ACS

172.19.16.11

安全访问控制服务器. 给思科网络 提供基于身份的全面的访问控制解决方案

Secure ACS 访问控制服务器.

验证 用户访问. 和管理员的 访问与控制结合在一起的 一个集中的 身份识别网络 解决方案.

AAA

大公司 全套 Cisco. 为了加强 设备的安全性. 要求多设备的维护和操作 要求 一人一号 不同人员登录设备的权限不一样.

客户日常管理设备和修改配置文件,大多数都是通过远程Telnet或者SSH方式来完成。配置远程登录用户名和密码 网络拓扑(客户管理人员在办公室需要通过超级终端或者SecureCRTd等软件,来登录),初始配置,就必须先从console登录,配置好远程登录用户名和密码,以后的调试和配置,就不用奔波下楼到机房,插上console线路再调试

需求实现方法:

  1. 无 AAA 认证 安全性低

console 线登录设备. 配置远程登录用户和密码. 远程登录测试结果

  1. 有 AAA 认证 安全性高

在1的基础上. 配置 AAA 认证和授权.

对用户的操作命令做了记录,某人,某个时间段,登录设备,执行哪些命令,几点离开的等都可以通过aaa来实现的,如果没有aaa,则要实现对用户的行为进行审计就比较困难了,关键是管理复杂了,客户执行起来非常不便。

ACS Server查询本地的数据库,如果客户端发送的用户名和密码和本地数据库的一样,则认证通过,再依据你的授权配置完成 相应的授权,审计也更加容易实现,可以和SQL等数据库结合起来,把用户的访问记录从开始到结束,全部记录下来,然后管理员可以随时查看处理这些问题

到底什么样的服务器是ACS Server?答案很简单是吧,能提供AAA认证,授权,审计等功能一台Windows Server 服务器,该服务器上必须安装的是Cisco Secure ACS 软件,这样服务器我们就可以称为ACS Server

配置ACS服务器的认证密钥,密钥的建议是8个字符,包含大小写。 这是很多人可能会发生疑问,为什么要配置ACS 的认证密钥?什么时候会用? 再看文章前面的拓扑,ACS_Client(192.168.10.3),不是说ACS服务器还需要在路由器上来安装个什么客户端的软件,而这里的意思是我给你路由器的起的名称,在这一台路由器上来配置AAA的认证、授权、审计,当访问客户端(192.168.10.1),要通过Telnet,SSH,Console形式登陆路由器调试和配置时,路由器会要求检查用户的身份是否合法,也就是要求用户输入登录的用户名和密码,那么登录的用户名和密码,是在ACS服务器来配置的,ACS Server 和 路由器之间链路是通的,这时当用户在键盘上输入登录的用户名和密码,路由器把登录的请求和客户端的输入的密码发送到ACS 服务器上来请求验证,这个用户名和密码是否合法,在验证用户名和密码的合法性之前,就首先要确定这台路由器的身份是合法的,怎么确定路由器的身份是合法的,在路由器和ACS Server之间通讯会有一个密码,用这个密码来验证其合法性.

WDS 无线中继设置 路由器

ssid 可以不一样 信道要一样 hdcp 只能有一个.