[交换产品]AAA应用基于ACS的配置案例

ACS访问原理ACS主要是应用于运行Cisco IOS软件的思科网络设备，当然，ACS也全部或部分地适用于不运行Cisco IOS软件的各种其他思科网络设备。

这其中包括：•Cisco Catalyst交换机（运行Cisco Catalyst操作系统[CatOS]）•Cisco PIX防火墙（还有ASA/FWSM ）•Cisco VPN 3000系列集中器不运行Cisco IOS软件的思科设备（如运行CatOS的Cisco Catalyst交换机、运行Cisco PIX操作系统的Cisco PIX防火墙或Cisco VPN 3000集中器）可能也支持启用特权、TACACS＋（验证、授权和记帐[AAA]）命令授权或以上两者。

运行Cisco IOS软件的思科设备提供了两种网络设备管理解决方案：•启用权利(Enable priviledges)•AAA命令授权Cisco IOS软件有16个特权级别，即0到15（其他思科设备可能支持数目更少的特权级别；例如，Cisco VPN 3000集中器支持两个级别）。

在缺省配置下，初次连接到设备命令行后，用户的特权级别就设置为1。

为改变缺省特权级别，您必须运行启用命令，提供用户的启用口令和请求的新特权级别。

如果口令正确，即可授予新特权级别。

请注意可能会针对设备上每个权利级别而执行的命令被本地存储于那一设备配置中。

这些等级缺省是有命令集的，比如说等级1只有一些基本的show命令等，而等级15是全部命令的集合。

其他像2~14共13个等级的命令集是要用户自己在认证设备本地定义的。

缺省级别：特权级别说明0 包括disable, enable, exit, help和logout命令1 包括router>提示值时的所有用户级命令15 包括router#提示值时的所有启用级命令可修改这些级别并定义新级别：enable password level 10 pswd10privilege exec level 10 clear lineprivilege exec level 10 debug ppp chapprivilege exec level 10 debug ppp errorprivilege exec level 10 debug ppp negotiation每个设备上都有静态本地口令与特权级别相关联，这样有一个重要的内在缺陷：每个用户的启用口令必须在用户需访问的每个设备上进行配置。

Cisco ACS做AAA服务器实现对网络设备的3A认证解决方案很久之前搞过ACS，但是没有形成有效文档，所以遗忘导致现在又重新摸索，无意中浪费了很多宝贵时间，现将劳动成果成文，以备需要时用。

ACS功能较多，本文只是测试了实际需要用到的功能，待发现其他功能，随时补充进来。

针对网络中有大量网络设备的环境下，部署ACS可以对认证和授权进行很好的管理，并可以对每次操作进行详尽审计，是个非常好用的工具，关键还是免费的。

作者承诺文中提到的所以配置和命令均为作者亲自操作，确定可用。

若有错误，欢迎指出，多多交流。

作者：mac2011-08-084.0模拟器：C3640-IK9O3S-M（青岛小凡）交换机：C3750GPC电脑：联想二、实验拓扑图mac的新浪微博：/20881093501mac 的新浪微博：/208810935021Cisco 3640F0/0:192.168.20.201三、详细实验步骤：AAA 部署主要分为两个阶段，一个是ACS 的配置，一个是路由器的配置，我们先来讲ACS 配置1、首先要下载免费版的cisco ACS 软件，本实验用的是ACS 4.0版本2、在window 系统下安装ACS 软件，（不建议在XP 下面装），ACS 的安装过程简单，安装完毕后桌面会现，双击打开，出现以下界面表示安装成功注：登陆ACS用http://127.0.0.1:2002，登陆成功后，端口地址会自动改变，不用理会，ACS有自动退出现象，重新刷以上地址即可。

3、安装java软件，若不安装，则会导致ACS配置显示错误。

下载地址：4、设置登陆ACS的用户名和密码新装的ACS默认是没有用户名和密码的，为了安全起见，需要设置。

出找到，出现在工具按钮点击Add Administrator，出现mac的新浪微博：/20881093503这里选择的权限，可以给不同的管理员分配不同的管理组，配置权限等，我Grant All。

AAA配置与管理一、根底1、AAA是指：authentication〔认证〕、authorization〔授权〕、accounting〔计费〕的简称，是网络平安的一种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius〔远程拨号认证系统〕效劳或hwtacacs〔华为终端访问控制系统〕效劳器完成认证/授权；AAA是基于用户进展认证、授权、计费的，而NAC案是基于接入设备接口进展认证的。

在实际应用中，可以使用AAA的一种或两种效劳。

2、AAA根本架构：C/S构造，AAA客户端〔也叫NAS-网络接入效劳器〕是使能了aaa功能的网络设备〔可以是一台或多台、不一定是接入设备〕3、AAA基于域的用户管理：通过域来进展AAA用户管理，每个域下可以应用不同的认证、授权、计费以及radius或hwtacacs效劳器模板，相当于对用户进展分类管理缺省情况下，设备存在配置名为default〔全局缺省普通域〕和default_admin〔全局缺省管理域〕，均不能删除，只能修改，都属于本地认证；default为接入用户的缺省域，default_admin为管理员账号域〔如、ssh、telnet、terminal、ftp用户〕的缺省域。

用户所属域是由域分隔符后的字符串来决定的，域分隔符可以是、|、%等符号，如userhuawei.就表示属于huawei 域，如果用户名不带，就属于系统缺省default域。

自定义域可以被配置为全局缺省普通域或全局缺省管理域，但域下配置的授权信息较AAA效劳器的授权信息优先级低，通常是两者配置的授权信息一致。

4、radius协议Radius通过认证授权来提供接入效劳、通过计费来收集、记录用户对网络资源的使用。

定义UDP 1812、1813作为认证〔授权〕、计费端口Radius效劳器维护三个数据库：Users:存储用户信息〔用户名、口令、使用的协议、IP地址等〕Clients:存储radius客户端信息〔接入设备的共享密钥、IP地址〕Dictionary：存储radius协议中的属性和属性值含义Radius客户端与radius效劳器之间通过共享密钥来对传输数据加密，但共享密钥不通过网络来传输。

实用标准文案界面预览：CiscoSecure ACS安装略。

1 CiscoSecure ACS如果出现上面的界面则说明安装成功。

添加用户：2 user setup点击界面左侧按钮，界面如图所示：1图精彩文档．实用标准文案 Add/Edit按钮，界面如图所示：点输入用户aaa-user1,2图提交，点击Submit123456输入密码随便输入，123456，确认输入一次。

Name/DescriptionReal List all User。

点击可以查看所有已经配置的用户。

1出现图3图精彩文档．实用标准文案添加客户端3. nerwork configuration，出现下图：点击界面左侧4图按钮，出现下图：下点击AAA ClientsAdd Entry精彩文档．实用标准文案图5AAA Client Hostname:客户端主机名AAA Client IP Address:客户端IP地址，也就是路由器的IP地址Key:客户机用来加密数据Autenticate Using:认证方法。

这里保持默认TACACS+其余选项保持默认。

点击Submit+Apply提交并应用按钮，出现下图：精彩文档．实用标准文案6图已经添加成功。

表明R1路由器预配置IP 192.168.2.1/24 配置接口1.AAA全局启用2. R1(config)#aaa new-model服务器指定AAA3. R1(config)#tacacs-server host 192.168.2.10 key client_key身份测试服务器以用户aaa_user14. R1#test aaa group tacacs+ aaa-user1 123456 legacyAttempting authentication test to server-group tacacs+ using tacacs+User was successfully authenticated.123456通过服务器认证。

实验要求：对EXEC(模式)和Commands(命令)授权
1.本实验中用libo1用户登录到路由器上为特权模式
2. Libo2用户登录到路由器上为用户模式
3.让用户libo1登录到路由器，虽然为特权模式
但是不可以用erase命令，以防止格式化flash：实验过程：
第一大部分：
我们先配置EXEC
第一步：配置使路由器支持aaa认证和授权
第二步：配置ＡＣＳ服务器
2.新建二个用户名路由器接口的ip地址通信的密码
协议的类型
输入用户密码
将用户libo1加入组1
添加第二个用户libo2和上面的配置方法一致，不过我们将其加入到组2，方法一样3.配置组
配置组2和上面不同的是，将组2的级别配置为1，这样在组2里的用户级别全部为1，将不能直接进入特权模式，要进特权模式要输入enable密码
第三步：测试
//从上面的示例中我们看到了用户名为libo1（组1的级别为15）的直接进入特权模式而组级别为1的进入到用户模式
第二大部分：
接下来我们配置对commands的限制
第二步：在ACS上的配置
这一个允许所有
和下面deny配
在一起使用意思为
不允许erase(下列
的第一个图)，如果
配置为permit的话
结果为下列第二个
图
当配置中这deny erase的时候，用户不能使用erase命令
当上面的配置中为permit erase时，可以使用erase命令，这是值得注意的地方
Over。

HUAWEI S系列交换机AAA特性与Cisco Secure ACS对接指导文档版本01发布日期2014-12-23版权所有 © 华为技术有限公司 2014。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：对接指导前言前言概述本文档针对HUAWEI S系列交换机AAA特性与Cisco Secure ACS进行了对接分析，并结合实例给出了对接指导。

读者对象本文档（本指南）主要适用于以下工程师：l网络规划工程师l技术支持工程师l维护工程师修改记录1背景交换机提供用户的接入功能，用户分为管理员用户和接入用户两大类。

如图1-1所示，管理员用户需要接入交换机对其进行管理，接入用户需要接入交换机使用视频、语音、上网等网络应用业务。

图1-1交换机的用户当用户接入交换机时，交换机需要对这些用户进行接入控制管理。

如对用户进行身份认证（Authentication），授权（Authorization）给用户接入后可进行的业务以及根据用户使用的业务进行计费（Accounting），即AAA管理机制。

AAA提供对用户进行认证、授权和计费等安全功能，防止非法用户登录设备，增强设备系统安全性。

l认证：验证用户是否可以获得网络访问权。

实施前准备：-挂线：以15级权限telnet/SSH上要配置的设备，配置：line vty 0 15exec-timeout 0 0然后保持telnet/SSH会话不退出。

等待配置完成且测试通过后，再配置exec-timeout 10 0(或者改成期望值，默认是10 0)。

这样做的目的是避免因为意外或者操作问题将用户自己锁在路由器外。

配置步骤(以下若无具体说明，均为全局模式配置，命令行红色字体为自定义值)：1、开启aaa：aaa new-model2、配置tacacs+服务器：tacacs-server host 192.168.1.200 key I0$pAs$w0rd3、配置ACS，配置client和user：-登录ACS：浏览器输入：192.168.1.200:2002，其中192.168.1.200为ACS的IP地址。

--client配置：在左边点击进入network config视图：点击下图的Add Entry：会弹出以下界面，hostname填写设备名称(也可以自定义)，IP地址填写网络设备的IP，key要和路由器上配置的key相同，使用tacacs+(cisco ios)，然后点击submit+apply。

如下图：--user配置：点击左边，会进入user setup界面，如下图：输入要建立的username，点击add/edit：在user编辑界面，在user setup界面输入密码，选择属于的组，然后点击最下方的submit即可。

作为例子，这里配置了4个用户：4、测试路由器和ACS连通性：特权模式：test aaa group tacacs cisco7 cisco7 new-code，如果通过会有以下输出：注意：如果不能通过，请确认两端是否能通信(ping)，两端的密码是否相同(比如路由器端的密码是否多了空格，空格也被认为是密码string)。

5、定义aaa method-list，名字为ios-manage：aaa new-modelaaa authentication login ios-manage group tacacs local //定义登录的认证方法为tacacs+，当ACS不可达时使用本地验证aaa authorization exec ios-manage group tacacs local //当通过登录认证后，授权登录用户能访问cli界面。

详解CiscoACSAAA认证（⼀）
详解Cisco ACS AAA认证
近来，有些同学会问到关于AAA认证的问题，以及cisco ACS如何使⽤，那么今天我们就主要来讲⼀下关于这⽅⾯的知识。

AAA代表Authentication、Authorization、Accounting，意为认证、授权、记帐，其主要⽬的是管理哪些⽤户可以访问服务器，具有访问权的⽤户可以得到哪些服务，如何对正在使⽤⽹络资源的⽤户进⾏记帐。

1、认证：验证⽤户是否可以获得访问权限——“你是谁？”
2、授权：授权⽤户可以使⽤哪些资源——“你能⼲什么？”
3、记帐：记录⽤户使⽤⽹络资源的情况——“你⼲了些什么？”
好的，简单的了解理论知识后，接下来我们还是以实验的⽅式来进⾏讲解：
为⽹络提供AAA服务的，主要有TACACS+和RADIUS协议，我们主要介绍是TACACS+协议，因为它运⾏在TCP协议基础之上，更适合⼤型⽹络，特别是融合型⽹络
⼀、实验拓扑介绍
Step 2>点击Add administrator 后出现此账户的诸多选项，逐⼀填写后点击Submit
Step2>添加Tacacs+客户端（ACS中必须指定Tacacs+客户端的名字、IP地址、key）
3、 Tacacs+设置
Step1>点击ACS界⾯左边Interface configuration 按钮，选择TACACS+ (Cisco IOS)
Step2>根据个⼈具体应⽤，在Tacacs+相关项⽬中打勾(如果没有将tacacs+相关项⽬选中，则在⽤户组/⽤户属性中将不会出现tacacs+相关项⽬)。

AAA验证的配置◆实验拓扑:◆实验要求:1;按照图例所示:配置ip地址.互相之间可以通信,同时R1可以无限制的telnet到R2上面. 2: 所有的telnet 到R2的用户必须经过ACS服务器的认证3:授权登陆的R2的用户,级别是3级,可以使用config t ,ip add ,no shut 及show run命令4:所有AAA运行协议为TACACS+5:在ACS服务器上面记录用户登陆和登出的时间6:在R1上面定义列表要求精确到主机ip和协议◆理论分析:a)TACACS+TACACS+提供了单独的和模块化的验证,授权,和统计工具.它提供了最全面和灵活的安全配置.TACACS+使用tcp在TACACS+服务器和TACACS+客户之间通讯.TACACS+使用需要利用的AAA的所有特性.与RADIUS不同的是.TACACS+分离了认证,授权和统计功能.b)RADIUSRADIUS是一个与AAA一起使用的分布式客户,服务器系统.它保护了网络的不被非授权的访问.在cisco的实现中,RADIUS客户运行在cisco路由器上面.并向中心的RADIUs 服务器发送验证的请求.该服务器包含了所有的用户认证和网络服务的访问信息., RADIUS是一个开放的标准.其特色是使用了更少的cpu更期.并且被私有的TACACS+使用了更少的内存.TADIUS目前是新兴的无线验证协议唯一的一个安全协议.它和网络设备安全通讯采用的是udp协议..不过RADIUS协议被认为是一种无连接的服务,与服务器的可用性,重传和超时相关的问题都由启动的RADIUS的设备来处理.而不是由传输协议处理.典型的.RADIUS协议在制定的超时周期内如果没有受到任何的响应.则重新传输.c)AutienticationAutientication---验证.提供用户凭证以获得对一个系统的访问.验证询问用户它是谁d)AuthorizationAuthorization—授权,将用户的访问限制在某些”授权”的命令和选项中.授权用户询问它有哪些特权e)AccountingAccounting—审计,为安全,计费或其他的目的记录用户的活动,统计记录了用户作了什么和什么时间登陆的◆实验步骤:第一步:基本的配置.互相之间可以通信R1配置:Router>en--------------------------------------------进入特权模式Router#conf t----------------------------------------进入全局模式Router(config)#host R1----------------------------名字是R1R1(config)#enable password cisco----------------设置一个全局的密码R1(config)#interface lo 0---------------------------进入loop口.也就是回环口R1(config-if)#ip add 1.1.1.1 255.255.255.0-----配置ip地址R1r(config-if)#interface fa 0/1---------------------进入fa口R1(config-if)#ip add 172.16.23.1 255.255.255.0--配置ip地址R1r(config-if)#no shut-------------------------------启用接口R1(config-if)#exit------------------------------------退到特权模式R1(config)#ip route 2.2.2.2 255.255.255.255 172.16.23.2—配置通往R2回环口的静态路由R2Router>en-------------------------------------------------进入特权模式Router#conf t----------------------------------------------进入全局模式Router(config)#host R2----------------------------------名称是R2R2#enable password cisco-------------------------------设置一个全局的密码R2(config)#interface fa 0/1------------------------------进入fa口R2(config-if)#ip add 172.16.23.2 255.255.255.0-----配置ip地址R2(config-if)#no shut-------------------------------------启用接口R2(config-if)#interface lo 0------------------------------进入loop口也就是回环口R2(config-if)#ip add 2.2.2.2 255.255.255.0------------配置回环口ip地址R2(config-if)#interface fa 0/0----------------------------进入fa口R2r(config-if)#ip add 172.16.12.1 255.255.255.0-----配置ip地址R2(config-if)#exit-------------------------------------------退到特权模式R2(config)#ip route 1.1.1.1 255.255.255.255 172.16.23.1---配置通往R1的回环口静态路由R2(config)#username cisco privilege cisco--------------------配置用户是cisco,级别是15级R2(config)#username cisco secret cisco -----------------------用户名和密文的密码R2(config)#line vty 0 15------------------------------------------进入虚拟终端telnetR2(config)#login local--------------------------------------------开启本地登陆1:当配置完第一步的时候我们在R1上面测试ping R2所得成功结果如下:2:我们在R1上面可以成功的telnetR2上面的结果如下:第二步:AAA验证的配置R2上面.在原有的基础操作R2(config)#aaa new-model -------------------------------------------开启AAA功能R2(config)#aaa authentication login acs group tacacs+ -----------使用本地的用户组到ACS服务器上面验证. 名称是acsR2(config)#tacacs-server host 172.16.12.3 key tianya--------------指明AAA服务器的地址.并且设置key,注意这里的key要和一会ACS服务器上面的key保持一致.R2(config)#line vty 0 15-------------------------------------------------进入终端telnetR2(config-line)#login ? -------------------------------------------------登陆? 我们发现没有了local.,authentication Authentication parameters.ctrlc-disable Disable CONTROL-C during login.R2(config-line)#login authentication acs------------------------------我们应用验证.这里的acs就是和上面刚刚设置的名称对应的1:配置完毕上述的操作.我们再次上R1上面telnet到R2的时候我们发现不成功.图例如下:2:登陆不成功的原因是我们开启了R2上面的AAA验证功能.我们需要在ACS服务器上面操作.具体的操作如下:(1)首先安装好ACS服务器,进入的界面如下我们点击interface configuration中的Advanced Options RADIUS(IETF)和TACACS+(cisco ios)的选项全部选上,----------然后点击submit 图例如下:(2) 我们点击network configuration -----------not assigned -------------Add Entry----进入—点击Add EntryHostname R2(可以随意)-----ip 地址(R2的地址)--------key 就是在路由器R2上面配置的那个key---点击Submit(3)我们点击usersetup建立一个用户,cisco123 点击Add/Edit 然后输入密码.这个用户就是在R1上面要telnet到R2的那个验证用户.--------------然后点击submit ,然后点击find 我们可以查看到刚刚创建的用户.图例如下:失败.而我们用刚刚在ACs上面创建的用户cisco123登陆.发现登陆成功,图例如下:击reportstad acitiving -------failed attempts -----failed attempts active.csv 图例如下:第三步:授权的操作(1)首先在ACS服务器上面操作,我们点击刚刚创建的用户cisco123 然后点击此用户中的shell 我们选择级别,然后点击submit .图例如下:(2)我们在路由器R2上面去配置,操作如下:R2(config)#privilege exec level 3 config tR2(config)#privilege configure level 3 interfaceR2(config)#privilege interface level 3 ip addR2(config)#privilege interface level 3 no shutR2(config)#privilege exec level 3 sho run---------------------以上都是我们所定义的命令R2(config)#aaa authorization exec aaa group tacacs+ local none—授权用本地组名称是aaa到ACS服务器上面验证,如果验证不成功我们使用本地登陆,R2(config)#line vty 0 15R2(config-line)#authorization exec aaa-------------------------应用(3)我们到路由器R1上面去telnet到R2的时候.我们发现的效果如下:级别是3 可以是定义的所有命令.此现象表明我们的授权操作成功第三步:审计的操作首先我们到路由器R2上面操作R2(config)#aaa accounting exec aaa start-stop group tacacs+ ---审计登陆登出的时间,名称是aaa R2(config)#aaa accounting commands 0 aaa start-stop group tacacs+ ----定义0级别的审计R2(config)#aaa accounting commands 1 aaa start-stop group tacacs+ ----定义1级别的审计R2(config)#aaa accounting commands 3 aaa start-stop group tacacs+ ----定义3级别的审计R2(config)#aaa accounting commands 15 aaa start-stop group tacacs+ ---定义15级别的审计R2(config)#line vty 0 15R2(config-line)#accounting exec aaaR2(config-line)#accounting commands 0 aaaR2(config-line)#accounting commands 1 aaaR2(config-line)#accounting commands 3 aaaR2(config-line)#accounting commands 15 aaa---------------------------这些都是应用此时我们再次在R1上面telnet到R2的时候,何时登陆,何时登出,实验图例如下:在ACS服务器上可以查看在路由器敲过的有效命令.我们点击reportstnd activity ---------TACACS+ accounting—TACACS+ Accounting active.csv 和TACACS+ Administration ----tacacsAdministration ,csv实验图例如下:实验成功！。

1AAA服务器架设详解Ser2003+ACS4.21.1安装ACS 4.2仅支持server2000/2003 5.0支持Linux 系统1.2安装完ACS4.2 之后桌面会生成一个ACS Admin的管理页面的快捷方式，打开之后添加一个管理员账号，就可以在其他电脑进行web管理ACS了1.3添加管理员账号之后，在其他电脑浏览器地址栏中输入ACS所在服务器地址+端口号2002就可以管理ACS，需要安装JAVA支持。

2设置ACS2.1添加NAS（Network Access Server）AAA包括认证、授权、审计路由器本身可以完成认证和授权（Lev 1 ‐ 15）现在我们把这些行为交给AAA服务器来完成，首先添加一个用户，并赋予相应的权限，至于命令的授权由于比较繁琐这里就不掩饰了，直接给予用户15级或1级的授权2.2添加用户现在就可以在路由器上配置了我这里使用GNS3模拟，如下示3路由器设置路由器f0/0地址：192.168.255.253AAA服务器连路由器地址：192.168.255.1313.1设置AAA服务器R1(config)#tacacs-server host 192.168.255.131 key cisco测试R1#test aaa group tacacs+ use1 user1 new-codeSending passwordUser successfully authenticated3.2启用AAA如果我们起一个命名式的认证列表，需在相应接口启用，如：aaa authentication login VTY group tacacs+ enable none认证列表名：VTY 使用AAA认证，无法使用AAA时使用enable密码认证，enable密码未设置时不认证line vty 0 4login authentication VTY在vty线路下调用VTY认证3.3审计aaa accounting exec default start‐stop group tacacs+aaa accounting commands 1 default start‐stop group tacacs+ 对lev1的命令进行审计aaa accounting commands 15 default start‐stop group tacacs+ 对lev15的命令进行审计所有命令如下：configure terminalaaa new‐modelaaa authentication login default group tacacs+ enable noneaaa authentication enable default group tacacs+ enable noneaaa accounting exec default start‐stop group tacacs+aaa accounting commands 1 default start‐stop group tacacs+aaa accounting commands 15 default start‐stop group tacacs+R1#test aaa group tacacs+ user1 user1 new‐code若java提示安全问题请在控制面板中更改java安全及别。

思科A C S+A A A怎么配置c i s c o思科公司制造的路由器、交换机和其他设备承载了全球80%的互联网通信，成为了网络应用的成功实践者之一,那么你知道思科A C S+A A A怎么配置吗?下面是学习啦小编整理的一些关于思科A C S+A A A怎么配置的相关资料，供你参考。

思科A C S+A A A配置的方法1.配置A C S(t a c a c s或r a d i u s)服务器t a c a c s-s e r v e r h o s t x.x.x.xt a c a c s-s e r v e r h o s t x.x.x.xt a c a c s-s e r v e r k e y*****2.配置设备l o c a l后门用户u s e r n a m e t e s t u s e r p a s s w o r d*****之所以配置后门用户，是考虑到在A C S异常的时候仍能t e l n e t到设备。

3.启用a a aa a a n e w-m o d e l4.认证并应用到线路a a a a u t h e n t i c a t i o n l o g i n l o g i n-l i s t g r o u pt a c a c s+l o c a ll i n e v t y015l o g i n a u t h e n t i c a t i o n l o g i n-l i s t这里的l o g i n-l i s t定义了访问控制的列表，即首先使用t a c a c s+认证，如果认证失败则使用l o c a l后门用户认证。

后面的将认证应用到v t y、配置a c c o u n t i n g均调用这个l o g i n-l i s t。

5.授权a a a a u t h o r i z a t i o n e x e c d e f a u l t l o c a li f-a u t h e n t i c a t e d授权的配置不同的需求差异会很大，我个人不建议太复杂的授权，详细解释看看附件吧。

AAA实验一、实验原理：1.客户端和边界路由器建立一个连接。

2.路由器和Cisco Secure ACS (server or appliance)通信.3.Cisco Secure ACS 验证远程客户提供的用户名和密码。

4.Cisco Secure ACS 验证用户。

这个远程客户通过ACS数据信息验证并授权访问网络。

二、Cisco Secure ACS（Access control Server）1．产品介绍Cisco Secure ACS 是一个用来控制对网络的访问的网络安全软件，它可以对用户进行认证、授权和审计。

Cisco Secure ACS 分为Cisco Secure ACS for windows 和Cisco Secure ACS for Unix 两个版本，下表是两个版本所支持的操作系统：版本所支持的操作系统Cisco Secure ACS for windows Windows 2000 Server（sp4） Windows2000 Advanced Server（sp4） WindowsServer 2003 标准版Windows Server 2003 企业版Cisco Secure ACS for Unix Solaris2．Cisco Secure ACS 安装及基本配置Cisco Secure ACS 是一个用来控制对网络的访问的网络安全软件，它可以对用户进行认证、授权和审计。

Cisco Secure ACS for windows 的安装过程如下：步骤1、检查并调整计算机硬件配置，使其满足以下要求：Pentium Ⅲ 550MHz 以上256M 内存250M 以上的剩余硬盘空间步骤2、检查windows 配置，安装Java run time（JRE）。

（JRE 的最新版本可以去 上下载）建议：Cisco Secure ACS V4.0 使用JRE1.5 版本步骤3、检查服务器到Cisco 设备的网络连接。

3.4.3 配置Cisco Secure ACS1. 登录ACS客户端，输入用户名和密码，进入系统的主页面。

a. 在浏览器的地址栏输入ACS的URL（Universal Resource Locator）地址，并按“Enter”键，进入ACS登录页面，输入用户名和密码，单击“登录”，如图3-3所示。

ACS的URL地址格式：“http:// IP /”或者“https:// IP /”。

例如：“http://10.13.1.1/”或者“https://10.13.1.1/”。

图3-3 ACS登录页面b. 成功登录ACS后，会显示系统的主页面，如图3-4所示。

主页面的介绍可以参考“客户界面组成”。

图3-4 系统的主页面2. 添加接入设备。

a. 单击导航树中的“Network Resources > Network Devices and AAA clients > Creat”菜单，如图3-5所示。

图3-5 网络设备与AAA客户端配置页面b. 进入新增网络设备与AAA客户端页面后，输入交换机名称、交换机IP地址，并选择交换机与ACS通信方式为RADIUS，输入交换机与ACS的共享密钥、端口号，并单击“Submit”，如图3-6所示。

图3-6 添加网络设备与AAA客户端3. 添加接入用户。

a. 单击导航树中的“Users and Identity Stores > Internal Identity Stores > Users”菜单，如图3-7所示。

图3-7 接入用户配置页面b. 输入接入用户的用户名、密码，再次输入密码，并单击“Submit”，如图3-8所示。

图3-8为添加802.1x用户参数的配置页面，请根据管理员用户参数再自行添加管理用户。

图3-8 添加接入用户4. 添加认证授权模板。

a. 单击导航树中的“Policy Elements > Authorization and Permissions > Network Access > AuthorizationProfiles > Creat”菜单，添加认证授权模板，如图3-9所示。

思科ACS+AAA怎么配置cisco思科公司制造的路由器、交换机和其他设备承载了全球80%的互联网通信，成为了网络应用的成功实践者之一,那么你知道思科ACS+AAA怎么配置吗?下面是店铺整理的一些关于思科ACS+AAA怎么配置的相关资料，供你参考。

思科ACS+AAA配置的方法1.配置ACS(tacacs或radius)服务器tacacs-server host x.x.x.xtacacs-server host x.x.x.xtacacs-server key *****2.配置设备local后门用户username testuser password *****之所以配置后门用户，是考虑到在ACS异常的时候仍能telnet到设备。

3.启用aaaaaa new-model4.认证并应用到线路aaa authentication login login-list group tacacs+ localline vty 0 15login authentication login-list这里的login-list定义了访问控制的列表，即首先使用tacacs+认证，如果认证失败则使用local后门用户认证。

后面的将认证应用到vty、配置accounting均调用这个login-list。

5.授权aaa authorization exec default local if-authenticated授权的配置不同的需求差异会很大，我个人不建议太复杂的授权，详细解释看看附件吧。

6.记账aaa accounting exec login-list start-stop group tacacs+aaa accounting commands 1 login-list start-stop group tacacs+aaa accounting commands 15 login-list start-stop group tacacs+aaa accounting network login-list start-stop group tacacs+ ACS+aaa的模式可以很好的管理网络设备的访问控制，只可惜ACS不是免费的软件，不过也自己搭建Tacacs服务器。

H3CS5500系列交换机与ACS配合做tacacs认证的典型配置S5500系列交换机与ACS配合做tacacs认证的典型配置⼀、组⽹需求：需要对登录交换机的telnet管理⽤户经过ACS的tacacs认证以确认其合法性。

ACS Server和交换机之间只要路由通即可，⽆特殊要求。

⼆、组⽹图：三、配置步骤：1. ACS 侧配置(1)进⼊主界⾯(2)创建AAA Clients点击Network Configuration点击“Add Entry”输⼊“AAA Client Hostname”，添加“AAA Client IP Address”，设置“Key”，在“Authenticate Using”列表中选择认证使⽤的协议为“TACACS+(Cisco IOS)”，点击“Submit+Restart”创建完毕，以后可以根据需要在“AAA Client IP Address”中添加IP，⽆需再次创建。

此处的AAA Client IP Address 即为我们平常所说的NAS IP。

列表中可以看到新建的客户端的相关信息(3)配置Group点击“Group Setup”从Group列表中选择要编辑的group 1，点击“Edit Settings”在“Jump To”列表中选择“TACACS+”即可直接跳到TACACS+属性的设置界⾯勾选Shell(exec) 和 Privilege level 并在Privilege level中填⼊允许⽤户拥有的权限，可填范围为0-15(其中3-15对应我司设备的level 3权限)。

然后点击Submit+Restart来提交⽣效。

(4)创建⽤户点击“User Setup”输⼊要创建的⽤户名“h3c”，点击“Add/Edit”，进⼊编辑画⾯,填写Real Name 和Description以及密码信息选择⽤户所属的组Group 1，点击Submit2. 设备侧配置(1)配置hwtacacs[H3C]hwtacacs scheme acs[H3C-hwtacacs-acs] primary authentication 1.1.1.4[H3C-hwtacacs-acs] primary authorization 1.1.1.4[H3C-hwtacacs-acs] primary accounting 1.1.1.4[H3C-hwtacacs-acs] key authentication h3c[H3C-hwtacacs-acs] key authorization h3c[H3C-hwtacacs-acs] key accounting h3c[H3C-hwtacacs-acs] user-name-format without-domain(2)配置domain[H3C]domain acs[H3C-isp-acs] authentication login hwtacacs-scheme acs[H3C-isp-acs] authorization login hwtacacs-scheme acs[H3C-isp-acs] accounting login hwtacacs-scheme acs(3)配置默认domain[H3C] domain default enable acs(4)配置user-interface[H3C] user-interface vty 0 4[H3C-ui-vty0-4] authentication-mode scheme四、配置关键点：(1)ACS上AAA Client IP配置的是设备的NAS IP,⼀般配置为管理vlan的 IP地址；(2)AAA Client配置的key值需要与设备上hwtacacs配置的key保持⼀致；(3)⽤户名是否携带域名可以按照需要配置，但要注意的就是携带域名的时候，ACS上配置的⽤户名也得携带域名；(4)S5500系列,S3610/S5510,S7500E适⽤于此配置。

文件编号：Ecc-AT-2011-Q3-6772-009ACS 5.x 的AAA配置手册版本：1.3华讯网络2011年6月文件说明本程序文件对Cisco ACS 5.x 的版本进行AAA配置的详细说明文档。

公司名称：华讯网络系统股份有限公司网址：w w w.e c c o m.c o m.c n 电话：8610-88216999传真：8610-88216888地址：北京市朝阳区建国门外大街2号银泰中心C座2902邮编：100022文件修订记录公司名称：华讯网络系统股份有限公司网址：w w w.e c c o m.c o m.c n 电话：8610-88216999传真：8610-88216888地址：北京市朝阳区建国门外大街2号银泰中心C座2902邮编：100022目录1ACS准备 (5)1.1ACS登陆 (5)1.2ACS时间设置 (5)1.2.1设置时区 (5)1.2.2设置时间 (6)1.2.3设置NTP (7)2配置认证 (8)2.1ACS添加验证用户 (8)2.2ACS添加Radius客户端 (9)2.2.1Telnet登陆使用Radius认证 (10)2.2.2Enable模式使用Radius认证 (10)2.3ACS添加Tacacs+客户端 (11)2.3.1Telnet登陆使用Tacacs+认证 (11)2.3.2Enable模式使用Tacacs+认证 (12)3配置授权 (15)3.1客户端配置授权 (15)3.2ACS配置授权（Tacacs+） (16)3.2.1创建用户 (16)3.2.2创建Shell Profiles (17)3.2.3创建Command Sets (18)3.2.4设置Authorization (20)3.2.5查看Authorization报告 (25)4配置审计 (26)4.1Radius协议配置审计 (26)4.2Tacacs+协议配置审计 (27)公司名称：华讯网络系统股份有限公司网址：w w w.e c c o m.c o m.c n 电话：8610-88216999传真：8610-88216888地址：北京市朝阳区建国门外大街2号银泰中心C座2902邮编：1000221ACS准备1.1 ACS登陆Console口连接ACS设备，初始化配置后，设置IP地址及登陆用户名/密码等。

AAA---认证授权统计组员：潘朝武、张恒、王博洋、高宇、马瑞、吉倩实验拓扑图：1、ACS Server:用虚拟机安装Windows server 2003来搭建,在里面先安装JA V A插件,然后在安装ACS安装注意的地方,上面4个钩都要勾上上面的6个选项都要勾上安装完了以上两个插件后我们来看看通过http://127.0.0.1:2002能不能访问…假如不能访问的话就把IE的安全级别修改一下…就可以了….2、路由器配置：R1：enconf tho R1enable password panchaowuusername panchaowu secret panchaowuservice password-encryptionline con 0exec-timeout 0 0logg synno ip domain-lookupint e0/1ip add 172.17.235.1 255.255.255.0no shint e1/0ip add 172.17.236.1 255.255.255.0no shexit启用AAA：aaa new-modeltacacs-server host 172.17.235.2 key panchaowu //指向AAA服务器及其KEY3、在ACS服务器上面配置clientnetwork configure---R1---172.17.235.1–panchaowu---submit4、对telnet登陆做认证、审计：aaa authentication login telnet group radius localaaa accounting exec telnet start-stop group radiusline vty 0 4login authentication telnetaccounting exec telnet5、在ACS服务器上面添加用户：user setup---添加一个用户为cisco6、在客户机测试试是否认证成功：7、在acs上查看认证记录：实验总结：通过这次实验，我了解了AAA认证的基本工作原理和流程，以及如何去配置一个简单的认证服务器。