利用ACS实现AAA认证（华为+acs）

ACS简介

思科安全访问控制服务器（Cisco Secure Access Control Sever）是一个高度可扩展、高性能的访问控制服务器，提供了全面的身份识别网络解决方案，是思科基于身份的网络服务(IBNS)架构的重要组件。Cisco Secure ACS通过在一个集中身份识别联网框架中将身份验证、用户或管理员接入及策略控制相结合，强化了接入安全性。这使企业网络能具有更高灵活性和移动性，更为安全且提高用户生产率。Cisco Secure ACS 支持范围广泛的接入连接类型，包括有线和无线局域网、拨号、宽带、内容、存储、VoIP、防火墙和 VPN。Cisco Secure ACS 是思科网络准入控制的关键组件。

适用场合：

集中控制用户通过有线或者无线连接登录网络

设置每个网络用户的权限

记录记帐信息，包括安全审查或者用户记帐

设置每个配置管理员的访问权限和控制指令

用于 Aironet 密钥重设置的虚拟 VSA

安全的服务器权限和加密

通过动态端口分配简化防火墙接入和控制

统一的用户AAA服务

AAA简介

AAA系统的简称：

　　认证(Authentication)：验证用户的身份与可使用的网络服务；

　　授权(Authorization)：依据认证结果开放网络服务给用户；

　　计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。

　　另外还有 HWTACACS协议（Huawei Terminal Access Controller Access Control System）协议。HWTACACS是华为对TACACS进行了扩展的协议

　　HWTACACS是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似，主要是通过“客户端－服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。

HWTACACS与RADIUS的不同在于：

1. RADIUS基于UDP协议，而HWTACACS基于TCP协议。

2.RADIUS的认证和授权绑定在一起，而HWTACACS的认证和授权是独立的。

3.RADIUS只对用户的密码进行加密，HWTACACS可以对整个报文进行加密。

认证方案与认证模式

　　AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式，并允许组合使用。

　　组合认证模式是有先后顺序的。例如，authentication-mode radius local表示先使用RADIUS认证，RADIUS认证没有响应再使用本地认证。

　　当组合认证模式使用不认证时，不认证（none）必须放在最后。例如：authentication-mode radius local none。

　　认证模式在认证方案视图下配置。当新建一个认证方案时，缺省使用本地认证。

授权方案与授权模式

　　AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式，并允许组合使用。

　　组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权，HWTACACS授权没有响应再使用本地授权。

　　当组合授权模式使用直接授权的时候，直接授权必须在最后。例如：authorization-mode hwtacacs local none

　　授权模式在授权方案视图下配置。当新建一个授权方案时，缺省使用本地授权。

　　RADIUS的认证和授权是绑定在一起的，所以不存在RADIUS授权模式。

计费方案与计费模式

AAA支持六种计费模式：本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。

实验一：

实验目的：某公司内部网络采用统一式管理，将所有设备的帐号和密码的认证任务统一交给Radius服务器（ACS），这样方便管理员管理设备。我们分别使用telnet方式和dot1x方式进行验证。

拓扑图：

 

实验步骤：

 

一、Radius认证服务器配置

1.安装ACS服务器

需要注意的是安装ACS服务器需要JDK环境。

安装acs之前，我们首先要安装jdk，找到jdk的安装程序，直接点击默认安装就可以了。

安装完jdk后，开始安装acs，打开autorun.exe，开始安装，安装后的程序管理页面如下图所示

 

 

 

因为此程序为cisco私有，而我们用的设备是华为设备，所以我们需要导入华为的私有属性

导入步骤如下：

编写h3c.ini文件（以下即为文件内容）

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

将编译好的华为的配置设置文件夹考到硬盘中，找到acs的安装目录下的bin文件夹，复制其 路径，打开命令提示符，进入该路径下，输入CSUtil.exe -addUDV 0 私有属性目录（c:\h3c.ini），回车

 

导入华为私有属性成功。

配置aaa客户端

 

 

AAA客户端和服务器端配置完成

 

 

进入interface configuration

 

 

创建组

点击group setup按钮，创建一个组

编辑

 

 

设置为这个组的用户都可以使用华为的私有属性，并且每个组成员都是管理员。

创建用户

点击user setup 按钮，创建一个名为test1的用户，加入group1

 

 

 

在华为交换机上配置radius认证：

radius scheme xxx

primary authentication 192.168.100.10

key authentication 123456

accounting optional

server-type standard

user-name-format without-domain

quit

domain h3c

radius-scheme xxx

access-limit enable 10

accounting optional

authentication radius-scheme xxx

state active

quit

user-interface vty 0 4

authentication-mode scheme

accounting commands scheme

quit

super password simple 456

 

客户端 telnet测试：

 

客户端dot1x测试：