ACS简介
思科安全访问控制服务器(Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××。Cisco Secure ACS 是思科网络准入控制的关键组件。
适用场合:
1.集中控制用户通过有线或者无线连接登录网络
2.设置每个网络用户的权限
3.记录记帐信息,包括安全审查或者用户记帐
4.设置每个配置管理员的访问权限和控制指令
5.用于 Aironet 密钥重设置的虚拟 VSA
6.安全的服务器权限和加密
7.通过动态端口分配简化防火墙接入和控制
8.统一的用户AAA服务
AAA简介
AAA系统的简称:
认证(Authentication):验证用户的身份与可使用的网络服务;
授权(Authorization):依据认证结果开放网络服务给用户;
计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting
常用的AAA协议是Radius。
另外还有 HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。HWTACACS是华为对TACACS进行了扩展的协议
HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过“客户端-服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。
HWTACACS与RADIUS的不同在于:
l RADIUS基于UDP协议,而HWTACACS基于TCP协议。
l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。
l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。
认证方案与认证模式
AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。
组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。
当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local none。
认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。
授权方案与授权模式
AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。
组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。
当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-mode hwtacacs local none
授权模式在授权方案视图下配置。当新建一个授权方案时,缺省使用本地授权。
RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。
计费方案与计费模式
AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。
实验拓扑图:

安装ACS,安装ACS需要JDK环境,所以先安装JDK。安装成功之后,查看端口,并华为的私有协议导入ACS中

配置ACS

一.交换机相关配置如下:
radius scheme xxx //新建一个radius 方案
server-type huawei //服务器类型 huawei
primary authentication 192.168.101.201 //主服务器地址
accounting optional //计费可选
key authentication 123456 //验证密钥
user-name-format without-domain //用户名格式
domain tec //新建域
scheme radius-scheme xxx //引入radius方案
access-limit enable 10 //设置登录人数
端口认证:
[Quidway]dot1x
802.1X is enabled globally.
[Quidway]int e1/0/5
[Quidway-Ethernet1/0/5]dot1x
802.1X is enabled on port Ethernet1/0/5.

二.路由器相关配置:
interface Ethernet0
ip address 192.168.101.15 255.255.255.0
interface Ethernet1
ip address 192.168.10.5 255.255.255.0
radius server 192.168.101.201 //服务器地址
radius shared-key 123456 //密钥
aaa-enable
aaa authentication-scheme login default radius none //默认登录认证方式
aaa accounting-scheme optional

ACS相关配置

三.防火墙相关配置
[H3C]dis cu
domain default enable tec //将域tec设置为默认域
firewall packet-filter enable
firewall packet-filter default permit
firewall statistic system enable
radius scheme h3c //radius方案
server-type extended // 服务器类型
primary authentication 192.168.101.201 //主服务器的地址
accounting optional
key authentication 123456 //密钥
user-name-format without-domain

domain tec //新建域 tec
scheme radius-scheme h3c //引入radius方案
access-limit enable 100
local-user user1
password simple 123
service-type ssh telnet
level 3

interface Ethernet0/0 //接口配置
ip address 192.168.101.20 255.255.255.0
interface Ethernet0/1
ip address 192.168.10.10 255.255.255.0
firewall zone trust //把端口加入zone
add interface Ethernet0/0
add interface Ethernet0/1
user-interface vty 0 4
authentication-mode scheme
ACS相关配置

注:该实验交换机,路由器,防火墙都是华为设备。

转载于:https://blog.51cto.com/sunentao/976616

利用ACS来实现AAA服务相关推荐

  1. 利用ACS实现AAA服务的搭建

    一.原理: 基于 Windows 的思科安全访问控制服务器(ACS) 思科安全访问控制服务器(ACS)是一个高度可扩展.高性能的访问控制服务器,提供了全面的 身份识别网络解决方案,是思科基于身份的网络 ...

  2. 利用ACS实现AAA认证

    AAA代表Authentication.Authorization.Accounting,意为认证.授权.记帐,其主要目的是管理哪些用户可以访问服务器,具有访问权的用户可以得到哪些服务,如何对正在使用 ...

  3. 老雷socket编程之PHP利用socket扩展实现聊天服务

    老雷socket编程之PHP利用socket扩展实现聊天服务 socket聊天服务原理 PHP有两个socket的扩展 sockets和streams sockets socket_create(AF ...

  4. 利用开源社区打造微服务生态体系

    https://yq.aliyun.com/articles/62569 前言 大家好,我是敖小剑,今天给大家分享的主题是"利用开源社区打造微服务生态体系". 主要内容如下: 内容 ...

  5. Java中利用socket实现简单的服务端与客户端的通信(中级)——实现任意双向通信

    本文计划采用socket实现客户端和服务端的任意双向通信,即客户端可以随时给服务端发消息,服务端也可以随时给客户端发消息,最终结果就是一个类似与QQ的聊天软件的功能. 以下代码可以直接拷贝到Eclip ...

  6. Java中利用socket实现简单的服务端与客户端的通信(基础级)

    在上一篇文章中,简单的介绍了java中入门级的socket编程,简单的实现了客户端像服务器端发送数据,服务器端将数据接收并显示在控制台,没有涉及多线程.上一篇文章的链接:Java中利用socket实现 ...

  7. python windows系统管理_利用Python脚本管理Windows服务

    Windows服务常用的功能就是启动服务,关闭服务,重启服务和查询服务运行状态,其中查询服务运行状态是其他三种操作的基础. 本文中提到的使用Python脚本管理Windows服务实际上是调用win32 ...

  8. 利用阿里云容器镜像服务下载gcr.io镜像

    背景 由于你懂的原因,国内是没有办法下载gcr.io镜像的,利用docker hub构建GitHub现在又要钱,所以这里利用阿里云容器镜像服务下载gcr.io镜像. 步骤 这里以gcr.io/tekt ...

  9. 一、ArcGIS Server篇:利用ArcGIS Server发布动态地图服务

    写在前面的话:本篇博客参考 在WebGIS开发过程中,我们所需要的数据不仅仅来自于ArcGIS online,有时候我们需要发布自己的数据服务,在本篇博客中主要说明一下如何利用ArcGIS Serve ...

最新文章

  1. 安卓java修改按钮大小_android弹出activity设置大小的方法
  2. 树结构练习——排序二叉树的中序遍历
  3. (十)、java内部类与内部类的闭包和回调
  4. ubuntu6.06容易死机的一种解决方法
  5. 图片复印如何去除黑底_身份证复印机中间有黑线怎么办
  6. mysql查看数据库所占用的空间
  7. AOJ-759 会绕圈的数
  8. CentOS7和Ubuntu16设置静态ip的方法
  9. java运算符的优先级别
  10. [PHP] PHP源码中的条件编译定义
  11. php 触屏手写,MyTouch易维触摸屏手写输入法
  12. Java——事故应急
  13. 求职指导课程测试题(学习自测使用)
  14. java整数相乘得负数_关于java:将2(小)个数字相乘得到负数的解决方案,而不是溢出…为什么?...
  15. 今日头条用户搜索“室内设计”显示的自媒体粉丝数量及分布情况统计(2020.1.8)
  16. 模糊处理(下)--高斯模糊,双边模糊以及实现一个简单的磨皮美颜效果(opencv学习记录--4)
  17. 使用Easy Excel导入数据,性别为男女,数据库值为0、1
  18. UVA1616 Caravan Robbers
  19. 循环中的continue与break语句
  20. 客服整理的聊天话术怎么导入到新电脑上面?

热门文章

  1. (一)容器从入门到深入-容器和镜像
  2. 探索 Pexpect
  3. 中科大 计算机网络12 Web和HTTP
  4. 王道考研 计算机网络11 数据链路层 封装成帧 透明传输 流量控制 停止-等待协议 后退N帧协议GBN 选择重传协议SR
  5. 每天30分钟:成功有效的学习方法
  6. C语言数组参数与指针参数
  7. 在Windows下编译ffmpeg完全手册
  8. Linux指令小记(简明实用)
  9. Linux 线程占用CPU过高定位分析
  10. Sublime 插件- px 转rem