aaa服务器解决方案
基于双栈架构的下一代AAA服务器设计与实现
( C o l l e g e o f E l e c t r o n i c S c i .a n d E n g . , N a n j i n g U n i v e r s i t y o f P o s t s nd a T e l e c o mmu n i c a t i o n s , N nj a i n g 2 1 0 0 0 3 , C h i n a )
刘 艳 , 程景 清 , 孙科 学
( 南京邮 电大 学 电子科 学与 工程 学 院 , 江 苏 南京 2 1 0 0 0 3 )
摘 要: 针对 下一 代通 讯 网络 E P C ( E v o l v e d P a c k e t C o r e n e t w o r k ) 系统 中 A A A服 务器 通信协 议 的特点 : 同时 支持 R a d i u s 协议
d o i : 1 0 . 3 9 6 9 / j . i s s n . 1 6 7 3 — 6 2 9 X. 2 0 1 4 . 0 3 . 0 6 0
De s i g n a n d I mp l e me n t a t i o n o f Ne x t — g e n e r a t i 0 n AAA S e r v e r Ba s e d o n Du a l — . s t a c k Ar c h i t e c t u r e
第2 4卷 第 3期 2 0 1 4年 3月
计 算 机 技 术 与 发 展
COMPU I ER TECHN0L 0GY AND DEVEL OPMENT
Vo 1 . 2 4 N o . 3 Ma t . 2 01 4
华为交换机AAA配置与管理
AAA配置与管理一、基础1、AAA是指:authentication(认证)、authorization(授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs (华为终端访问控制系统)服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而NAC方案是基于接入设备接口进行认证的。
在实际应用中,可以使用AAA的一种或两种服务。
2、AAA基本架构:C/S结构,AAA客户端(也叫NAS-网络接入服务器)是使能了aaa功能的网络设备(可以是一台或多台、不一定是接入设备)3、AAA基于域的用户管理:通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板,相当于对用户进行分类管理缺省情况下,设备存在配置名为default(全局缺省普通域)和default_admin(全局缺省管理域),均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域(如http、ssh、telnet、terminal、ftp用户)的缺省域。
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是@、|、%等符号,如就表示属于huawei域,如果用户名不带@,就属于系统缺省default域。
自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA服务器的授权信息优先级低,通常是两者配置的授权信息一致。
4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。
定义UDP 1812、1813作为认证(授权)、计费端口Radius服务器维护三个数据库:Users:存储用户信息(用户名、口令、使用的协议、IP地址等)Clients:存储radius客户端信息(接入设备的共享密钥、IP地址)Dictionary:存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输。
AAA原理与配置
AAA原理与配置概述 AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称,它提供了认证、授权、计费三种安全功能。
AAA可以通过多种协议来实现,⽬前华为设备⽀持基于RADIUS(Remote Authentication Dial-In User Service)协议或HWTACACS(Huawei Terminal Access Controller Access Control System)协议来实现AAA。
应⽤场景例如,企业总部需要对服务器的资源访问进⾏控制,只有通过认证的⽤户才能访问特定的资源,并对⽤户使⽤资源的情况进⾏记录。
NAS为⽹络接⼊服务器,负责集中收集和管理⽤户的访问请求。
AAA服务器表⽰远端的Radius 或 HWTACACS服务器,负责制定认证、授权和计费⽅案。
认证⽅式AAA有三种认证⽅式:不认证:完全信任⽤户,不对⽤户⾝份进⾏合法性检查。
本地认证:将本地⽤户信息(包括⽤户名、密码和各种属性)配置在NAS上。
缺省为本地认证。
远端认证:将⽤户信息(包括⽤户名、密码和各种属性)配置在认证服务器上。
注:如果⼀个认证⽅案采⽤多种认证⽅式,这些认证⽅式按配置顺序⽣效。
授权⽅式AAA⽀持以下三种授权⽅式:不授权:不对⽤户进⾏授权处理。
本地授权:根据NAS上配置的本地⽤户账号的相关属性进⾏授权。
远端授权: 1. HWTACACS授权,使⽤TACACS服务器对⽤户授权。
2. RADIUS授权,对通过RADIUS服务器认证的⽤户授权。
RADIUS协议的认证和授权是绑定在⼀起的,不能单独使⽤RADIUS进⾏授权。
计费⽅式AAA⽀持以下两种计费⽅式:不计费:为⽤户提供免费上⽹服务,不产⽣相关活动⽇志。
远端计费:通过RADIUS服务器或HWTACACS服务器进⾏远端计费。
AAA域 设备基于域来对⽤户进⾏管理,每个域都可以配置不同的认证、授权和计费⽅案,⽤于对该域下的⽤户进⾏认证、授权和计费。
运营商AAA方案
运营商AAA方案一、引言随着移动通信和互联网的迅速发展,运营商面临着越来越多的挑战和机遇。
在这样的背景下,运营商必须不断提高其服务水平,以满足用户的需求,并在激烈的市场竞争中脱颖而出。
AAA (Authentication, Authorization, and Accounting)方案是一种用于运营商网络中用户身份验证、授权和计费的解决方案,它可以帮助运营商提高运营效率、增强用户体验,并提高其竞争力。
二、AAA方案的基本概念1. 认证(Authentication)认证是指通过验证用户的身份来确定其是否有权访问网络资源。
传统的认证方式包括用户名和密码、数字证书、智能卡等。
认证的目的是防止未经授权的用户访问网络资源,确保网络的安全性。
2. 授权(Authorization)授权是指根据用户的身份和权限,授予用户访问网络资源的权限。
通过授权,运营商可以根据用户的身份和需求,灵活地控制用户访问的资源和服务范围,保证网络资源的合理利用。
3. 计费(Accounting)计费是指对用户使用网络资源的情况进行监控和计费。
通过计费,运营商可以实时监控用户的网络使用情况,了解用户的需求,为用户提供个性化的服务,并根据用户的消费情况进行精准的计费。
AAA方案将认证、授权和计费整合在一起,通过统一的身份认证和计费系统,实现对用户的身份验证、资源授权和费用计费的自动化管理,提高了运营商的运营效率和用户体验。
三、AAA方案在运营商网络中的应用1. 移动通信网络在移动通信网络中,AAA方案被广泛应用于用户接入控制、流量控制和计费管理等方面。
通过AAA服务器对用户进行身份认证和授权,运营商可以有效地控制用户的访问行为,避免因用户滥用网络资源而导致的网络拥堵和安全问题。
同时,AAA方案还可以实现对用户通信费用的精确计费,为用户提供个性化的资费套餐和服务,提升用户满意度。
2. 互联网接入服务在互联网接入服务中,AAA方案也扮演着重要的角色。
华为AAA认证详解及配置
华为AAA认证详解及配置⼀、AAA的基本架构AAA 通常采⽤“客户端—服务器”结构。
这种结构既具有良好的可扩展性,⼜便于集中管理⽤户信息。
如图1所⽰。
图 1 AAA 的基本构架⽰意图认证:不认证:对⽤户⾮常信任,不对其进⾏合法检查,⼀般情况下不采⽤这种⽅式。
本地认证:将⽤户信息配置在⽹络接⼊服务器上。
本地认证的优点是速度快,可以为运营降低成本,缺点是存储信息量受设备硬件条件限制。
远端认证:将⽤户信息配置在认证服务器上。
⽀持通过 RADIUS(Remote Authentication Dial In User Service)协议或HWTACACS(HuaWei Terminal Access Controller Access Control System)协议进⾏远端认证。
授权: AAA ⽀持以下授权⽅式:不授权:不对⽤户进⾏授权处理。
本地授权:根据⽹络接⼊服务器为本地⽤户账号配置的相关属性进⾏授权。
HWTACACS 授权:由 HWTACACS 服务器对⽤户进⾏授权。
if-authenticated 授权:如果⽤户通过了认证,⽽且使⽤的认证模式是本地或远端认证,则⽤户授权通过。
RADIUS 认证成功后授权:RADIUS 协议的认证和授权是绑定在⼀起的,不能单独使⽤ RADIUS 进⾏授权。
计费:AAA ⽀持以下计费⽅式:不计费:不对⽤户计费。
远端计费:⽀持通过 RADIUS 服务器或 HWTACACS 服务器进⾏远端计费。
⼆、RADIUS协议远程认证拨号⽤户服务 RADIUS(Remote Authentication Dial-In User Service)是⼀种分布式的、客户端/服务器结构的信息交互协议,能保护⽹络不受未授权访问的⼲扰,常应⽤在既要求较⾼安全性、⼜允许远程⽤户访问的各种⽹络环境中。
该协议定义了基于UDP 的 RADIUS 帧格式及其消息传输机制,并规定 UDP 端⼝ 1812、1813 分别作为认证、计费端⼝。
aaa对接方案
aaa对接方案方案名称:AAA对接方案一、方案背景在当前的互联网环境下,AAA对接方案是一项至关重要的工作。
AAA(认证、授权和计费)是指通过对用户进行身份认证、资源授权和费用计费来保证网络安全和可靠性的一套标准化解决方案。
为了满足不同网络应用场景的需求,本方案旨在提供一套全面有效的AAA对接方案,以确保网络的正常运行和用户的合法权益。
二、方案目标1. 实现用户身份认证:通过有效的身份认证方式,准确识别用户身份,保护网络的安全性和用户的隐私;2. 提供资源授权功能:根据用户的权限和需求,准确授权其对网络资源的访问和使用;3. 实现费用计费系统:为网络提供商提供有效的计费工具,根据用户的实际使用情况进行费用计算和结算;4. 提供可扩展的架构:方便后续的系统升级和功能扩展,满足不同场景下的需求。
三、方案内容1. 用户身份认证用户身份认证是整个AAA对接方案的基础。
本方案采用基于证书的身份认证方式,用户通过使用证书进行身份认证,确保用户身份的准确性和安全性。
同时,本方案还支持多种身份验证方式,如用户名和密码、短信验证码等。
2. 资源授权系统资源授权系统是保证网络资源安全的重要组成部分。
基于用户身份认证的基础上,本方案提供灵活的资源授权策略,包括按用户、按角色、按时间等多维度的授权方式。
通过对网络资源的细粒度控制,确保每个用户只能访问其有权限的资源,从而提高资源利用率和用户体验。
3. 费用计费系统费用计费系统是网络提供商的核心利润来源。
本方案提供可靠、高效的费用计费系统,能够根据用户的使用情况进行实时计费和结算。
同时,还支持多种计费策略,如按流量计费、按时长计费等,满足不同用户和应用场景的需求。
4. 系统架构设计本方案采用分布式架构,将认证、授权和计费功能分别设计为独立的模块,以提高系统的可扩展性和稳定性。
同时,方案中采用异步处理方式,将用户请求和系统处理分离,提高了系统的并发性和响应速度。
四、方案优势1. 安全可靠:采用证书身份认证、资源细粒度授权和实时计费等多层次安全机制,确保网络的安全性和用户数据的保密性;2. 灵活易用:提供多种身份认证方式和授权策略,满足不同用户和应用场景的需求;3. 可扩展性强:系统采用分布式架构,支持水平扩展和功能模块的灵活扩展,满足未来的业务需求和系统升级;4. 高性能高效率:采用异步处理方式和优化算法,提高系统的并发性能和响应速度,保证用户的高效体验。
华为交换机AAA配置与管理
AAA配置与管理一、基础1、AAA是指:authentication(认证)、authorization(授权)、accounting(计费)的简称,是网络安全的一种管理机制;Authentication是本地认证/授权,authorization和accounting是由远处radius(远程拨号认证系统)服务或hwtacacs (华为终端访问控制系统)服务器完成认证/授权;AAA是基于用户进行认证、授权、计费的,而NAC方案是基于接入设备接口进行认证的。
在实际应用中,可以使用AAA的一种或两种服务。
2、AAA基本架构:C/S结构,AAA客户端(也叫NAS-网络接入服务器)是使能了aaa功能的网络设备(可以是一台或多台、不一定是接入设备)3、AAA基于域的用户管理:通过域来进行AAA用户管理,每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs服务器模板,相当于对用户进行分类管理缺省情况下,设备存在配置名为default(全局缺省普通域)和default_admin(全局缺省管理域),均不能删除,只能修改,都属于本地认证;default为接入用户的缺省域,default_admin为管理员账号域(如http、ssh、telnet、terminal、ftp用户)的缺省域。
用户所属域是由域分隔符后的字符串来决定的,域分隔符可以是@、|、%等符号,如***************就表示属于huawei域,如果用户名不带@,就属于系统缺省default域。
自定义域可以被配置为全局缺省普通域或全局缺省管理域,但域下配置的授权信息较AAA服务器的授权信息优先级低,通常是两者配置的授权信息一致。
4、radius协议Radius通过认证授权来提供接入服务、通过计费来收集、记录用户对网络资源的使用。
定义UDP 1812、1813作为认证(授权)、计费端口Radius服务器维护三个数据库:Users:存储用户信息(用户名、口令、使用的协议、IP地址等)Clients:存储radius客户端信息(接入设备的共享密钥、IP地址)Dictionary:存储radius协议中的属性和属性值含义Radius客户端与radius服务器之间通过共享密钥来对传输数据加密,但共享密钥不通过网络来传输。
cisco AAA认证服务器及设备配置
cisco AAA认证服务器及设备配置AAA代表Authentication、Authorization、Accounting,意为认证、授权、记帐,其主要目的是管理哪些用户可以访问服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记帐。
1、认证:验证用户是否可以获得访问权限——“你是谁?”2、授权:授权用户可以使用哪些资源——“你能干什么?”3、记帐:记录用户使用网络资源的情况——“你干了些什么?”好的,简单的了解理论知识后,接下来我们还是以实验的方式来进行讲解:为网络提供AAA服务的,主要有TACACS+和RADIUS协议,我们主要介绍是TACACS+协议,因为它运行在TCP协议基础之上,更适合大型网络,特别是融合型网络一、实验拓扑介绍该实验主要完成R1路由通过ACS服务器实现AAA认证,包括验证、授权和记帐,同时还包括PPP验证和计时通过cisco ACS实验二、安装cisco ACS1、硬软件要求硬件:Pentium IV 处理器, 1.8 GHz 或者更高操作系统:Windows 2000 ServerWindows 2000 Advanced Server (Service Pack 4)Windows Server 2003,Enterprise Edition or StandardEdition (Service Pack 1)内存:最小1GB虚拟内存:最小1GB硬盘空间:最小1GB可用空间,实际大小根据日志文件的增长,复制和备份的需求而定。
浏览器:Microsoft Internet Explorer 6 或者更高版本JAVA运行环境:Sun JRE 1.4.2_04 或更高版本网络要求:在CISCO IOS 设备上为了全面的支持TACACS+ 和RADIUS,AAA 客户端必须运行Cisco IOS 11.1 或者更高的版本。
非CISCO IOS 设备上必须用TACACS+,RADIUS或者两者一起配置。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
AAA服务器解决方案一、AAA概述1. 什么是AAAAAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。
这里的网络安全主要是指访问控制,包括:哪些用户可以访问网络服务器?具有访问权的用户可以得到哪些服务?如何对正在使用网络资源的用户进行计费?针对以上问题,AAA必须提供下列服务:认证:验证用户是否可获得访问权。
授权:授权用户可使用哪些服务。
计费:记录用户使用网络资源的情况。
2. AAA的优点由于AAA一般采用客户/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息,因此,AAA框架具有如下的优点:具有良好的可扩展性可以使用标准化的认证方法容易控制,便于用户信息的集中管理可以使用多重备用系统来提升整个框架的安全系数3、 RADIUS协议概述如前所述,AAA是一种管理框架,因此,它可以用多种协议来实现。
在实践中,人们最常使用RADIUS协议来实现AAA。
3.1什么是RADIUSRADIUS是Remote Authentication Dial-In User Service(远程认证拨号用户服务)的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中(例如,它常被应用来管理使用串口和调制解调器的大量分散拨号用户)。
RADIUS系统是NAS(Network Access Server,网络接入服务器)系统的重要辅助部分。
当RADIUS系统启动后,如果用户想要通过与NAS(PSTN环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时,NAS,也就是RADIUS客户端将把用户的认证、授权和计费请求传递给RADIUS服务器。
RADIUS服务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。
RADIUS服务器将在接收到NAS传来的用户请求后,通过对用户数据库的查找、更新,完成相应的认证、授权和计费工作,并把用户所需的配置信息和计费统计数据返回给NAS——在这里,NAS起到了控制接入用户及对应连接的作用,而RADIUS协议则规定了NAS与RADIUS服务器之间如何传递用户配置信息和计费信息。
NAS和RADIUS之间信息的交互是通过将信息承载在UDP报文中来完成的。
在这个过程中,交互双方将使用密钥对报文进行加密,以保证用户的配置信息(如密码)被加密后才在网络上传递,从而避免它们被侦听、窃取。
3.2 RADIUS操作RADIUS服务器对用户的认证过程通常需要利用接入服务器等设备的代理认证功能,通常整个操作步骤如下:将客户端的用户名和加密口令发送至RADIUS服务器。
用户可从RADIUS服务器收到下述响应报文之一:ACCEPT:表明用户通过认证。
REJECT:表明用户没有通过认证,提示用户重新输入用户名和口令,否则访问被拒绝。
3.3 AAA/RADIUS在以太网交换机中的实现由前面的概述,我们可以明白,在这样一个AAA/RADIUS框架中,S5516以太网交换机是作为用户接入设备即NAS,相对于RAIDUS服务器来说,S5516以太网交换机是RADIUS系统的客户端;换句话说,AAA/RADIUS在以太网交换机中实现的是其客户端部分3.4、AAA协议在协议笺中的位置4、AAA配置4.1、AAA配置任务列表AAA的配置任务列表如下:设置认证/授权方法表设置计费方法表创建/删除ISP域配置ISP域的相关属性配置用户模板属性指定缺省的ISP域添加本地用户配置本地用户属性强制切断用户连接在以上的配置任务中,创建ISP域是必需的,否则无法区分接入用户的属性;其余任务则是可选的,用户可以根据各自的具体需求决定是否进行这些配置。
4.2 、设置认证/授权方法表认证/授权方法是指系统对接入用户在请求登录过程中采取的认证/授权策略,可以采用远端认证/授权(RADIUS认证/授权)、本地认证/授权或无须认证/授权三种方法中的一种或几种的组合。
其中,method1为首次认证/授权方法;method2为二次认证/授权方法。
认证/授权方法的取值可以从以下三种中选择一种:radius——使用RADIUS服务器进行认证/授权local——由接入设备(即以太网交换机)在本地进行认证/授权simple——用户不需要进行认证/授权即可获得服务上述命令只是设置了一个认证/授权方法表,但要让它实际发挥作用则必须在某个用户域(限定了某类用户)的设置中明确地引用它。
二、网络对AAA需求网络的AAA是在窄带接入服务成功的基础上发展起来,如大多数宽带接入服务和PDSN/GGSN都采用和RADIUS服务器接口。
但随着用户对业务要求越来越细致,比如VPN、按流量计费等方式的加入,AAA也需要综合考虑诸种业务,做到更科学的控制和管理。
AAA功能一是认证(Authentication),也就是辨别用户;二是授权(Authorization),也就是控制访问、提供业务;三是计费(Accounting),就是跟踪用户所使用网络资源,提供计费记录。
在认证方面,仍然可以沿用RADIUS服务器,但过去的CHAP和PAP方式都不是非常安全的方式,现在需要更复杂的认证算法,如移动IP所要求的HMAC-MD5算法。
此外,在移动用户越来越普及的情况下,认证支持漫游也是必选。
授权功能决定用户需要何种业务,包括连接种类和QoS参数等。
这里,扩展的可能性非常丰富:例如需要考虑新增的漫游功能,以及根据QoS参数和现有网络资源状况,决定是否有足够资源向用户提供所需连接。
细分的业务控制能力在此处实现,如根据时间段、地点、会话数目等参数对连接进行控制等。
计费记录也要根据细致的要求提供详细的计费信息,如根据时长的计费、根据流量的计费、根据业务种类的计费等等。
AAA服务器不仅能应付现有的需要,更重要的是能根据新的需要进行扩充。
另一个重要的功能是,计费功能要完成尽可能多的工作,减少下游子系统如计费网关的负担。
在实现上,AAA也不一定要沿用旧有方式。
在宽带接入服务情况下,如以太网接入,用户需要的仅仅是一个IP地址,运营商需要的资源访问记录可在交换机和路由器中完成,这样,从理论上讲,就可以不使用接入服务器,也没有必要使用RADIUS服务器(如使用改造后的DHCP服务器),只是对交换机路由器等网络的设备有一定要求,如Cisco路由器的netflow功能。
根据网络发展和现有的水平,可以预见的对AAA的需求有以下几个方面:一是对漫游给予不同程度的支持;二是对不同业务给予支持;三是对企业用户等重要客户的支持,对VPN的支持;四是对动态会话的支持;五是细粒度接入控制,基于时间、地点、用户策略和网络状况等;六是根据不同的会话和计费策略进行细粒度生成良好易用的计费记录。
三、选择AAA策略用户在选择AAA服务器产品时,需要考虑以下方面:一是是否包含一个策略引擎,策略是否综合考虑了网络、业务和用户以及足够细致的粒度(如根据域、组和单个用户)。
二是数据库是否支持整个网络,以保证扩展性和漫游。
三是与尽可能多的产品和标准兼容。
四是能否针对单个会话进行实时控制。
五是能否紧凑无缝地与现有运营子系统,如OSS、业务提供子系统进行融合。
六是在保证集中控制的同时支持上百万的用户。
七是不仅支持IETF和TIA的标准,也针对不同厂家的产品进行了扩展,尤其是对新的标准框架DIAMETER给予支持。
目前,多数AAA产品仍仅实现了基本的RADIUS功能,只提供根据时长的计费功能,这也是目前广大用户所使用的功能。
但随着移动数据网的崛起和业务种类的多样化和收费业务的增多,提供完善功能的AAA服务,不仅使用户能享受到更加合理的服务,也能为运营商创造更多利润。
四、Cisco Secure Access Control Server 4.04.1、产品概述现在,网络访问方法越来越多,使遵守安全制度和不可控的网络访问成为企业担心的主要问题。
随着IEEE 802.11无线局域网和普遍宽带互联网连接的广泛部署,安全问题不仅存在于网络外围,还存在于网络内部。
能够防御这些安全漏洞的身份识别网络技术现已成为吸引全球客户关注的主要技术。
企业越来越多地使用公共密钥基础设施(PKI)和一次性密码(OTP)等更严格的验证方式来控制用户从公共网络访问企业资源。
网络管理员希望解决方案能够结合用户身份、网络访问类型和网络访问设备的安全性来提供灵活的授权策略。
最后,集中跟踪并监控网络用户连接的能力对于杜绝不适当地或过度地使用宝贵的网络资源至关重要。
Cisco® Secure ACS (ACS)是具高可扩展性的高性能访问控制服务器,可作为集中的RADIUS 和 TACACS+ 服务器运行。
Cisco Secure ACS将验证、用户访问和管理员访问与策略控制结合在一个集中的身份识别网络解决方案中,因此提高了灵活性、移动性、安全性和用户生产率,从而进一步增强了访问安全性。
它针对所有用户执行统一安全策略,不受用户网络访问方式的影响。
它减轻了与扩展用户和网络管理员访问权限相关的管理负担。
通过对所有用户帐户使用一个集中数据库,Cisco Secure ACS可集中控制所有的用户权限并将他们分配到网络中的几百甚至几千个接入点。
对于记帐服务,Cisco Secure ACS针对网络用户的行为提供具体的报告和监控功能,并记录整个网络上每次的访问连接和设备配置变化。
这个特性对于企业遵守Sarbanes Oxley法规尤其重要。
Cisco Secure ACS支持广泛的访问连接,包括有线和无线局域网、宽带、内容、存储、IP上的语音(VoIP)、防火墙和VPN等。
Cisco Secure ACS是思科基于身份的网络服务(IBNS)架构的重要组件。
Cisco IBNS基于802.1x (用于基于端口的网络访问控制的IEEE标准)和可扩展验证协议(EAP)等端口安全标准,并将安全验证、授权和记帐(AAA)从网络外围扩展到了LAN中的每个连接点。
您可在这个全新架构中部署新的策略控制工具(如每个用户的配额、VLAN分配和访问控制列表[ACL]),这是因为思科交换机和无线接入点的扩展功能可用于在RADIUS协议上查询Cisco Secure ACS。
Cisco Secure ACS也是思科网络准入控制(NAC)架构的重要组件。
思科NAC 是思科系统公司®赞助的业界计划,使用网络基础设施迫使企图访问网络计算资源的所有设备遵守安全策略,进而防止病毒和蠕虫造成损失。