acs认证的要求

RADIUS认证的配置与实施2014/05/25詹柱美一、实训目标：利用思科的ACS服务器实现RADIUS认证。

掌握思科ACS的基本配置。

二、实训拓扑：三、实训内容：实验1：基于PEAP的认证配置。

实验2：WEB认证，利用ACS做外部数据库。

实验1：基于PEAP的认证配置说明：由于实验条件的限制，我们只好做PEAP的认证实验。

PEAP 也是802.1X认证中的一种。

认证凭据是用户名与密码。

在实际应用中，也是用的最多的一种认证方式。

首先，检查AP是否成功注册上WLC，如图示：下面开始创建动态接口：接着创建SSID，并与接口关联：配置SSID的安全模式是WPA2+802.1X：接着添加RADUIS服务器：输入ACS的地址密钥：添加完成后的图示：我们再次回到刚刚创建的SSID面板上，添加AAA服务器：DHCP的配置:以上是在控制器上的配置，下面我们开始在ACS上做配置。

首先登录到ACS服务器：添加一个客户端：输入WCL的IP密钥,注意：密钥要与前面WCL的密钥相同：成功添加完成后如图示：接着创建一个服务策略：再创建一条规则：在规则中调用刚刚创建的服务策略：我们还要选择我们需要的认证协议：下面我们就在ACS上创建用户：输入用户名与密码：以同样的方法，再添加一个用户w2，完成后如下图示：当这些都配置好以后,我们就开始在客户端上测试连接。

下面是以一台XP的电脑配置说明PEAP在电脑端的配置。

XP电脑端的基本配置：配置完成后，我们可以连接我们刚刚创建的SSID了：接着会看到一个认证框，我们输入刚刚在ACS上创建的用户名与密码：如果前面的配置没有错的话，这时我们是可以成功连接上的：并且成功获取到一个VLAN101的IP地址：我们是可以与网关通信的：下面我们也可以用智能手机连接SSID，因为现在的手机也支持精选文库802.1X 认证：我们也可以用手机看到我们刚刚创建的SSID：我们也可以点击连接，输入ACS上创建的用户名与密码：我们可以看到我们成功连接：并且也获取一个IP地址：实验2：WEB认证，利用ACS做外部数据库说明：以前我们有做过一个实验是WEB认证的，但是那个WEB 认证是利用控制器内部的用户名与密码认证，今天我们做的这个WEB认证是利用ACS做外部数据库。

硬件安装要求要求分配80G以上硬盘空间安装过程选[1]根据提示输入setup,根据提示输入相关配置信息安装完成后可以查看acs服务的状态show applicationshow application version acsshow application status acs修改时区和时间（config）#clock timezone Asia/Shanghai #clock set AUG 15 08:56:00 2016Licensehttps://ip地址默认web账号 acsadmin/default进入web页面会提示上传lic文件，点浏览，选择上传acs5.6_base 成功进入管理页面后，选择“System Administration”、“Configuration”、“Licensing”、“Feature Options”，上传acs5.6_featureACS配置逻辑：根据收到的请求的认证类型（radius还是tacacs），由ServicesSelectionRules的设置交给指定的AccessServices处理。

由Identity指定的用户数据库（内部/外部）和请求中的用户名比对，根据用户和设备的分类交给指定的Shell Profile和command set授权应和认证配合使用，假设对vty启用本地认证和aaa授权，则无法telnet，提示授权失败。

浏览器IE11不能查看报告，火狐配置“接入策略”不能保存，建议结合使用1.设备分组网络结构默认将网络设备即AAA client分为2个网络设备组，分别为Location位置、Device Type设备类型。

根据需求依次点击Network Resources >Network Device Group> Create 在根组下创建子组，更明细的划分网络设备所在组。

2.用户组依次点击Users and Identity Stores > Identity Groups > Create新增用户组。

tr069 技术原理实现要点TR-069（Technical Report 069）是基于CPE WAN管理协议（CPE WAN Management Protocol）的一种远程管理技术。

它是由宽带论坛（Broadband Forum）制定的一项技术规范，旨在为互联网服务提供商（ISP）提供一种集中管理和配置网络设备的标准化方法。

本文将介绍TR-069技术的原理和实现要点。

一、TR-069技术原理TR-069技术的核心是CPE WAN管理协议，它定义了CPE （Customer Premises Equipment）和ACS（Auto Configuration Server）之间的通信协议。

CPE是指安装在用户网络中的各种设备，如路由器、调制解调器等，而ACS是由ISP提供的用于管理和配置CPE的服务器。

TR-069技术的工作流程如下：1. CPE启动后，会通过DHCP等方式获取到网络配置信息，包括ACS的地址和端口。

2. CPE与ACS建立起基于HTTP/HTTPS的连接，进行认证和授权。

3. ACS向CPE发送各种请求，如获取设备信息、配置参数、执行操作等。

4. CPE根据ACS的请求进行相应的操作，并将结果返回给ACS。

5. ACS根据CPE的响应进行进一步的管理和配置。

二、TR-069技术实现要点1. 设备支持：TR-069技术需要设备具备CPE能力，即能够与ACS 进行通信和交互。

因此，设备厂商需要在设备中集成TR-069客户端，或者提供支持TR-069协议的固件升级。

2. ACS的部署：ISP需要部署ACS服务器，并配置相应的网络和安全设置。

ACS需要能够响应CPE的连接请求，并进行认证和授权。

3. 连接与认证：CPE与ACS之间的连接通常基于HTTP或者HTTPS协议，使用ACS提供的地址和端口进行连接。

连接建立后，CPE需要进行认证，以确保连接的安全性和合法性。

4. 设备管理：ACS可以通过TR-069协议向CPE发送各种请求来管理设备，如获取设备信息、配置参数、执行操作等。

WIN7 PEAP rejected the ACS Local-certificate解决办法在我们用Cisco的ACS5.X 做无线的dot1x + AD认证的时候，协议我们基本上会用EAP中的PEAP的认证方式，如图一：图一我们先来熟悉一下EAP-PEAP的认证过程：EAP-PEAP：（1）TLS 握手阶段申请者向认证者发送EAPOL-Start 帧，启动802.1x 认证流程。

认证者向申请者发送EAP-Request/Idnetity消息，要求申请者提供自己的身份。

申请者发送EAP-Response/Identity 消息给认证者，消息中的Identity 域存放用户的网络访问标识符（Network Access Identifier，NAI），一般为用户名@域名的形式。

认证者将此EAP 消息通过RADIUS 协议封装后，转发给认证服务器。

认证服务器开始PEAP 认证，发送EAP-Request/PEAP/Start 消息给认证者，认证者将其转发给申请者。

这时开始TLS 握手过程，建立TLS 隧道。

申请者发送EAP-Response/Clint_Hello消息发送给认证者，Client_Hello握手消息包含TLS 版本号、客户端随机数、会话ID、客户端支持的密码算法套件和压缩算法（为NULL）。

认证者将EAP 消息转发给认证服务器。

认证服务器从Client_Hello消息中的密码算法套件挑选出自己支持的一组密码算法，连同服务器端随机数、会话ID、压缩算法组成Server_Hello消息。

Server_Hello、服务器端证书、Server_Key_Exchange和Server_Hello_Done消息被封装到EAP 消息中发送给认证者，认证者转发这个EAP 消息给申请者。

申请者收到后验证服务器的数字证书，并回复给服务器密钥材料Clinet_Key_Exchange、Change_Cipher_ Spec 和Finisisd消息。

AAA（认证Authentication，授权Authorization，记帐Accounting）企业应先制定对客户信用评价的内容、事项和指标体系标准，这套标准应是参阅一定的理论研究资料和大量实践总结出来的客户信用特征的集中体现，在下面“信用评价”部分将较详细的介绍。

然后对照标准，用计分法对客户信用进行评估，可分六个等级。

满分100分，＞90—100分、AAA级，＞80—90分、AA级，＞70—80分、A级，＞60—70分、BBB级，＞50—60分、BB级，＞40—50分、B级。

国际国内通行的企业信用等级是三等九级制或四等十级由于CCC、CC、C和D级是属于信用警示企业和失信企业，因此要避免和这些企业进行信用交易，剩下的可考虑信用交易的企业只是B级以上的六种。

网络安全技术AAA 认证授权与计费协议组Kerberos：网络认证协议（Network Authentication Protocol）RADIUS：远程用户拨入认证系统（Remote Authentication Dial In User Servic e）SSH：安全外壳协议（Secure Shell Protocol）ACS是Cisco出的一个AAA 认证软件，可以对路由器进行用户认证、授权、记账操作。

安装步骤：1．以超级用户登录NT或2000的ACS安装机器2．在CD-ROM中插入ASC的安装光盘3．用鼠标双击Install的图标4．在Software License Agreement 窗口中阅读Software License Agree ment并点击ACCEPT按纽。

5．点击Next按纽，进入下一步。

6．选择属于你的网络配置情况的多选框，在点击Next按纽，进入下一步7．如果ACS软件已经在本机上安装了，那么它会提示你是否覆盖还是保存原来的数据选择Yes，keep existing database 按纽，保存数据，不选择该按纽则新建数据库，再点击下一步在进行接下来的安装8．如果发现有原来的ACS的配置文件，安装程序会提示你是否保存，选择后，再点击下一步在进行接下来的安装9．选择安装都默认的路径请点击Next按纽，进入下一步，选择安装都其他路径请点击Browse按纽，选择路径。

持续改进效果胸痛中心在提交认证申请前应进行云平台数据库的自我检查及评估，当云平台数据库显示的数据趋势达到以下要求时方可正式提交认证申请。

胸痛中心通过流程改进已改善ACS患者救治的效率指标和预后指标，至少在近6个月内下列指标中8项以上显示出改进的趋势，其中1～4条是必须满足的条件，5～7项中对应本院的再灌注策略项为必须满足的条件：1.对于自行来院或经经救护车入院的所有急性胸痛患者，缩短了从首次医疗接触到首份心电图时间，且要求月平均小于10分钟；2.对于STEMI患者，缩短了从首份心电图至确诊的时间，且要求月平均小于10分钟；3.经救护车入院的STEMI患者，从急救现场远程传输心电图至胸痛中心的比例不低于30%且在过去6个月内呈现增加趋势；4.20分钟；以下5～7条根据第三要素中再灌注策略的选项调整相应的分值，规则同前。

5.对于以溶栓为优先选择的再灌注治疗手段的STEMI患者，应满足以下至少4条，其中第（1）和（3）条为必备条件：（1）适合溶栓的患者接受溶栓治疗的比例不低于50%且在过去6个月内呈现增加趋势；（2）经120入院的STEMI患者直达溶栓场所的比例大于50%或呈明显增加趋势；（3）接受溶栓治疗的全部STEMI患者进门-溶栓时间已明显缩短，平均时间应在30 分钟以内，且至少75%的病例能达到此标准；如果目前无法达到上述要求，至少近6个月已经呈现出明显的缩短趋势且至少50% 的病例达30分钟以内，且已制定合理计划以确保在通过认证后的第1年内达到平均30分钟以内且75% 的合格率；（4）经救护车入院的溶栓患者，首次医疗接触-溶栓时间呈现缩短趋势，且小于30分钟的比例大于30%；（5）溶栓后早期（2小时内）转运的比例在增加；6.对于实施直接转运PCI的STEMI患者，应满足以下全部条件：（1）在除外合并心源性休克、急性左心衰等需要PCI医院派出救护车双程转运的患者之后，月平均入门-出门(door-in and door-out30分钟，如果目前达不到，应显示明显的缩短趋势，并且需要针对当前存在的主要问题制订改进措施，确保在通过认证后1年内逐步达到；（2）在过去6个月内实施转运PCI的患者中，向接收转诊的PCI医院传输心电图的比例不低于50%且呈现增长趋势；（3）在过去6个月内实施转运PCI的患者中绕行PCI医院急诊科和CCU直到导管室的比例不低于50%；7.在本院实施PPCI的患者，应满足以下至少3条，不足3条者不积分，其中第⑴⑵条为必备条件：（1）月平均门-9075%，若当前无法达到，则应呈现改进趋势，且应制订措施促进改进，确保在通过认证后1年逐步达到上述要求；（2）导管室激活时间小于30分钟；（3）经救护车入院、接受PPCI治疗的STEMI患者，若从首次医疗接触到进门时间大于30分钟，绕行急诊和CCU直达导管室的比例不低于30%，且呈现增高趋势；（4）自行来院、接受PPCI治疗的STEMI患者，绕行CCU从急诊科直接送入导管室的比例不低于50%，且呈现增高趋势。

ACS配置模板HWTACACS配置模板（适合H3C S75\S95\SR66\SR88）1、开启Switch的Telnet服务器功能。

system-view[Switch] telnet server enable2、配置T elnet用户登录采用AAA认证方式。

[Switch] user-interface vty 0 4[Switch-ui-vty0-4] authentication-mode scheme[Switch-ui-vty0-4] quit3、配置HWTACACS方案。

[Switch] hwtacacs scheme acs[Switch-hwtacacs-acs] primary authentication xx.xx.xx.xx xx 配置hwtacacs认证服务器ip地址、端口号[Switch-hwtacacs-acs] primary authorization xx.xx.xx.xx xx 配置hwtacacs授权服务器ip地址、端口号[Switch-hwtacacs-acs] primary accounting xx.xx.xx.xx xx配置hwtacacs计费服务器ip地址、端口号[Switch-hwtacacs-acs] nas-ip xx.xx.xx.xx xx配置发送hwtacacs报文使用的源地址ip地址、端口号[Switch-hwtacacs-acs] key authentication xxxx 设置密码[Switch-hwtacacs-acs] key authorization xxxx 设置密码[Switch-hwtacacs-acs] key accounting xxxx设置密码[Switch-hwtacacs-acs] user-name-format without-domain 设置发送给hwtacacs服务器的用户格式为不带域名[[Switch-hwtacacs-acs] quit4、配置ISP域的AAA方案。

cwmp acs连接方法CWMP（CPE WAN Management Protocol）是一种用于设备管理的协议，它允许ACS （Auto Configuration Server）通过互联网对CPE（Customer Premises Equipment）进行远程管理。

在本文中，我们将探讨使用CWMP协议连接ACS的方法，并提供一步一步的指导。

第一步：准备工作在开始配置CWMP ACS连接之前，您需要准备以下内容：1. ACS服务器：您需要拥有一个可用的ACS服务器，可以是通用的TR069 ACS 软件或专用的设备管理平台。

2. CPE设备：您需要具备要连接的CPE设备，例如路由器、调制解调器或其他网络设备。

3. 互联网连接：确保您的ACS服务器和CPE设备都具有可靠的互联网连接。

第二步：配置ACS服务器在设置CWMP ACS连接之前，您需要在ACS服务器上进行一些配置。

具体步骤如下：1. 安装ACS软件：如果您使用的是通用的TR069 ACS软件，您需要按照软件提供的指南进行安装和配置。

2. 创建ACS用户：在ACS服务器上创建一个用于连接CPE设备的ACS用户。

确保为该用户提供必要的权限以进行设备管理。

3. 配置ACS参数：在ACS服务器上配置TR069或CWMP参数，例如ACS URL、认证凭证和端口号。

确保这些参数与即将连接的CPE设备保持一致。

第三步：配置CPE设备一旦您完成了ACS服务器的配置，接下来是配置CPE设备以连接到ACS服务器。

以下是一般的步骤：1. 登录设备：通过浏览器或其他方式登录CPE设备的管理界面。

2. 找到ACS连接设置：在设备管理界面中，找到相关的CWMP或TR069设置。

通常可以在“远程管理”或“设备管理”选项中找到。

3. 配置ACS参数：将ACS服务器的URL、认证凭证和端口号等参数填入CPE设备的CWMP或TR069设置中。

4. 启用远程管理：确保启用了设备的远程管理功能。