利用ACS實現AAA服務

 

ACS簡介

思科安全訪問控制服務器（Cisco Secure Access Control Sever）是一個高度可擴展、高性能的訪問控制服務器，提供了全面的身份識別網絡解決方案，是思科基於身份的網絡服務(IBNS)架構的重要組件。Cisco Secure ACS經過在一個集中身份識別聯網框架中將身份驗證、用戶或管理員接入及策略控制相結合，強化了接入安全性。這使企業網絡能具備更高靈活性和移動性，更爲安全且提升用戶生產率。Cisco Secure ACS 支持範圍普遍的接入鏈接類型，包括有線和無線局域網、撥號、寬帶、內容、存儲、VoIP、防火牆和 ×××。Cisco Secure ACS 是思科網絡准入控制的關鍵組件。

　適用場合：

集中控制用戶經過有線或者無線鏈接登陸網絡

設置每一個網絡用戶的權限

記錄記賬信息，包括安全審查或者用戶記賬

設置每一個配置管理員的訪問權限和控制指令

用於 Aironet 密鑰重設置的虛擬 VSA

安全的服務器權限和加密

經過動態端口分配簡化防火牆接入和控制

統一的用戶AAA服務

AAA簡介

AAA系統的簡稱：

　　認證(Authentication)：驗證用戶的身份與可以使用的網絡服務；

　　受權(Authorization)：依據認證結果開放網絡服務給用戶；

　　計賬(Accounting)：記錄用戶對各類網絡服務的用量，並提供給計費系統。

　　AAA-----身份驗證 (Authentication)、受權 (Authorization)和統計 (Accounting)Cisco開發的一個提供網絡安全的系統。奏見authentication。authorization和accounting

　　經常使用的AAA協議是Radius。

　　另外還有 HWTACACS協議（Huawei Terminal Access Controller Access Control System）協議。HWTACACS是華爲對TACACS進行了擴展的協議

　　HWTACACS是在TACACS（RFC1492）基礎上進行了功能加強的一種安全協議。該協議與RADIUS協議相似，主要是經過「客戶端－服務器」模式與HWTACACS服務器通訊來實現多種用戶的AAA功能。

　　HWTACACS與RADIUS的不一樣在於：

　　l RADIUS基於UDP協議，而HWTACACS基於TCP協議。

　　l RADIUS的認證和受權綁定在一塊兒，而HWTACACS的認證和受權是獨立的。

　　l RADIUS只對用戶的密碼進行加密，HWTACACS能夠對整個報文進行加密。

　　認證方案與認證模式

　　AAA支持本地認證、不認證、RADIUS認證和HWTACACS認證四種認證模式，並容許組合使用。

　　組合認證模式是有前後順序的。例如，authentication-mode radius local表示先使用RADIUS認證，RADIUS認證沒有響應再使用本地認證。

　　當組合認證模式使用不認證時，不認證（none）必須放在最後。例如：authentication-mode radius local none。

　　認證模式在認證方案視圖下配置。當新建一個認證方案時，缺省使用本地認證。

　　受權方案與受權模式

　　AAA支持本地受權、直接受權、if-authenticated受權和HWTACACS受權四種受權模式，並容許組合使用。

　　組合受權模式有前後順序。例如,authorization-mode hwtacacs local表示先使用HWTACACS受權，HWTACACS受權沒有響應再使用本地受權。

　　當組合受權模式使用直接受權的時候，直接受權必須在最後。例如：authorization-mode hwtacacs local none

　　受權模式在受權方案視圖下配置。當新建一個受權方案時，缺省使用本地受權。

　　RADIUS的認證和受權是綁定在一塊兒的，因此不存在RADIUS受權模式。

　　計費方案與計費模式

　　AAA支持六種計費模式：本地計費、不計費、RADIUS計費、HWTACACS計費、同時RADIUS、本地計費以及同時HWTACACS、本地計費。

注：以上內容來自百度百科

案例一 華爲交換機

實驗描述：在管理不少的 交換機這裏用 華爲系列)時須要集中式用統一帳號和密碼來管理，這時須要radius服務器(即cisco ACS 在windows server 2003 上安裝)來登陸並管理這些交換機。s2000(

實驗拓撲圖：

 

 

實驗步驟：

安裝ACS，安裝ACS須要JDK環境，因此先安裝JDK。安裝ACS步驟網上比較詳細，這裏就再也不介紹了。

安裝成功以後，查看端口，並華爲的私有協議導入ACS中

 

 

 

 

 

配置ACS

添加客戶端sw-1

 

 

配置以下

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

交換機配置以下：

radius scheme xxx //新建一個radius 方案

server-type huawei //服務器類型 huawei

primary authentication 192.168.101.201 //主服務器地址

accounting optional //計費可選

key authentication 123456 //驗證密鑰

user-name-format without-domain //用戶名格式

domain tec //新建域

scheme radius-scheme xxx //引入radius方案

access-limit enable 10 //設置登陸人數

測試

 

 

 

基於端口的認證

[Quidway]dot1x

802.1X is enabled globally.

[Quidway]int e1/0/5

[Quidway-Ethernet1/0/5]dot1x

802.1X is enabled on port Ethernet1/0/5.

新加一個用戶test1

 

 

 

 

 

 

 

案例二 華爲路由器

拓撲圖：

 

 

 

 

 

路由器配置：

interface Ethernet0

ip address 192.168.101.15 255.255.255.0

interface Ethernet1

ip address 192.168.10.5 255.255.255.0

radius server 192.168.101.201 //服務器地址

radius shared-key 123456 //密鑰

aaa-enable

aaa authentication-scheme login default radius none //默認登陸認證方式

aaa accounting-scheme optional

測試

 

 

 

案例三 H3C防火牆

拓撲圖：

 

 

 

防火牆配置

[H3C]dis cu
domain default enable tec //將域tec設置爲默認域
firewall packet-filter enable
firewall packet-filter default permit

firewall statistic system enable
radius scheme h3c //radius方案
server-type extended // 服務器類型
primary authentication 192.168.101.201 //主服務器的地址
accounting optional
key authentication 123456 //密鑰
user-name-format without-domain

domain tec //新建域 tec
scheme radius-scheme h3c //引入radius方案
access-limit enable 100
local-user user1
password simple 123
service-type ssh telnet
level 3

interface Ethernet0/0 //接口配置
ip address 192.168.101.20 255.255.255.0
interface Ethernet0/1
ip address 192.168.10.10 255.255.255.0

firewall zone trust //把端口加入zone
add interface Ethernet0/0
add interface Ethernet0/1

user-interface vty 0 4
authentication-mode scheme

測試