一、原理：

基于 Windows 的思科安全访问控制服务器（ACS） 思科安全访问控制服务器（ACS）是一个高度可扩展、高性能的访问控制服务器，提供了全面的 身份识别网络解决方案，是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS 通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合，强化了 接入安全性。这使企业网络能具有更高灵活性和移动性，更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型，包括有线和无线局域网、拨号、宽带、内容、存储、 VoIP、防火墙和×××。Cisco Secure ACS 是思科网络准入控制的关键组件。

基于 Windows 的思科安全访问

控制服务器（ACS）

集中控制用户通过有线或者无线连接登录网络

设置每个网络用户的权限

记录记帐信息，包括安全审查或者用户记帐

设置每个配置管理员的访问权限和控制指令

用于 Aironet 密钥重设置的虚拟VSA

安全的服务器权限和加密

通过动态端口分配简化防火墙接入和控制

统一的用户 AAA 服务

关键特性

支持思科NAC 第二阶段

基于简况的策略

通过将一个基于标准的RDBMS 作为内部库，提高性能和规模

为无线验证提供EAP-FAST 支持

提高了认证撤回列表（CRL）比较的性能，可用于EAP-TLS 验证

机器接入限制的例外情况列表，对802.1X 机器验证构成补充

改进了复制，提供更多精确的复制选项

二、案例 ACS安装与配置

ACS需要Java虚拟机的支持。首先确保安装了JDK。

然后选择默认值安装。

默认值安装

然后默认值安装就OK了

桌面上会有个ACS admin快捷键。用于每次连接到ACS。每次的端口也不一样。

为了进行操，必须配置IE属性。

点击确定。打开ACS admin对AAA服务器进行配置

由于实验需要与华为设备结合。而华为的属性与ACS 不兼容。我们需要导入华为私有属性。

h3c.ini

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

打开ACS admin对AAA服务器进行配置

点击提交

ACS提供的服务还有很多。有兴趣的可以仔细研究里面的配置。提供哪些操作。

可能需要查看谁登陆了客户端。我们就需要日志了

这样我们的AAA服务器基本上就搭建好了

实现用户的telnet远程管理

案例一、与华为交换机的结合实现AAA服务器认证

拓扑图

交换机配置

测试

案例二、与华为路由器的结合实现AAA服务器认证

拓扑图

路由器配置

aaa-enable
aaa authentication-scheme login default radius
# 配置RADIUS 服务器IP 地址

radius server 192.168.10.1
# 配置RADIUS 服务器密钥，计费方式。

radius shared-key my-secret

aaa accounting-scheme optional

配置客户端地址
int eth0

ip add 192.168.10.2 24

quit

测试

不知道什么原因，在自己机器上做不成功。验证提示已经通过。可是telnet不成功。

案例三、与防火墙的结合实现AAA服务器认证

拓扑图

防火墙配置

测试