利用ACS实现AAA认证(华为+acs)

ACS简介

思科安全访问控制服务器(Cisco Secure Access Control Sever)是一个高度可扩展、高性能的访问控制服务器,提供了全面的身份识别网络解决方案,是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合,强化了接入安全性。这使企业网络能具有更高灵活性和移动性,更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型,包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 VPN。Cisco Secure ACS 是思科网络准入控制的关键组件。

适用场合:

集中控制用户通过有线或者无线连接登录网络

设置每个网络用户的权限

记录记帐信息,包括安全审查或者用户记帐

设置每个配置管理员的访问权限和控制指令

用于 Aironet 密钥重设置的虚拟 VSA

安全的服务器权限和加密

通过动态端口分配简化防火墙接入和控制

统一的用户AAA服务

AAA简介

AAA系统的简称:

  认证(Authentication):验证用户的身份与可使用的网络服务;

  授权(Authorization):依据认证结果开放网络服务给用户;

  计帐(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。

  另外还有 HWTACACS协议(Huawei Terminal Access Controller Access Control System)协议。HWTACACS是华为对TACACS进行了扩展的协议

  HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过“客户端-服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。

HWTACACS与RADIUS的不同在于:

1. RADIUS基于UDP协议,而HWTACACS基于TCP协议。

2.RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。

3.RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。

认证方案与认证模式

  AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。

  组合认证模式是有先后顺序的。例如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。

  当组合认证模式使用不认证时,不认证(none)必须放在最后。例如:authentication-mode radius local none。

  认证模式在认证方案视图下配置。当新建一个认证方案时,缺省使用本地认证。

授权方案与授权模式

  AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。

  组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。

  当组合授权模式使用直接授权的时候,直接授权必须在最后。例如:authorization-mode hwtacacs local none

  授权模式在授权方案视图下配置。当新建一个授权方案时,缺省使用本地授权。

  RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。

计费方案与计费模式

AAA支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。

实验一:

实验目的:某公司内部网络采用统一式管理,将所有设备的帐号和密码的认证任务统一交给Radius服务器(ACS),这样方便管理员管理设备。我们分别使用telnet方式和dot1x方式进行验证。

拓扑图:

利用ACS实现AAA认证(华为+acs)

实验步骤:

一、Radius认证服务器配置

1.安装ACS服务器

需要注意的是安装ACS服务器需要JDK环境。

安装acs之前,我们首先要安装jdk,找到jdk的安装程序,直接点击默认安装就可以了。

安装完jdk后,开始安装acs,打开autorun.exe,开始安装,安装后的程序管理页面如下图所示

利用ACS实现AAA认证(华为+acs)

因为此程序为cisco私有,而我们用的设备是华为设备,所以我们需要导入华为的私有属性

导入步骤如下:

编写h3c.ini文件(以下即为文件内容)

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

将编译好的华为的配置设置文件夹考到硬盘中,找到acs的安装目录下的bin文件夹,复制其 路径,打开命令提示符,进入该路径下,输入CSUtil.exe -addUDV 0 私有属性目录(c:\h3c.ini),回车

利用ACS实现AAA认证(华为+acs)

导入华为私有属性成功。

配置aaa客户端

利用ACS实现AAA认证(华为+acs)

AAA客户端和服务器端配置完成

利用ACS实现AAA认证(华为+acs)

进入interface configuration

利用ACS实现AAA认证(华为+acs)

创建组

点击group setup按钮,创建一个组

编辑

利用ACS实现AAA认证(华为+acs)

设置为这个组的用户都可以使用华为的私有属性,并且每个组成员都是管理员。

创建用户

点击user setup 按钮,创建一个名为test1的用户,加入group1

利用ACS实现AAA认证(华为+acs)

在华为交换机上配置radius认证:

radius scheme xxx

primary authentication 192.168.100.10

key authentication 123456

accounting optional

server-type standard

user-name-format without-domain

quit

domain h3c

radius-scheme xxx

access-limit enable 10

accounting optional

authentication radius-scheme xxx

state active

quit

user-interface vty 0 4

authentication-mode scheme

accounting commands scheme

quit

super password simple 456

客户端 telnet测试:

利用ACS实现AAA认证(华为+acs)

客户端dot1x测试:

利用ACS实现AAA认证(华为+acs)

分类:默认分类 时间:2012-05-21 人气:10
本文关键词:
分享到:

相关文章

  • 华为S2000-HI交换机与cisco的acs结合做认证 2014-07-03

    华为S2000-HI交换机与cisco的acs结合做认证 案例:华为S2000-HI交换机与cisco的acs结合做认证 一、 组网需求: 某公司内部网络采用统一式管理,将所有设备的帐号和密码的认证任务统一交给Radius服务器(ACS)。 ACS Server和交换机之间只要路由通即可,无特殊要求。 www.2cto.com 二、 组网拓扑图: 实验设备: www.2cto.com Windows 2003(作为acs服务器) 华为二层交换机一台 客户机一台 三.实验步骤: 1.安装ACS服务

  • 网络安全性--基于MAC地址的端口接入认证 2014-09-28

    前面小编写过一篇基于802.1x协议的接入认证,这是实现网络安全性的一种常用手段,但是前提是客户机需要通过相应的媒介(认证软件)来实现接入认证,那么万一客户并不想那么费事,希望一切都由服务提供商来解决呢,这个当然不是问题,今天小编我就来介绍一种让用户省事的接入型认证,那就是基于用户MAC地址来进行接入认证,其原理就是使用用户的MAC地址作为用户的用户名和密码,当用户接入网络的时候,会发送数据帧,而网络设备通过获取用户的用户名和密码来进行相应的认证,当然这种认证可以是网络设备本身负责认证工作,也可

  • 如何更灵活更智能的管理网线 2014-11-01

       庞杂的线缆堵塞了冷热通道,严重影响了机房散热和制冷:线路没有经过良好的规划,杂乱且难以理顺,很难对架构进行灵活调整和扩充;随着持续增长和变化的网络需求,额外的线缆和接插件需要添加到系统中;类似拔错线缆或者误解手写记录的低级错误的出现。如今,线缆及布线系统的管理已成为管理员面临的最大难题之一。 如何才能更加灵活、更加智能的管理你的网线呢?建议大家通过软件加人工的方法来进行。 我们知道,现有的许多网络管理软件绝大多数都工作在网络层,而非物理连接层,只能监测逻辑链路故障,不能告诉管理员物理错误的

  • 揭秘黑客组织匿名者如何发动攻击 FBI曾悄然组织其活动 2014-12-24

      北京时间7月5日消息,据国外媒体报道,《连线》杂志日前撰文,披露了黑客组织Anonymous如何选定目标、发动攻击,并让强势的政府或企业网站崩溃。以下为文章内容摘要:      黑客组织Anonymous揭秘(腾讯科技配图)   除了赫克特·沙维尔-蒙赛格(Hector Xavier Monsegur)之外,没人知道他为什么或是在何时成为了“Sabu”,并加入了奇怪、混乱的互联网知名黑客组织Anonymous。不过我们都知道“Sabu”被捕的那一天。2011年6月7日,联邦探员走进了他位于纽

  • 独家揭秘20个AAA类数字域名现状 2012-05-30

      易名中国(eName.cn)11月5日讯,昨日,域名222.com被曝被福建某域名大佬以高达530万元的价格购得,而该域名在5年前的售价不过30万元。消息一出,米友震惊,也让大家再一次把目光聚焦在像222.com的这样的AAA类数字域名身上,现在我们就来盘点下共计20个的AAA类数字.COM域名和.CN域名的现状吧。      图:20个AAA类数字域名一览表   666.com:六六大顺 价值百万   数字“6”一直以来都因为寓意吉祥而备受国人喜欢,无论是手机号还是车牌号都希望能有带上一个

  • Cisco设备配置AAA认证! 2012-11-17

    实验设备: cisco 3640路由器1台,PC一台,Console线缆一根,交叉线一根 实验拓扑: 实验过程: 第一步:通过console线缆,使用超级终端或者SecureCRT登录路由器,完成基本配置,同时将交叉线连接到路由器E1/0,t在PC的接口上配置IP为192.168.10.1,掩码255.255.255.0 Router>enable Router#conf t Enter configuration commands, one per line. End with

  • 端口隔离与am访问控制与ACL与AAA 2013-11-30

    端口隔离与am访问控制与ACL与AAA 一.1端口隔离简介 通过端口隔离特性,用户可以将需要进行控制的端口加入到一个隔离组中,实现隔离组中的端口之间二层、三层数据的隔离,既增强了网络的安全性,也为用户提供了灵活的组网方案。 www.2cto.com 目前一台设备只支持建立一个隔离组,组内的以太网端口数量不限。 􀀉 说明: 端口隔离特性与以太网端口所属的VLAN无关。 一.2 访问管理简介 为了满足接入层交换机对用户访问权限的控制,可在接入层交换机上配置访问管理功能。通过

  • 再添殊荣盛讯达科技喜获"AAA级信用企业"称号 2013-12-25

      11月27日,2014年(第七届)中国软件和信息服务业信用评价发布会在风景秀丽的历史名城淮安举行,会上隆重发布了2014年第七届软件行业企业信用评价结果,并举行了盛大的授牌仪式,盛讯达科技荣获“企业信用评价AAA级信用企业”称号。   软件企业信用评价是在工信部、商务部、国务院国资委的统一部署和指导下,由国内最具权威的软件企业信用评价机构——中国软件行业协会组织开展的一项权威认证,该信用评价是对受评企业在经营和管理过程中执行国家相关法律、法规及政策,履行相关合约的能力及意愿的综合评价,具有极

  • 开超级会员 限时抢AAA级靓号 有兴趣的爱Q网友去看看吧 2015-01-31

    开超级会员 限时抢AAA级靓号 有兴趣的友去看看吧 活动是收费靓号 需要开通超级会员才行,收费靓号会显示“靓”字! 当然了 不想花钱的 可以继续去之前的活动抢免费的靓号咯 感谢 郝先生 投递 活动截图 号码截图, 我好像不觉得怎么好。 1.活动时间:2014年10月21日 11:00 - 2014年10月24日 11:00 2.规定时间内号码数量有限,抢完即止。每天前100名抢单成功用户可额外获得赠送超级会员1个月。 3.此活动只针对靓号站的忠实用户,一经发现不正当渠道囤积号码,靓号站有权收回购

Copyright (C) quwantang.com, All Rights Reserved.

趣玩堂 版权所有 京ICP备15002868号

processed in 0.057 (s). 10 q(s)