ACS小实验

 

基本环境：

R2相当是交换机，管理地址192.168.1.10 ，C1是和vm1桥接，地址192.168.1.1            C2是和vm8桥接，地址192.168.1.100

测试和外网的连通性：

在R2上配置

Aaa new-model

Aaa authencaition login telnet group radius

Radius-server host 192.168.1.100 key 123456

Line vty 0 4

Login authencation telnet

 

在c2上先装java平台，在装ACS4.2（win7下都要这个以上的版本）

 

创建用户：

设置密码：

 

 

 

 

 

 

要在network configuration里面add客户端和服务器：

测试

弹出认证：

可以登录交换机了。

现在配置pix的配置，用ACS来telnet。

Aaa-server ACS protocol radius

Quit

Aaa-server ACS (inside) host 192.168.1.100

Key sovand

Aaa authencation telnet console ACS

同时添加用户，因为有建立了，所以就不再建立，但是一定还要到network configuration里面去添加client 的地址。如：

Pix：telnet 0 0 inside

Ok；

在pix设置访问列表

Pix

Access-list auth permit ip any any

Aaa authentication match auth inside ACS

 

Nat (inside) 1 0 0

Global (outside) 1 interface

aaa authentication secure-http-client

clear uauth //清除之前的认证信息

clear xlate //清除连接

clear conn

在r1设置环回口，来当做服务器，开启ip http server  

设置1.1.1.1和11.11.11.11

在内网中登录外网的网页：

Ok！

可以创建acl；

1.在在防火墙上，本地创建，本地使用。

Pix

Access-list per permit ip 192.168.1.100 any

Access-group per in interface inside

Access-list per udp any any eq radius

2在本地定义的acl，在acs调用，group set （IETF）中调用

3.在share profile components------downloadable ip acls------创建acl

group set 中---edit group----downloadable acls   radius （cisco ios 、pix6.0）

4. 第一步，在ACS 上点击“network configuration”，添加一个AAA 的client，认证协议选 “RADIUS（Cisco IOS/PIX）”。 第二步，进入“user setup”，添加用户，并且放到相应的组中。 第三步，进入“group setup”，对用户组进行编辑。在“Cisco IOS/PIX RADIUS Attributes” 部分，选中[009\001] cisco-av-pair，写入该用户组的ACL，例如：

ip:inacl#100=permit ip any 1.1.1.1 255.255.255.255

ip:inacl#200=deny ip any any

网络版的acl