淘宝联盟链接的网站怎么做,网站建设汇卓,北京商场推荐,wordpress能做成手机吗ACS简介思科安全访问控制服务器#xff08;Cisco Secure Access Control Sever#xff09;是一个高度可扩展、高性能的访问控制服务器#xff0c;提供了全面的身份识别网络解决方案#xff0c;是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集… ACS简介 思科安全访问控制服务器Cisco Secure Access Control Sever是一个高度可扩展、高性能的访问控制服务器提供了全面的身份识别网络解决方案是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合强化了接入安全性。这使企业网络能具有更高灵活性和移动性更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 ×××。Cisco Secure ACS 是思科网络准入控制的关键组件。 适用场合 1.集中控制用户通过有线或者无线连接登录网络 2.设置每个网络用户的权限 3.记录记帐信息包括安全审查或者用户记帐 4.设置每个配置管理员的访问权限和控制指令 5.用于 Aironet 密钥重设置的虚拟 VSA 6.安全的服务器权限和加密 7.通过动态端口分配简化防火墙接入和控制 8.统一的用户AAA服务 AAA简介 AAA系统的简称 认证(Authentication)验证用户的身份与可使用的网络服务 授权(Authorization)依据认证结果开放网络服务给用户 计帐(Accounting)记录用户对各种网络服务的用量并提供给计费系统。 AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting 常用的AAA协议是Radius。 另外还有 HWTACACS协议Huawei Terminal Access Controller Access Control System协议。HWTACACS是华为对TACACS进行了扩展的协议 HWTACACS是在TACACSRFC1492基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似主要是通过“客户端服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。 HWTACACS与RADIUS的不同在于 l RADIUS基于UDP协议而HWTACACS基于TCP协议。 l RADIUS的认证和授权绑定在一起而HWTACACS的认证和授权是独立的。 l RADIUS只对用户的密码进行加密HWTACACS可以对整个报文进行加密。 认证方案与认证模式 AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式并允许组合使用。 组合认证模式是有先后顺序的。例如authentication-mode radius local表示先使用RADIUS认证RADIUS认证没有响应再使用本地认证。 当组合认证模式使用不认证时不认证none必须放在最后。例如authentication-mode radius local none。 认证模式在认证方案视图下配置。当新建一个认证方案时缺省使用本地认证。 授权方案与授权模式 AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式并允许组合使用。 组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权HWTACACS授权没有响应再使用本地授权。 当组合授权模式使用直接授权的时候直接授权必须在最后。例如authorization-mode hwtacacs local none 授权模式在授权方案视图下配置。当新建一个授权方案时缺省使用本地授权。 RADIUS的认证和授权是绑定在一起的所以不存在RADIUS授权模式。 计费方案与计费模式 AAA支持六种计费模式本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。 实验拓扑图 安装ACS安装ACS需要JDK环境所以先安装JDK。安装成功之后查看端口并华为的私有协议导入ACS中 配置ACS 一交换机相关配置如下 radius scheme xxx //新建一个radius 方案 server-type huawei //服务器类型 huawei primary authentication 192.168.101.201 //主服务器地址 accounting optional //计费可选 key authentication 123456 //验证密钥 user-name-format without-domain //用户名格式 domain tec //新建域 scheme radius-scheme xxx //引入radius方案 access-limit enable 10 //设置登录人数 端口认证 [Quidway]dot1x 802.1X is enabled globally. [Quidway]int e1/0/5 [Quidway-Ethernet1/0/5]dot1x 802.1X is enabled on port Ethernet1/0/5. 二路由器相关配置 interface Ethernet0 ip address 192.168.101.15 255.255.255.0 interface Ethernet1 ip address 192.168.10.5 255.255.255.0 radius server 192.168.101.201 //服务器地址 radius shared-key 123456 //密钥 aaa-enable aaa authentication-scheme login default radius none //默认登录认证方式 aaa accounting-scheme optional ACS相关配置 三防火墙相关配置 [H3C]dis cu domain default enable tec //将域tec设置为默认域 firewall packet-filter enable firewall packet-filter default permit firewall statistic system enable radius scheme h3c //radius方案 server-type extended // 服务器类型 primary authentication 192.168.101.201 //主服务器的地址 accounting optional key authentication 123456 //密钥 user-name-format without-domain domain tec //新建域 tec scheme radius-scheme h3c //引入radius方案 access-limit enable 100 local-user user1 password simple 123 service-type ssh telnet level 3 interface Ethernet0/0 //接口配置 ip address 192.168.101.20 255.255.255.0 interface Ethernet0/1 ip address 192.168.10.10 255.255.255.0 firewall zone trust //把端口加入zone add interface Ethernet0/0 add interface Ethernet0/1 user-interface vty 0 4 authentication-mode scheme ACS相关配置 注该实验交换机路由器防火墙都是华为设备。 转载于:https://blog.51cto.com/sunentao/976616
