思科安全访问控制服务器(Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××Cisco Secure ACS 是思科网络准入控制的关键组件。  

 适用场合:

集中控制用户通过有线或者无线连接登录网络

设置每个网络用户的权限

记录记帐信息,包括安全审查或者用户记帐

设置每个配置管理员的访问权限和控制指令

用于 Aironet 密钥重设置的虚拟 VSA

安全的服务器权限和加密

通过动态端口分配简化防火墙接入和控制

统一的用户AAA服务

以上信息来自于互联网。不得不说尽管ACS很强大,但是配置确实有一些难度,笔者连续实验了5次都是在最后telnet后用户权限不成功,最后幸得高人相助,终于明白是交换机的问题,笔者进行了配置,第6次,终于成功了!

另外提醒一下您,如果您想要对Radius认证有更深一步的认识,笔者在文章末尾附上一篇RadiusPDF文档。

实验目的:某公司内部网络采用统一式管理,将所有设备的帐号和密码的认证任务统一交给Radius服务器(ACS),这样方便管理员通过telnet方式登录设备管理设备。由于设备有限,笔者仅使用一台设备进行模拟管理。

实验拓扑: 

实验设备:Radius认证服务器一台(CISCO ACS运行环境Windows Server 2003)

               华为二层交换机一台

               客户机一台

实验步骤:

一、Radius认证服务器配置

1.安装ACS服务器

需要注意的是安装ACS服务器需要JDK环境。

以下是安装过程中的截图,部分图片来自于互联网,所以有些混乱,以实际为准。

 

 

 

  

  

  

  

  

  

  

  

  

 

这样,ACS服务器就安装完成了。

2.将华为私有属性导入ACS

    尽管ACS服务器已经安装完成,但是需要导入华为的私有属性,这样才能去管理华为的交换机和华为兼容。

首先,将以下代码保存为h3c.ini。

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

然后进入到ACS的安装目录(默认位于C:\Program Files\CiscoSecure ACS v4.0\bin),执行以下指令。 

之后再执行以下指令,如果出现下图所示的内容证明导入成功。

3.配置ACS服务器

接下来进行配置ACS服务器。首先,配置Network。

配置客户端,由于需要对交换机进行管理,因此客户端地址是交换机地址。  

配置服务器。  

配置好的信息如下。 

进行接口配置。 

  

进行组配置。 

  

  

  

进行用户配置。 

  

  

  

二、交换机配置

1.配置Radius scheme

  

      

2.配置域

  

    

3.配置验证模式


    

三、客户端验证