企業網絡中部署Cisco ACS Server

   上兩篇博客已經介紹了企業應用AAA的重要性，以及經過兩個實例講解了，如何在企業中Cisco設備啓用AAA，而配置咱們主要側重因而手動完成，在認證和受權是在路由器本地查詢數據庫完成的。咱們考慮一個這個問題，在本地路由器上完成AAA的認證和受權，貌似沒有什麼問題，但是你們想一想，對於AAA的安全性而言，咱們只用到其中一小部分技術，而更重要的「審計」在本地能實現嗎？受權咱們也作了一部分，在本地路由器要實現對「命令」的，雖然能夠實現，可是感受是更爲蒼白一些，總感受本身的這種安全作法，並不是科學性對吧，尤爲你以爲很繁瑣，不夠靈活多樣。若是公司有幾十個用戶，每一個用戶接入到網絡中都須要身份驗證（802.1X），若是在路由器上敲命令要實現就更爲困難了，並且工做量太大，這徹底是一個體力活。這時候你可能期盼咱們可否把認證，受權，審計，由公司內部一臺服務器來完成了，讓路由器或者交換機只須要把客戶端的訪問請求轉發給這臺服務器，其實就是咱們今天要講的ACS Server，ACS Server查詢本地的數據庫，若是客戶端發送的用戶名和密碼和本地數據庫的同樣，則認證經過，再依據你的受權配置完成 相應的受權，審計也更加容易實現，能夠和SQL等數據庫結合起來，把用戶的訪問記錄從開始到結束，所有記錄下來，而後管理員能夠隨時查看處理這些問題。

那今天的主要問題，若是在企業環境中搭建一臺ACS Server，須要注意哪些問題？搭建這臺服務器有什麼要求？搭建以後如何維護和發揮其重要的做用？在AAA服務器上配置認證和受權，審計將陸續在後面的博客中更新，敬請期待。

你們先來看個人實驗拓撲：

ACS全名是：CiscoSecure ACS

版本號有：2.0，3.2，4.0，4.2等，今天實驗環境ACS Server服務器上安裝的4.0版本

到底什麼樣的服務器是ACS Server？答案很簡單是吧，能提供AAA認證，受權，審計等功能一臺Windows Server 服務器，該服務器上必須安裝的是Cisco Secure ACS 軟件，這樣服務器咱們就能夠稱爲ACS Server

ACS Server 操做系統要求爲：windows 2000 ,windows 2003,windows server 2008，沒法安裝在Windows Client

安裝ACS 服務器步驟：

1，首先安裝完windows 2003 server ,設置完IP地址和（IP地址不可安裝完ACS後隨意更改，這將形成ACS通信處問題，切記），ACS Server 軟件你能夠安裝到公司的文件服務器或者其餘的服務器，或者安裝到虛擬機中也能夠。只要ACS Server和須要提供AAA服務的設備能夠相互通訊便可。

如圖1所示，ACS Server IP地址設置完畢

2，安裝Java虛擬機，（jre-6u4-windows-i586-p）下載地址 http://www.java.com 。不要安裝JAVA JDK版本，若是java沒有安裝，或者安裝的版本有問題會致使ACS 安裝完以後，打開的頁面是空白的，沒法運行ACS

如圖2所示，點擊「接受」下載安裝下一步便可,

3，ACS Server屬於收費性質軟件，在cisco 網站上須要使用CCO帳號登錄就能夠找到最新的版本下載，但最新的版本並不必定是最穩定的版本，軟件只有英文版，可是其餘的第三方站點也提供ACS 下載。

如圖3所示，打開壓縮包中的文件，點擊「Setup」,出現安裝贊成協議，點擊「ACCEPT」 下一步

4，如圖4所示，如圖勾選這4項，ACS的基本的組件，必須都選

注意提示，Cisco IOS 11.1或者以後的版本才能夠支持AAA命令，ACS Server上IE的版本最低是6.0

 

 

5，如圖5所示，ACS 默認安裝路徑，若是在生產環境下，考慮備份等問題，能夠更改安裝目錄，通常默認路徑便可，不會佔用太多的磁盤空間。

6，如圖6所示，讓ACS 獨立存放本身的數據庫文件（默認選擇）

 

 

7，如圖7所示，開始安裝文件，等待幾秒，出現下一步操做

8，如圖8所示，ACS Server高級選項設置，如圖所有勾選，也能夠勾選前三項，有組和用戶的設置，最大化會話數等

9，如圖9所示，ACS還提供一個重要的服務就是能夠結合SMTP服務，以郵件的形式通知管理人員，AAA服務器運行狀態和日誌信息，勾選開啓日誌監視，郵件服務器的地址這裏沒有，或者不須要經過郵件來監視，就能夠不用勾選，

10， 如圖10所示，安裝最後一步，最關鍵的一步，也是你們最容易忽視的一步，這裏沒有留心，極可能致使你的AAA沒法正常工做。那一段英文的重要意思是：配置ACS服務器的認證密鑰，密鑰的建議是8個字符，包含大小寫。

這是不少人可能會發生疑問，爲何要配置ACS 的認證密鑰？何時會用？

再看文章前面的拓撲，ACS_Client(192.168.10.3)，不是說ACS服務器還須要在路由器上來安裝個什麼客戶端的軟件，而這裏的意思是我給你路由器的起的名稱，在這一臺路由器上來配置AAA的認證、受權、審計，當訪問客戶端（192.168.10.1）,要經過Telnet,SSH,Console形式登錄路由器調試和配置時，路由器會要求檢查用戶的身份是否合法，也就是要求用戶輸入登陸的用戶名和密碼，那麼登陸的用戶名和密碼，是在ACS服務器來配置的，ACS Server 和 路由器之間鏈路是通的，這時當用戶在鍵盤上輸入登陸的用戶名和密碼，路由器把登陸的請求和客戶端的輸入的密碼發送到ACS 服務器上來請求驗證，這個用戶名和密碼是否合法，在驗證用戶名和密碼的合法性以前，就首先要肯定這臺路由器的身份是合法的，怎麼肯定路由器的身份是合法的，在路由器和ACS Server之間通信會有一個密碼，用這個密碼來驗證其合法性.

 

這裏設置ACS密碼用於ACS Internal Database Encryption.當提取數據庫時纔會用到.

11，如圖11所示，ACS 安裝完成了，默認的登錄地址是 http://127.0.0.1:2002 ,2002是默認的本地開放的端口，會在桌面上建立ACS快捷方式

12，如圖12所示，ACS安裝完成如圖主頁面，ACS 打開時會調用java，右下角所示，安裝完以後檢查java有無加載，若是能夠正常加載，則ACS能夠正常運行。

13，測試路由器與訪問客戶端，ACS Server 是否能夠ping 通 ，（路由器的底層配置略過）

 

 

 

本文的雖然比較簡單，可是不少不少朋友不過重視，就致使AAA服務器上的認證，受權和審計常常失敗，大對數緣由是沒有搞明白ACS Server的工做原理，忘了還有個什麼ACS KEY ？

下回給你們講解ACS Server 與客戶端須要通信，提供認證、受權、審計服務，須要用什麼協議來承載和傳遞這些流量，不一樣的廠商設備如何選擇不一樣的協議（Tacacs+,Radius），各自的優缺點等