一.概述：

ACS4.x初始http访问端口为2002，后续的端口默认会从1024~65535随机变化，从ASA的inside区域访问outside区域的ACS4.x没有问题，但是如果从ASA的outside区域访问inside区域的ACS4.x，就会带来问题，不可能把所有的TCP1024~65535端口都放开。

二.基本思路：

A.限定ACS4.x动态端口的变化范围

---值得注意的是ASC4.x的动态端口根据每个session来变化，如果设定变化访问只为一个值，比如：2003~2003，则会导致同时只能一个session连接ACS4.x进行管理。

B.配置为https访问(可选）

---刚开始以为配置https后就不会动态端口，实际测试发现https采用的初始端口也是2002，后面端口还是会随机变化。

三.配置方法：

A.限定ACS4.x动态端口的变化范围

---Administration Control->Access Policy->HTTP Port Allocation，设定变化的端口范围，假定设置范围为2003~2004。

B.配置为https访问（可选）

参考链接：http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for_windows/4.0/user/guide/sau.html#wp327487

配置HTTPS的证书有多种方式，可以向CA申请，也可以创建自签名的证书，我测试的是自签名证书：

①生成自签名证书

---System Configuration ->ACS Certificate Setup ->Generate Self-Signed Certifcate

②根据提示进行重启ACS

③修改访问策略，设置为https访问

---Administration Control->Access Policy->Secure Socket Layer Setup勾选：Use HTTPS Transport for Administration Access

C.防火墙放行策略

---根据前面的动态端口范围设置，以及初始端口2002，那样只需放行TCP 2002~2004即可，这样可以允许同时有两个用户来管理ACS4.x。

①拓扑：

202.100.1.0/24                            10.1.1.0/24

PC1(.8)-----Outside--------------(.1)ASA842(.1)------Inside-----------(.100)ACS4.x

②防火墙ASA842配置：

1.内网PAT出公网：

object network Inside_net

subnet 10.1.1.0 255.255.255.0

nat (inside,outside) dynamic interface

2.映射端口范围：

object network Inside_ACS_Host
host 10.1.1.100
object service ACS_Ports
service tcp destination range 2002 2004

nat (Outside,Inside) source static any any destination static interface Inside_ACS_Host service ACS_Ports ACS_Ports

3.配置策略：

policy-map global_policy
class inspection_default
 inspect icmp

access-list Outside extended permit tcp host 202.100.1.8 object Inside_ACS_Host range 2002 2004 
access-group Outside in interface Outside

本文转自 碧云天 51CTO博客，原文链接：http://blog.51cto.com/333234/1220918，如需转载请自行联系原作者