RADIUS協議：

RADIUS（Remote Authentication Dial In User Service）協議是在IETF的RFC 2865和2866中定義的。RADIUS 是基於 UDP 的一種客戶機/服務器協議。RADIUS客戶機是網絡訪問服務器，它一般是一個路由器、交換機或無線訪問點。RADIUS服務器一般是在UNIX或Windows 2000服務器上運行的一個監護程序。RADIUS 協議的認證端口是1812 ，計費端口是1813。

RADIUS協議的主要特色

一、 客戶/服務模式(Client/Server)

RADIUS是一種C/S結構的協議，它的客戶端最初就是網絡接入服務器NAS（Network Access Server），如今運行在任何硬件上的RADIUS客戶端軟件均可以成爲RADIUS的客戶端。客戶端的任務是把用戶信息（用戶名，口令等）傳遞給指定的RADIUS服務器，並負責執行返回的響應。

RADIUS服務器負責接收用戶的鏈接請求，對用戶身份進行認證，併爲客戶端返回全部爲用戶提供服務所必須的配置信息。

一個RADIUS服務器能夠爲其餘的RADIUS Server或其餘種類認證服務器擔當代理。

二、 網絡安全

客戶端和RADIUS服務器之間的交互通過了共享保密字的認證。另外，爲了不某些人在不安全的網絡上監聽獲取用戶密碼的可能性，在客戶端和RADIUS服務器之間的任何用戶密碼都是被加密後傳輸的。

三、 靈活的認證機制

RADIUS服務器能夠採用多種方式來鑑別用戶的合法性。當用戶提供了用戶名和密碼後，RADIUS服務器能夠支持點對點的PAP認證（PPP PAP）、點對點的CHAP認證（PPP CHAP）、UNIX的登陸操做（UNIX Login）和其餘認證機制。

4． 擴展協議

全部的交互都包括可變長度的屬性字段。爲知足實際須要，用戶能夠加入新的屬性值。新屬性的值能夠在不中斷已存在協議執行的前提下自行定義新的屬性。

RADIUS的工做過程

RADIUS協議旨在簡化認證流程。其典型認證受權工做過程是：

一、用戶輸入用戶名、密碼等信息到客戶端或鏈接到NAS；

二、客戶端或NAS產生一個「接入請求（Access-Request）」報文到RADIUS服務器，其中包括用戶名、口

令、客戶端（NAS）ID 和用戶訪問端口的ID。口令通過MD5算法進行加密。

三、RADIUS服務器對用戶進行認證；

四、若認證成功，RADIUS服務器向客戶端或NAS發送容許接入包（Access-Accept），不然發送拒絕加接

入包（Access-Reject）；

五、若客戶端或NAS接收到容許接入包，則爲用戶創建鏈接，對用戶進行受權和提供服務，並轉入6；若

接收到拒絕接入包，則拒絕用戶的鏈接請求，結束協商過程；

六、客戶端或NAS發送計費請求包給RADIUS服務器；

七、RADIUS服務器接收到計費請求包後開始計費，並向客戶端或NAS回送開始計費響應包；

八、用戶斷開鏈接，客戶端或NAS發送中止計費包給RADIUS服務器；

九、RADIUS服務器接收到中止計費包後中止計費，並向客戶端或NAS回送中止計費響應包，完成該用戶的一次計費，記錄計費信息。

ACS安全訪問控制服務器： 思科安全訪問控制服務器（Cisco Secure Access Control Sever）是一個高度可擴展、高性能的訪問控制服務器，提供了全面的身份識別網絡解決方案，是思科基於身份的網絡服務(IBNS)架構的重要組件。Cisco Secure ACS經過在一個集中身份識別聯網框架中將身份驗證、用戶或管理員接入及策略控制相結合，強化了接入安全性。這使企業網絡能具備更高靈活性和移動性，更爲安全且提升用戶生產率。Cisco Secure ACS 支持範圍普遍的接入鏈接類型，包括有線和無線局域網、撥號、寬帶、內容、存儲、VoIP、防火牆和 ×××。Cisco Secure ACS 是思科網絡准入控制的關鍵組件。

適用場合：

◆集中控制用戶經過有線或者無線鏈接登陸網絡

◆設置每一個網絡用戶的權限

◆記錄記賬信息，包括安全審查或者用戶記賬

◆設置每一個配置管理員的訪問權限和控制指令

◆用於 Aironet 密鑰重設置的虛擬 VSA

◆安全的服務器權限和加密

◆經過動態端口分配簡化防火牆接入和控制

◆統一的用戶AAA服務

 

ACS安裝與配置

ACS須要Java虛擬機的支持。首先確保安裝了JDK。

而後選擇默認值安裝。

默認值安裝

而後默認值安裝就OK了

桌面上會有個ACS admin快捷鍵。用於每次鏈接到ACS。每次的端口也不同。

爲了進行操，必須配置IE屬性。

點擊肯定。打開ACS admin對AAA服務器進行配置

因爲實驗須要與華爲設備結合。而華爲的屬性與ACS 不兼容。咱們須要導入華爲私有屬性。

h3c.ini

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

打開ACS admin對AAA服務器進行配置

點擊提交

可能須要查看誰登錄了客戶端。咱們就須要日誌了

這樣咱們的AAA服務器基本上就搭建好了

實現用戶的telnet遠程管理

 

案例1、與華爲交換機的結合實現AAA服務器認證

拓撲圖

交換機配置

測試

案例2、與華爲路由器的結合實現AAA服務器認證

拓撲圖

路由器配置

aaa-enable
aaa authentication-scheme login default radius
# 配置RADIUS 服務器IP 地址

radius server 192.168.10.1
# 配置RADIUS 服務器密鑰，計費方式。

radius shared-key my-secret

aaa accounting-scheme optional

配置客戶端地址
int eth0

ip add 192.168.10.2 24

quit

測試

不知道什麼緣由，在本身機器上作不成功。驗證提示已經經過。但是telnet不成功。

案例3、與防火牆的結合實現AAA服務器認證

拓撲圖

防火牆配置

測試