利用ACS实现AAA认证

 

ACS（思科安全访问控制服务器，Cisco Secure Access Control Sever）是一个高度可扩展、高性能的访问控制服务器，提供了全面的身份识别网络解决方案，是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合，强化了接入安全性。这使企业网络能具有更高灵活性和移动性，更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型，包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××。Cisco Secure ACS 是思科网络准入控制的关键组件。

适用场合：

◆集中控制用户通过有线或者无线连接登录网络

◆设置每个网络用户的权限

◆记录记帐信息，包括安全审查或者用户记帐

◆设置每个配置管理员的访问权限和控制指令

◆用于Aironet **重设置的虚拟 VSA

◆安全的服务器权限和加密

◆通过动态端口分配简化防火墙接入和控制

◆统一的用户AAA服务

 

实验简介：某公司内部网络采用统一式管理，将所有设备的帐号和密码的认证任务统一交给Radius服务器（ACS），这样方便管理员通过telnet方式登录设备管理设备。

以下3个实验都需要用到Radius服务器，radius服务器需要借助思科的ACS软件来设置，现在我们来配置ACS。ACS的安装如下：

一、Radius认证服务器配置

1.安装ACS服务器

需要注意的是安装ACS服务器需要JDK环境。

以下是安装过程中的截图，部分图片来自于互联网，所以有些混乱，以实际为准。

这样，ACS服务器就安装完成了。

2.将华为私有属性导入ACS

查看相关ACS端口

尽管ACS服务器已经安装完成，但是需要导入华为的私有属性，这样才能去管理华为的交换机和华为兼容。

首先，将以下代码保存为h3c.ini，并将它放在E盘下。

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

然后进入到ACS的安装目录(默认位于C:\Program Files\CiscoSecure ACS v4.0\bin），执行以下指令。

之后再执行以下指令，如果出现下图所示的内容证明导入成功。

3.配置ACS服务器

接下来进行配置ACS服务器。首先，配置Network。

配置客户端，由于需要对交换机进行管理，因此客户端地址是交换机地址。

配置好如下

 

配置服务器。

配置好如下：

进行接口配置，选择认证的RADIUS为huawei。

选择华为的私有属性：

进行组配置。

 

进行用户配置。

把配置好的用户加入到相关的组中：

案例1-H3C交换机 实验拓扑

配置大致的过程

在交换机上需要配置一下命令：

radius scheme xxx  //新建一个radius方案 
  server-type huawei  //设置服务器类型
  primary authentication 192.168.101.201  //主服务器的地址
  accounting optional   //计费可选
  key authentication 123456 //验证**
  user-name-format without-domain //用户名格式

domain tec  //新建作用域tec
  scheme radius-scheme xxx //引入radius xxx方案 
  access-limit enable 10  //设置登录主机数量

截图测试：

telnet验证：

 

调整为华为客户端验证方式：需要调整一些配置：

基于端口的认证

[Quidway]dot1x  //启动dot1x认证协议，

802.1X is enabled globally. 

[Quidway]int e1/0/5  //进入相关的端口，绑定到相关的端口。

[Quidway-Ethernet1/0/5]dot1x 

802.1X is enabled on port Ethernet1/0/5.

新加一个用户test1

测试

针对华为的交换机中的s2000中的HI系列，可以进行以下配置，实现ssh验证：

radius服务器上进行简单的配置，如下图：

交换机上的配置如下：

ssh authentication-type default all
ssh user ssh authentication-type password
ssh user ssh service-type stelnet
#
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme

radius scheme xxx
server-type standard
primary authentication 192.168.20.100
accounting optional
key authentication 123456
user-name-format without-domain
#
domain system
domain xxx
scheme radius-scheme xxx
access-limit enable 100
accounting optional

测试如下：

 

案例2-H3C路由器

实验拓扑

路由器的配置很简单

需要重新添加一个客户端

路由的配置：

radius server 192.168.101.201 //指明radius服务器地址
    radius shared-key 123456   //**
    aaa-enable
    aaa authentication-scheme login default radius none  //默认的登录方式
    aaa accounting-scheme optional

telnet测试如下

 

 

案例3-H3C防火墙

实验拓扑

添加aaa客户端firewall-1

 

配置过程如下：

[H3C]dis cu

#

domain default enable tec //将域tec设置为默认域

#

firewall packet-filter enable
firewall packet-filter default permit
#
firewall statistic system enable
#
radius scheme system
server-type extended
radius scheme h3c            //radius方案
server-type standard        //服务器类型标准
primary authentication 192.168.101.201  //主radius服务器的地址
accounting optional                //收费标准
key authentication 123456      //**
user-name-format without-domain   //设置为不带域名的。需要前面的设置默认域名配合。
#
domain system
domain tec                            //新建域tec
scheme radius-scheme h3c     //引入radius方案
access-limit enable 10
#
local-user user1                         
password simple 123
service-type telnet
level 3

#
interface Aux0
async mode flow
#
interface Ethernet0/0
ip address 192.168.10.15 255.255.255.0   //配置端口地址
#
interface Ethernet0/3
ip address 192.168.101.100 255.255.255.0   //配置端口地址
#
firewall zone untrust                    //把端口加入到相关的zone中
add interface Ethernet0/0
add interface Ethernet0/3
set priority 5
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4
authentication-mode scheme

测试

案例4-H3C 基于mac的验证

拓扑图：

实验大致过程：

H3C交换机HI系类实现远端基于MAC的验证

interface Vlan-interface1
ip address 192.168.101.4 255.255.255.0

[Quidway]mac-authentication
[Quidway]int eth1/0/2    在端口上开启MAC验证
[Quidway-Ethernet1/0/2]mac-authentication    
[Quidway]mac-authentication authmode usernameasmacaddress usernameformat with-hyphen //MAC地址的格式

radius scheme xxx
server-type standard
primary authentication 192.168.101.100
accounting optional
key authentication 123456
user-name-format without-domain

domain tec
scheme radius-scheme xxx
access-limit enable 10
accounting optional
domain default enable tec

测试截图