Cisco ACS 网络安全设备管理

1、ACS配置ACS的配置难点在部署的时候的配置，部署完毕之后使用起来就比较容易了，只要创建好用户，定义好密码，然后放在对应的组里就可以了，具体操作步骤如下:按照如图1-1所示的方法打开用户添加界面图 1-1用户添加界面打开后如图1-2所示，里面的内容比较复杂，对我们来说最重要的部分是用户名、密码以及用户组，添加用户界面中的项目作用如图1—3：图中标“1”的部分：用户名字段，登录的时候这个就是Username图中标“2”的部分:用户组，之前我们说过ACS的策略权限等的定义都是基于用户组进行的，而细化到对用户的权限控制,就是把用户放入对应的组里图中标“3”的部分：登录密码，登录的时候这个就是password图中标“4”的部分：勾选这个之后用户第一次登录的时候登录的网络设备会提示要修改新的密码（思科的设备经测试有效）图中标“5"的部分：使能密码，也就是我们常说的enable密码，这个密码如果需要使用则需要在设备上开启enable使用AAA服务器做认证（暂未测试）图 1-2图 1-3配置完毕后点击Submit按钮,就可以直接使用这个账号登录所有以这台服务器作为AAA认证服务器并开启了vty线程AAA认证的网络设备了,使用Tacacs+服务的设备还可以根据用户组中定义的授权信息对登录上来的用户做授权。

2、网络设备的配置不同的网络设备配置命令是不一样的，具体的配置需要参考相关设备的配置手册，由于ACS本来就是Cisco的东西，所以Cisco的设备相对来说兼容性是最好的。

2。

1、Cisco设备的配置//AAA服务配置aaa new—model //定义新的AAA实例aaa authentication login MAGIgroup tacacs+ local—case //命名一个名为MAGI的登录认证规则，且如果tacacs+服务不可达,则自动使用本地数据库信息认证aaa authorization exec MAGI grouptacacs+ local //命名一个名为MAGI的特权授权规则，且如果Tacacs+服务不可达，则自动使用本地数据库信息授权tacacs-server host 192。

思科acs使用指南English:CISCO ACS (Access Control System) is a powerful and comprehensive network access control solution that is widely used in enterprises and organizations of all sizes. It provides a secure and efficient way to authenticate, authorize, and account for users and devices trying to connect to a network.CISCO ACS offers a range of features that make it a versatile and valuable tool for network administrators. Firstly, it supports a wide variety of authentication methods, including local database, LDAP, RADIUS, and TACACS+. This flexibility allows organizations to choose the most suitable authentication method for their needs. Additionally, it supports multiple authorization and accounting protocols, ensuring compatibility with different network devices and services.Another key feature of CISCO ACS is its central management and administration capabilities. With a user-friendly web-based interface, administrators can easily configure and manage user access policies,authentication methods, and network devices. This centralized management streamlines the process of managing user access privileges and ensures consistency across the network.Furthermore, CISCO ACS provides robust auditing and reporting features. It keeps detailed logs of all authentication and access events, allowing administrators to track and investigate any suspicious activities. The reporting functionality allows administrators to generate reports on user access patterns, device usage, and other important network statistics. These reports are invaluable for network troubleshooting, capacity planning, and compliance monitoring.Additionally, CISCO ACS integrates seamlessly with other network security solutions. It can be integrated with CISCO Identity Services Engine (ISE) for advanced posture assessment and endpoint profiling. It can also be integrated with CISCO Adaptive Security Appliance (ASA) for advanced firewall and VPN capabilities. These integrations enhance the overall security and control of the network.In conclusion, CISCO ACS is a highly capable network access control solution that provides a secure and efficient way to authenticate, authorize, and account for users and devices. Its extensive features, centralized management, auditing capabilities, and integration options make it a valuable tool for network administrators in ensuring the security and compliance of their networks.中文翻译:思科ACS（Access Control System）是一种功能强大且综合的网络访问控制解决方案，在各类企业和组织中广泛应用。

思科网络设备安全管理方案简介网络设备的安全管理是现代企业中非常重要的一项工作。

思科作为全球领先的网络设备供应商，提供了一系列的网络设备安全管理解决方案。

本文将介绍思科网络设备安全管理的基本原则、主要措施和常见工具。

基本原则在实施思科网络设备安全管理方案之前，我们首先需要明确一些基本原则。

1.身份验证：只有经过身份验证的用户才能获得访问网络设备的权限。

2.防火墙保护：在网络设备与外部网络之间设置防火墙，限制对设备的非授权访问。

3.访问控制：通过实施访问控制列表（ACL）和安全策略，控制对网络设备的访问和行为。

4.漏洞管理：及时修复网络设备中的漏洞，确保设备的安全性。

主要措施1. 设备身份管理思科网络设备安全管理方案的第一步是设备身份管理。

这包括以下几个方面：•设备认证：在设备上配置强密码，并定期更改密码以确保设备的安全。

•设备授权：通过设备授权机制，只允许经过授权的设备连接到网络。

•设备准入控制：使用802.1X等技术，确保只有通过身份验证的设备能够访问网络。

2. 数据加密数据加密是思科网络设备安全管理的关键措施之一。

它可以保护设备与其他设备之间的通信安全，防止数据被未经授权的人员截获和篡改。

思科提供了多种加密协议，如IPSec和SSL/TLS，可以在设备之间建立安全的加密通道。

除了设备之间的通信，思科还提供了对设备上存储的数据进行加密的功能，确保设备在遭到盗窃或非授权访问时不会泄露重要数据。

3. 内容过滤和防病毒为了保护网络设备免受恶意软件和网络攻击的侵害，思科网络设备安全管理方案提供了内容过滤和防病毒功能。

内容过滤技术可以检测和阻止设备上传输的恶意代码和未经授权的应用程序。

思科的网络防火墙设备可以配置内容过滤规则，对入站和出站的数据进行检查。

思科还提供了防病毒功能，可以对设备进行实时的病毒扫描和防护。

通过定期更新病毒库，确保设备能够及时识别和阻止最新的病毒威胁。

4. 安全审计和日志管理安全审计和日志管理是确保网络设备安全管理有效性的重要环节。

Cisco ACS 的一般安装步骤ACS是Cisco出的一个AAA 认证软件，可以对路由器进行用户认证、授权、记账操作。

安装步骤：1．以超级用户登录NT或2000的ACS安装机器2．在CD-ROM中插入ASC的安装光盘3．用鼠标双击Install的图标4．在Software License Agreement 窗口中阅读Software License Agreement并点击ACCEPT按纽。

5．点击Next按纽，进入下一步。

6．选择属于你的网络配置情况的多选框，在点击Next按纽，进入下一步7．如果ACS软件已经在本机上安装了，那么它会提示你是否覆盖还是保存原来的数据选择Yes，keep existing database 按纽，保存数据，不选择该按纽则新建数据库，再点击下一步在进行接下来的安装8．如果发现有原来的ACS的配置文件，安装程序会提示你是否保存，选择后，再点击下一步在进行接下来的安装9．选择安装都默认的路径请点击Next按纽，进入下一步，选择安装都其他路径请点击Browse按纽，选择路径。

10．选择要认证的用户的数据库是以NT的帐户数据库为基础还是独立的ACS的数据库为基础。

选择后进入下一步。

（建议选择独立的ACS数据库）11．如果选择的是以NT的帐户数据库为基础的，还要选择是否对远程访问用户根据NT的用户管理器来进行限制。

进入下一步。

12．完成Authenticate Users Using，Access Server Name，Access Server IP Address，Windows NT Server IP Address，TACACS+ or RADIUS Key等参数的填写，进入下一步13．选择是否打开Interface Configuration window（在安装过程中）（默认为不打开）14．选择是否打开Enable Log-in Monitoring按纽，同时选择报警方式，包括No Remedial Action，Reboot，Restart All，Restart RADIUS/TACACS+，还可以选择通过EMAIL进行报警，（同时要配置EMAIL的SMTP Mail Server和Mail account to notify），点击Next按纽进入下一步。

ACS 5 中文配置管理手册1、ACS登录方式ACS可以通过GUI和CLI两种方式登录，以下介绍均采用GUI方式通过IE浏览器键入https://acs ip address ACS登录方式https://10.232.1.71/2、配置网络资源需要预先规划好网络设备组NDG的分配方式，比如按照设备所处位置Location和设备所属类型Device Type规划，这个在将来认证和授权时会用到。

网络资源组>网络设备组NDG下配置位置Location例子网络资源组>网络设备组NDG下配置设备类型Device Type例子配置需要实施认证的设备，包括NCM服务器本身。

网络资源组>网络设备组NDG下配置网络设备和AAA客户端Network Devices and AAA Clients例子以配置设备6509为例，将此设备分配到”北京”站点和”思科”设备组，指定IP地址，选择TACACS+协议，配置TACACS+ KEY，选择single connect device 将所有的TACACS+协议交互信息在单一TCP连接中传输。

以配置北电设备为例，选择RADIUS协议。

3、配置用户和用户组配置身份组别例子，建立办公网运维管理、生产网运维管理、生产网配置监控三个组别创建用户名，密码，分配用户到某个组别中。

4、配置策略元素配置授权和许可策略，其中设备管理包括shell profiles和Command Sets对于客户端接入包括网络接入（Authorization Profiles）和命名的许可对象(Downloadable ACLs）以下是定义一个下载ACL的例子配置ACL-CISCO的例子配置时间段策略元素，可以控制某个时间对设备的访问权限。

创建一个full time 的例子在网络控制条件Network Conditions中定义设备过滤策略元素定义了两个过滤策略元素的例子，一个是基于LOCA TION，一个是基于IP地址。

CISCO网络设备加固手册1. 简介CISCO网络设备是广泛应用的企业级网络设备，其功能强大、性能稳定、安全性高。

然而，网络攻击日益增多，网络设备成为最容易受到攻击的攻击目标之一。

因此，在使用CISCO网络设备时，需要加强设备的安全性，有效防止网络攻击的发生。

本文档介绍了CISCO网络设备的加固方法，旨在帮助企业用户更好地保护其网络安全。

2. 密码设置访问CISCO网络设备需要输入密码。

因此，密码设置是网络安全的第一步，以下是密码设置的建议：•禁止使用简单的密码，如生日、电话号码等。

•密码长度应为8位以上，并包含大写字母、小写字母、数字和特殊字符。

•定期更换密码，建议每三个月更换一次。

•不要在多个设备上使用相同的密码。

3. 访问控制访问控制是网络安全的关键，它可以限制从外部访问网络设备的地址和端口。

以下是访问控制的建议：•禁止所有不必要的端口访问，只开放必要的端口。

•对于开放的端口，应该限制访问源地址和目的地址，并限制可访问的用户。

•对于ssh、telnet等协议，应该采用加密方式传输。

4. 防火墙防火墙是网络安全的重要组成部分，它可以帮助用户保护其网络设备和数据免受攻击。

以下是防火墙的建议：•配置ACL来限制来自互联网的流量。

•禁止来自未知或未信任IP地址的访问。

•禁用不必要的服务。

5. 授权管理授权管理是配置和管理网络设备的关键，可以实现对网络设备的安全控制。

以下是授权管理的建议：•禁止使用默认帐户和密码，如cisco/cisco等。

•为每个用户分配独立的帐户和密码。

•限制每个用户的访问权限，仅限其访问必要的配置。

6. 系统日志系统日志可以记录网络设备上发生的重要事件，如登录、配置更改、错误等。

以下是系统日志的建议：•配置日志服务器，将系统日志发送到远程服务器上，以便进行分析和查看。

•配置日志级别，仅记录重要的事件。

•定期检查日志，查找异常事件。

7. 漏洞修复CISCO网络设备可能存在某些漏洞，这些漏洞可能会被黑客利用，因此需要及时修复。

Cisco ACS4.1基本配置手册1、ACS的基本设置在ACS服务器或远程PC上，IE浏览器URL中输入：http://acs服务器ip：2002可以进去ACS的配置界面，总的ACS界面如下图所示:图1-1deretsigeRnU1.1ACS软件基本选项设置1.1.1设置ACS4.1管理员帐号为了防止未经授权的人员配置ACS服务器，我们首先建立管理ACS的人员的帐号和密码，建立方式如下：（1） 进入ACS 管理控制栏目中，并点击右边ADD Administrator 选项： 图1-2（2） 输入管理员帐号密码，并点击Grant all 选项授予所有权限，最后Submit 提交一下：图1-3Un Re gi st er ed这样ACS 管理员帐号和密码就设置好了，下次通过远程登入ACS 界面系统就会提示需要提供管理员帐号和密码。

为了安全起见，可以考虑把ACS 网页超时时间设置的短一些，设置方法如下： (1) 点击图中的Seeeion Policy 选项，图1-4(2) 修改默认的idle timeout 时间，改成15min图1-5U n Re gi st er ed1.1.2 Log 信息的设置我们可以对ACS 对log 记录的默认设置进行一些修改，修改的步骤如下所示： （1） 进入ACS 的system configuration 栏目，并点击Service Contorl 选项： 图1-6（2） 对默认的LOG 记录选项按下图方式进行修改完后，点击Restart：图1-7U n R e gi st er ed1.1.3 高级用户选项设置为了ACS 用户属性等后续的设置需求，需要先把一些ACS 的高级用户选项开启一下：（1） 点击ACS 的Interface Configuration 栏目，可以看到右边有User DataConfiguration 和Advanced Options 这两个选项，如下图： 图1-8（2） 需要首先添加一个TACACS＋属性的设备，这样上图中才会增加出另外一个TACACS+ (Cisco IOS)的选项。

Cisco ACS5
简介
Cisco ACS是一个集中式的网络访问控制和授权解决方案。

本手册旨在帮助管理员了解ACS 5.8的基本功能和如何配置和管理ACS。

功能
- 提供对用户和设备的身份验证和授权
- 支持多个身份验证协议，如LDAP，RADIUS， TACACS +等- 能够执行自定义策略，以确保网络安全性和合规性
- 提供基于角色的访问控制以及细粒度的访问控制规则
- 能够对网络资源进行限制和优先级排序
- 自动化网络访问控制过程
- 提供详细的监控和报告功能
系统要求
- 硬件要求：最少2核心处理器，4GB RAM和80GB硬盘空间- 软件要求：安装Java Runtime Environment（JRE）8或更高版本
安装
- 运行安装程序并按照安装向导进行操作。

配置
- 配置系统设置
- 配置外部身份验证源
- 配置网络设备
- 配置访问策略
管理
- 管理用户和角色
- 监视和审计
- 创建和调度报告
- 执行备份和恢复
常见问题解决方案
- ACS 5.8无法启动：请确保Java版本正确，并确保系统满足最小硬件要求
- 没有发现设备：请确保设备已正确配置ACS，并且ACS和设备之间的网络通信正常
- 文件上传失败：请确保文件大小不超过80GB，并且服务器上有足够的可用空间。

结论
本手册提供了ACS 5.8的基本信息和如何配置和管理ACS的指南。

管理员应该能够使用这些信息来成功地部署和维护ACS系统，以满足其组织的网络安全需求。

CISCO ACS4.0安装配置指导一．安装CISCO ACS4.0CISCO ACS4.0运行环境要求windows server 2003，IE6.0 SP1以上，JAVA组件，在运行ACS之前要确认已安装Java组件(java下载/)。

1.双击CISCO_ACS4.0 安装文件目录下的Setup.exe，弹出对话框，选ACCEPT，如下图所示：2.在弹出的对话框中单击Next，继续安装，如下图所示：3.安装前确保符合以下条件：(1).接入终端用户能够连接到AAA设备。

(2).安装ACS的Windows服务器能够ping通AAA接入设备(3).AAA接入设备运行的IOS最低版本为11.1(4).使用的浏览器版本最低是IE v6 SP1或Netscape v8.0弹出对话框安装时需要将4个复选框全部选中才能够单击Next，继续安装，如下图所示：4.选择安装路径，ACS安装完成后，一般的都是文本的方式保存细信息，不需要多大的硬盘空间，保持默认路径，单击Next，继续安装，如下图所示：5.选择ACS账户类型，ACS单独的账户管理或者使用Windows账户管理，默认选择ACS账号管理，单击Next继续安装，如下图所示：6.开始安装，如下图所示：7.弹出对话框选择ACS全部功能，单击Next，继续安装，如下图所示：User Level Network access Restrictions ACS账号访问设备时可以设定级别group level network access restrictions ACS中通过组来设定用户访问的级别Max Sessions 最大的会话数Default Time of day/day of week speciftication 设置用户访问的时间Distributed system settings 分布式的系统设置Database Replication 数据库复制8.弹出对话框有两个选项：(1)Enable登陆是否检测，选择全部。

ACS基本配置-权限等级管理(笔记)1, ACS基本配置ACS的安装这里不讲了，网上google一下就有很多。

这里主要讲一下ACS的基本配置，以便于远程管理访问。

ACS正确安装后应该可以通过http://ip:2002/远程访问，当然要确保中间是否有防火墙等策略。

然后就是通过正确的帐号和密码进行登录管理。

下面是建立ACS管理帐户的图示。

a，本地登录ACS界面，点击左边的“Administration Control”按钮，进入下一个界面；b，点击“Add Administrator”，进入配置界面；c，根据提示填写，一般选择全部权限，方便管理，当然如果有特殊管理帐户，可以分给不同权限，比如说只能管理某些group等；d，然后“Submit”，就可以通过这个账户进行远程管理了。

2, ACS访问原理ACS主要是应用于运行Cisco IOS软件的思科网络设备，当然，ACS也全部或部分地适用于不运行Cisco IOS软件的各种其他思科网络设备。

这其中包括：· Cisco Catalyst交换机（运行Cisco Catalyst操作系统[CatOS]）· Cisco PIX防火墙· Cisco VPN 3000系列集中器不运行Cisco IOS软件的思科设备（如运行CatOS的Cisco Catalyst交换机、运行Cisco PIX操作系统的Cisco PIX防火墙或Cisco VPN 3000集中器）可能也支持启用特权、TACACS＋（验证、授权和记帐[AAA]）命令授权或以上两者。

随着对集中管理控制和审计的需求的增加，本文作者预计目前不支持TACACS＋命令授权的其他思科网络设备将得以改进，支持TACACS＋命令授权。

为最快了解思科设备的支持水平，请查看有关设备的最新文档。

运行Cisco IOS软件的思科设备提供了两个网络设备管理解决方案：·启用权利(Enable priviledges)· AAA命令授权Cisco IOS软件有16个特权级别，即0到15（其他思科设备可能支持数目更少的特权级别；例如，Cisco VPN 3000集中器支持两个级别）。

ACS 4.2 简易操作管理手册北京联信永益科技股份有限公司2008年4月目录1. 1.ACS基本配置 (1)1.1设置ACS管理员帐号 (1)1.2ACS网络设置（添加T ACACS+客户端） (2)1.3T ACACS+设置 (3)2.ACS用户组/用户添加 (4)2.1添加用户组 (4)2.2添加用户 (6)3.ACS设备端的配置 (7)3.1ACS审计(ACCOUNTING) (8)1. 1.ACS基本配置1.1 设置ACS管理员帐号Step 1>点击ACS界面左边的Administration control 按钮，然后点击Administrator control界面中的Add AdministratorStep 2>点击Add administrator 后出现此账户的诸多选项，逐一填写后点击SubmitStep3>设置了管理员后就可以通过web界面登录到ACS服务器对ACS进行配置1.2 ACS网络设置（添加Tacacs+ 客户端）Step1>点击ACS界面的Network Configuration按钮，出现网络配置界面，然后点击Add Entry,Step2>填写设备名称、IP地址、以及keyStep3>填写设备名称,IP地址及key后,单击即可.1.3 Tacacs+设置Step1>点击ACS界面左边Interface configuration 按钮，选择TACACS+ (Cisco IOS)Step2>根据个人具体应用，在Tacacs+相关项目中打勾(如果没有将tacacs+相关项目选中，则在用户组/用户属性中将不会出现tacacs+相关项目)2. ACS用户组/用户添加2.1 添加用户组Step1>在ACS界面左边点击Group SetupStep2>在下拉列表中选取某个组，给这个组重命名，接着选择Edit setting进入组的属性配置Step3>在组的enable option 中的Shell Command Authorization Set设置组的相关权限2.2 添加用户Step1>在ACS界面的左边点击user setup 按钮Step2>在user方框中填写用户名，然后点击ADD/Edit Step3>在出现的用户属性中逐一填写Step4>选择用户属于哪个用户组3. ACS设备端的配置Step1>在cisco设备端用以下命令指定ACS tacacs+服务器tacacs-server host 123.126.247.131 key surekamtacacs-server directed-requestStep2>在设备端配置AAA认证aaa new-modelaaa authorization consoleaaa authentication login default group tacacs+ localaaa authorization commands 0 default group tacacs+ localaaa authorization commands 1 default group tacacs+ localaaa authorization commands 15 default group tacacs+ local3.1 ACS审计(accounting)Step1>设备端配置aaa new-modelaaa accounting exec default start-stop group tacacs+aaa accounting commands 0 default start-stop group tacacs+aaa accounting commands 1 default start-stop group tacacs+aaa accounting commands 15 default start-stop group tacacs+Step2>点击ACS界面左边的按钮，选择TACACS+ Administration，可以浏览某天某用户的所有命令。

思科ACS+AAA怎么配置cisco思科公司制造的路由器、交换机和其他设备承载了全球80%的互联网通信，成为了网络应用的成功实践者之一,那么你知道思科ACS+AAA怎么配置吗?下面是店铺整理的一些关于思科ACS+AAA怎么配置的相关资料，供你参考。

思科ACS+AAA配置的方法1.配置ACS(tacacs或radius)服务器tacacs-server host x.x.x.xtacacs-server host x.x.x.xtacacs-server key *****2.配置设备local后门用户username testuser password *****之所以配置后门用户，是考虑到在ACS异常的时候仍能telnet到设备。

3.启用aaaaaa new-model4.认证并应用到线路aaa authentication login login-list group tacacs+ localline vty 0 15login authentication login-list这里的login-list定义了访问控制的列表，即首先使用tacacs+认证，如果认证失败则使用local后门用户认证。

后面的将认证应用到vty、配置accounting均调用这个login-list。

5.授权aaa authorization exec default local if-authenticated授权的配置不同的需求差异会很大，我个人不建议太复杂的授权，详细解释看看附件吧。

6.记账aaa accounting exec login-list start-stop group tacacs+aaa accounting commands 1 login-list start-stop group tacacs+aaa accounting commands 15 login-list start-stop group tacacs+aaa accounting network login-list start-stop group tacacs+ ACS+aaa的模式可以很好的管理网络设备的访问控制，只可惜ACS不是免费的软件，不过也自己搭建Tacacs服务器。

思科自防御网络安全综合方案典型配置方案简介：组建安全可靠的总部和分支LAN和WAN；总部和分支的终端需要提供安全防护，并实现网络准入控制，未来实现对VPN用户的网络准入检查；需要提供IPSEC/SSL VPN接入；整体方案要便于升级，利于投资保护。

详细内容：1. 用户需求分析客户规模：∙客户有一个总部，具有一定规模的园区网络；∙一个分支机构，约有20－50名员工；∙用户有很多移动办公用户客户需求：∙组建安全可靠的总部和分支LAN和WAN；∙总部和分支的终端需要提供安全防护，并实现网络准入控制，未来实现对VPN用户的网络准入检查；∙需要提供IPSEC/SSLVPN接入；∙在内部各主要部门间，及内外网络间进行安全区域划分，保护企业业务系统；∙配置入侵检测系统，检测基于网络的攻击事件，并且协调设备进行联动；∙网络整体必须具备自防御特性，实现设备横向联动抵御混合式攻击；∙图形化网络安全管理系统，方便快捷地控制全网安全设备，进行事件分析，结合拓扑发现攻击，拦截和阻断攻击；∙整体方案要便于升级，利于投资保护；思科建议方案：∙部署边界安全：思科IOS 路由器及ASA 防火墙，集成SSL/IPSec VPN；∙安全域划分：思科FWSM防火墙模块与交换机VRF及VLAN特性配合，完整实现安全域划分和实现业务系统之间的可控互访；∙部署终端安全：思科准入控制NAC APPLIANCE及终端安全防护CSA解决方案紧密集成；∙安全检测：思科IPS42XX、IDSM、ASA AIP模块，IOS IPS均可以实现安全检测并且与网络设备进行联动；∙安全认证及授权：部署思科ACS 4.0认证服务器；∙安全管理：思科安全管理系统MARS，配合安全配置管理系统CSM使用。

2. 思科建议方案设计图3. 思科建议方案总体配置概述∙安全和智能的总部与分支网络o LAN：总部，核心层思科Cat6500；分布层Cat4500；接入层Cat3560和CE500交换机，提供公司总部园区网络用户的接入；分支可以采用思科ASA5505 防火墙内嵌的8FE接口连接用户，同时其头两个LAN端口支持POE以太网供电，可以连接AP及IP电话等设备使用，并且ASA5505留有扩展槽为便于以后对于业务模块的支持。

ACS 4.2 简易操作管理手册北京联信永益科技股份有限公司2008年4月目录1. 1.ACS基本配置 (1)1.1设置ACS管理员帐号 (1)1.2ACS网络设置（添加T ACACS+客户端） (2)1.3T ACACS+设置 (3)2.ACS用户组/用户添加 (4)2.1添加用户组 (4)2.2添加用户 (6)3.ACS设备端的配置 (7)3.1ACS审计(ACCOUNTING) (8)1. 1.ACS基本配置1.1 设置ACS管理员帐号Step 1>点击ACS界面左边的Administration control 按钮，然后点击Administrator control界面中的Add AdministratorStep 2>点击Add administrator 后出现此账户的诸多选项，逐一填写后点击SubmitStep3>设置了管理员后就可以通过web界面登录到ACS服务器对ACS进行配置1.2 ACS网络设置（添加Tacacs+ 客户端）Step1>点击ACS界面的Network Configuration按钮，出现网络配置界面，然后点击Add Entry,Step2>填写设备名称、IP地址、以及keyStep3>填写设备名称,IP地址及key后,单击即可.1.3 Tacacs+设置Step1>点击ACS界面左边Interface configuration 按钮，选择TACACS+ (Cisco IOS)Step2>根据个人具体应用，在Tacacs+相关项目中打勾(如果没有将tacacs+相关项目选中，则在用户组/用户属性中将不会出现tacacs+相关项目)2. ACS用户组/用户添加2.1 添加用户组Step1>在ACS界面左边点击Group SetupStep2>在下拉列表中选取某个组，给这个组重命名，接着选择Edit setting进入组的属性配置Step3>在组的enable option 中的Shell Command Authorization Set设置组的相关权限2.2 添加用户Step1>在ACS界面的左边点击user setup 按钮Step2>在user方框中填写用户名，然后点击ADD/Edit Step3>在出现的用户属性中逐一填写Step4>选择用户属于哪个用户组3. ACS设备端的配置Step1>在cisco设备端用以下命令指定ACS tacacs+服务器tacacs-server host 123.126.247.131 key surekamtacacs-server directed-requestStep2>在设备端配置AAA认证aaa new-modelaaa authorization consoleaaa authentication login default group tacacs+ localaaa authorization commands 0 default group tacacs+ localaaa authorization commands 1 default group tacacs+ localaaa authorization commands 15 default group tacacs+ local3.1 ACS审计(accounting)Step1>设备端配置aaa new-modelaaa accounting exec default start-stop group tacacs+aaa accounting commands 0 default start-stop group tacacs+aaa accounting commands 1 default start-stop group tacacs+aaa accounting commands 15 default start-stop group tacacs+Step2>点击ACS界面左边的按钮，选择TACACS+ Administration，可以浏览某天某用户的所有命令。