[交换产品]AAA应用基于ACS的配置案例

ACS访问原理ACS主要是应用于运行Cisco IOS软件的思科网络设备，当然，ACS也全部或部分地适用于不运行Cisco IOS软件的各种其他思科网络设备。

这其中包括：•Cisco Catalyst交换机（运行Cisco Catalyst操作系统[CatOS]）•Cisco PIX防火墙（还有ASA/FWSM ）•Cisco VPN 3000系列集中器不运行Cisco IOS软件的思科设备（如运行CatOS的Cisco Catalyst交换机、运行Cisco PIX操作系统的Cisco PIX防火墙或Cisco VPN 3000集中器）可能也支持启用特权、TACACS＋（验证、授权和记帐[AAA]）命令授权或以上两者。

运行Cisco IOS软件的思科设备提供了两种网络设备管理解决方案：•启用权利(Enable priviledges)•AAA命令授权Cisco IOS软件有16个特权级别，即0到15（其他思科设备可能支持数目更少的特权级别；例如，Cisco VPN 3000集中器支持两个级别）。

在缺省配置下，初次连接到设备命令行后，用户的特权级别就设置为1。

为改变缺省特权级别，您必须运行启用命令，提供用户的启用口令和请求的新特权级别。

如果口令正确，即可授予新特权级别。

请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。

这些等级缺省是有命令集的，比如说等级1只有一些基本的show命令等，而等级15是全部命令的集合。

其他像2~14共13个等级的命令集是要用户自己在认证设备本地定义的。

缺省级别：特权级别说明0 包括disable, enable, exit, help和logout命令1 包括router>提示值时的所有用户级命令15 包括router#提示值时的所有启用级命令可修改这些级别并定义新级别：enable password level 10 pswd10privilege exec level 10 clear lineprivilege exec level 10 debug ppp chapprivilege exec level 10 debug ppp errorprivilege exec level 10 debug ppp negotiation每个设备上都有静态本地口令与特权级别相关联，这样有一个重要的内在缺陷：每个用户的启用口令必须在用户需访问的每个设备上进行配置。

Cisco ACS做AAA服务器实现对网络设备的3A认证解决方案很久之前搞过ACS，但是没有形成有效文档，所以遗忘导致现在又重新摸索，无意中浪费了很多宝贵时间，现将劳动成果成文，以备需要时用。

ACS功能较多，本文只是测试了实际需要用到的功能，待发现其他功能，随时补充进来。

针对网络中有大量网络设备的环境下，部署ACS可以对认证和授权进行很好的管理，并可以对每次操作进行详尽审计，是个非常好用的工具，关键还是免费的。

作者承诺文中提到的所以配置和命令均为作者亲自操作，确定可用。

若有错误，欢迎指出，多多交流。

作者：mac2011-08-084.0模拟器：C3640-IK9O3S-M（青岛小凡）交换机：C3750GPC电脑：联想二、实验拓扑图mac的新浪微博：/20881093501mac 的新浪微博：/208810935021Cisco 3640F0/0:192.168.20.201三、详细实验步骤：AAA 部署主要分为两个阶段，一个是ACS 的配置，一个是路由器的配置，我们先来讲ACS 配置1、首先要下载免费版的cisco ACS 软件，本实验用的是ACS 4.0版本2、在window 系统下安装ACS 软件，（不建议在XP 下面装），ACS 的安装过程简单，安装完毕后桌面会现，双击打开，出现以下界面表示安装成功注：登陆ACS用http://127.0.0.1:2002，登陆成功后，端口地址会自动改变，不用理会，ACS有自动退出现象，重新刷以上地址即可。

3、安装java软件，若不安装，则会导致ACS配置显示错误。

下载地址：4、设置登陆ACS的用户名和密码新装的ACS默认是没有用户名和密码的，为了安全起见，需要设置。

出找到，出现在工具按钮点击Add Administrator，出现mac的新浪微博：/20881093503这里选择的权限，可以给不同的管理员分配不同的管理组，配置权限等，我Grant All。

AAA配置与管理一、根底1、AAA是指：authentication〔认证〕、authorization〔授权〕、accounting〔计费〕的简称，是网络平安的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius〔远程拨号认证系统〕效劳或hwtacacs〔华为终端访问控制系统〕效劳器完成认证/授权；AAA是基于用户进展认证、授权、计费的，而NAC案是基于接入设备接口进展认证的。

在实际应用中，可以使用AAA的一种或两种效劳。

2、AAA根本架构：C/S构造，AAA客户端〔也叫NAS-网络接入效劳器〕是使能了aaa功能的网络设备〔可以是一台或多台、不一定是接入设备〕3、AAA基于域的用户管理：通过域来进展AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs效劳器模板，相当于对用户进展分类管理缺省情况下，设备存在配置名为default〔全局缺省普通域〕和default_admin〔全局缺省管理域〕，均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域〔如、ssh、telnet、terminal、ftp用户〕的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是、|、%等符号，如userhuawei.就表示属于huawei 域，如果用户名不带，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA效劳器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入效劳、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证〔授权〕、计费端口Radius效劳器维护三个数据库：Users:存储用户信息〔用户名、口令、使用的协议、IP地址等〕Clients:存储radius客户端信息〔接入设备的共享密钥、IP地址〕Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius效劳器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。

实用标准文案界面预览：CiscoSecure ACS安装略。

1 CiscoSecure ACS如果出现上面的界面则说明安装成功。

添加用户：2 user setup点击界面左侧按钮，界面如图所示：1图精彩文档．实用标准文案 Add/Edit按钮，界面如图所示：点输入用户aaa-user1,2图提交，点击Submit123456输入密码随便输入，123456，确认输入一次。

Name/DescriptionReal List all User。

点击可以查看所有已经配置的用户。

1出现图3图精彩文档．实用标准文案添加客户端3. nerwork configuration，出现下图：点击界面左侧4图按钮，出现下图：下点击AAA ClientsAdd Entry精彩文档．实用标准文案图5AAA Client Hostname:客户端主机名AAA Client IP Address:客户端IP地址，也就是路由器的IP地址Key:客户机用来加密数据Autenticate Using:认证方法。

这里保持默认TACACS+其余选项保持默认。

点击Submit+Apply提交并应用按钮，出现下图：精彩文档．实用标准文案6图已经添加成功。

表明R1路由器预配置IP 192.168.2.1/24 配置接口1.AAA全局启用2. R1(config)#aaa new-model服务器指定AAA3. R1(config)#tacacs-server host 192.168.2.10 key client_key身份测试服务器以用户aaa_user14. R1#test aaa group tacacs+ aaa-user1 123456 legacyAttempting authentication test to server-group tacacs+ using tacacs+User was successfully authenticated.123456通过服务器认证。

实验要求：对EXEC(模式)和Commands(命令)授权
1.本实验中用libo1用户登录到路由器上为特权模式
2. Libo2用户登录到路由器上为用户模式
3.让用户libo1登录到路由器，虽然为特权模式
但是不可以用erase命令，以防止格式化flash：实验过程：
第一大部分：
我们先配置EXEC
第一步：配置使路由器支持aaa认证和授权
第二步：配置ＡＣＳ服务器
2.新建二个用户名路由器接口的ip地址通信的密码
协议的类型
输入用户密码
将用户libo1加入组1
添加第二个用户libo2和上面的配置方法一致，不过我们将其加入到组2，方法一样3.配置组
配置组2和上面不同的是，将组2的级别配置为1，这样在组2里的用户级别全部为1，将不能直接进入特权模式，要进特权模式要输入enable密码
第三步：测试
//从上面的示例中我们看到了用户名为libo1（组1的级别为15）的直接进入特权模式而组级别为1的进入到用户模式
第二大部分：
接下来我们配置对commands的限制
第二步：在ACS上的配置
这一个允许所有
和下面deny配
在一起使用意思为
不允许erase(下列
的第一个图)，如果
配置为permit的话
结果为下列第二个
图
当配置中这deny erase的时候，用户不能使用erase命令
当上面的配置中为permit erase时，可以使用erase命令，这是值得注意的地方
Over。

HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导文档版本01发布日期2014-12-23版权所有 © 华为技术有限公司 2014。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：对接指导前言前言概述本文档针对HUAWEI S系列交换机AAA特性与Cisco Secure ACS进行了对接分析，并结合实例给出了对接指导。

读者对象本文档（本指南）主要适用于以下工程师：l网络规划工程师l技术支持工程师l维护工程师修改记录1背景交换机提供用户的接入功能，用户分为管理员用户和接入用户两大类。

如图1-1所示，管理员用户需要接入交换机对其进行管理，接入用户需要接入交换机使用视频、语音、上网等网络应用业务。

图1-1交换机的用户当用户接入交换机时，交换机需要对这些用户进行接入控制管理。

如对用户进行身份认证（Authentication），授权（Authorization）给用户接入后可进行的业务以及根据用户使用的业务进行计费（Accounting），即AAA管理机制。

AAA提供对用户进行认证、授权和计费等安全功能，防止非法用户登录设备，增强设备系统安全性。

l认证：验证用户是否可以获得网络访问权。

实施前准备：-挂线：以15级权限telnet/SSH上要配置的设备，配置：line vty 0 15exec-timeout 0 0然后保持telnet/SSH会话不退出。

等待配置完成且测试通过后，再配置exec-timeout 10 0(或者改成期望值，默认是10 0)。

这样做的目的是避免因为意外或者操作问题将用户自己锁在路由器外。

配置步骤(以下若无具体说明，均为全局模式配置，命令行红色字体为自定义值)：1、开启aaa：aaa new-model2、配置tacacs+服务器：tacacs-server host 192.168.1.200 key I0$pAs$w0rd3、配置ACS，配置client和user：-登录ACS：浏览器输入：192.168.1.200:2002，其中192.168.1.200为ACS的IP地址。

--client配置：在左边点击进入network config视图：点击下图的Add Entry：会弹出以下界面，hostname填写设备名称(也可以自定义)，IP地址填写网络设备的IP，key要和路由器上配置的key相同，使用tacacs+(cisco ios)，然后点击submit+apply。

如下图：--user配置：点击左边，会进入user setup界面，如下图：输入要建立的username，点击add/edit：在user编辑界面，在user setup界面输入密码，选择属于的组，然后点击最下方的submit即可。

作为例子，这里配置了4个用户：4、测试路由器和ACS连通性：特权模式：test aaa group tacacs cisco7 cisco7 new-code，如果通过会有以下输出：注意：如果不能通过，请确认两端是否能通信(ping)，两端的密码是否相同(比如路由器端的密码是否多了空格，空格也被认为是密码string)。

5、定义aaa method-list，名字为ios-manage：aaa new-modelaaa authentication login ios-manage group tacacs local //定义登录的认证方法为tacacs+，当ACS不可达时使用本地验证aaa authorization exec ios-manage group tacacs local //当通过登录认证后，授权登录用户能访问cli界面。