思科安全访问控制服务器（Cisco Secure Access Control Sever）是一个高度可扩展、高性能的访问控制服务器，提供了全面的身份识别网络解决方案，是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合，强化了接入安全性。这使企业网络能具有更高灵活性和移动性，更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型，包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××。Cisco Secure ACS 是思科网络准入控制的关键组件。 　

　适用场合：

◆集中控制用户通过有线或者无线连接登录网络

◆设置每个网络用户的权限

◆记录记帐信息，包括安全审查或者用户记帐

◆设置每个配置管理员的访问权限和控制指令

◆用于 Aironet 密钥重设置的虚拟 VSA

◆安全的服务器权限和加密

◆通过动态端口分配简化防火墙接入和控制

◆统一的用户AAA服务

以上信息来自于互联网。不得不说尽管ACS很强大，但是配置确实有一些难度，笔者连续实验了5次都是在最后telnet后用户权限不成功，最后幸得高人相助，终于明白是交换机的问题，笔者进行了配置，第6次，终于成功了！

另外提醒一下您，如果您想要对Radius认证有更深一步的认识，笔者在文章末尾附上一篇Radius的PDF文档。

实验目的：某公司内部网络采用统一式管理，将所有设备的帐号和密码的认证任务统一交给Radius服务器（ACS），这样方便管理员通过telnet方式登录设备管理设备。由于设备有限，笔者仅使用一台设备进行模拟管理。

实验拓扑：

实验设备：Radius认证服务器一台（CISCO ACS运行环境Windows Server 2003）

华为二层交换机一台

客户机一台

实验步骤：

一、Radius认证服务器配置

1.安装ACS服务器

需要注意的是安装ACS服务器需要JDK环境。

以下是安装过程中的截图，部分图片来自于互联网，所以有些混乱，以实际为准。

这样，ACS服务器就安装完成了。

2.将华为私有属性导入ACS

尽管ACS服务器已经安装完成，但是需要导入华为的私有属性，这样才能去管理华为的交换机和华为兼容。

首先，将以下代码保存为h3c.ini。

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

然后进入到ACS的安装目录(默认位于C:\Program Files\CiscoSecure ACS v4.0\bin），执行以下指令。

之后再执行以下指令，如果出现下图所示的内容证明导入成功。

3.配置ACS服务器

接下来进行配置ACS服务器。首先，配置Network。

配置客户端，由于需要对交换机进行管理，因此客户端地址是交换机地址。

配置服务器。

配置好的信息如下。

进行接口配置。

进行组配置。

进行用户配置。

二、交换机配置

1.配置Radius scheme

2.配置域

3.配置验证模式

三、客户端验证