如何在华为的网络设备和思科ACS之间部署AAA

AAA是Authentication（验证）、Authorization（授权）和Accounting（审计）的简称。

AAA是一种提供验证、授权和审计的安全技术。该技术可以用于验证用户是否合法，授权用户可以访问哪些服务，并记录用户使用网络资源的情况。

例如，企业总部需要对服务器的资源访问进行控制，只有通过验证的用户才能访问特定的资源，并对用户使用资源的情况进行记录。在这种场景下，可以按照如图1-1所示的方案进行AAA部署。NAS为网络接入服务器，也称为AAA的客户端，负责集中收集和管理用户的访问请求。AAA服务器可以一台专属的硬件设备，也可以是以软件的形式安装在服务器 *** 作系统上（本文将使用思科的ACS软件来实现AAA服务器），用户的验证、授权和审计服务均由AAA服务器来完成。

图1-1

如图1-1所示，当分支站点的用户需要访问总部的服务器资源时，NAS设备会对用户的访问进行控制，用户向NAS设备提交账户信息（用户名和密码）后，NAS设备会将用户信息发送给AAA服务器，由AAA服务器进行账户信息的验证，并对用户进行授权。如果用户验证通过，则分支站点的用户可以访问到特性的服务器资源（可以访问哪些服务器，由授权来决定），同时AAA服务器也会对用户的访问行为进行审计。

RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）由IETF定义的一种公有协议，是AAA客户端和AAA服务器之间通讯的一种协议。除了RADIUS协议外，不同的网络设备厂商也提出了各自的私有协议，例如，思科公司提出的TACACS+协议，华为提出的HWTACACS，也可以使用在AAA客户端和AAA服务器之间。（本文将使用RADIUS协议作为AAA的通讯协议）

图2-1

Step 1 - 基础IP配置（略）
Step 2 - 配置AAA服务器

在页面的左下角点击Create

配置AAA客户端

Step 3 - 配置AAA客户端

ARG3系列路由设备支持两种缺省域：

进入default-admin域绑定认证模板和radius-server模板（这个default-admin域是专门用来管理用的，所以telnet，ssh等登陆设备时必须使用这个默认的域，自己定义的不行）

Step 4 - 在PC机上进行测试

1、可能是路由器没有开启DHCP功能，需要进入路由器的后台管理界面开启DHCP功能（这个功能是用来自动分配IP地址的）。
2、可能是手机和路由器的无线协议不兼容，可以尝试把路由器的加密方式修改为常规的WPS2或者直接取消掉加密（不用密码就可以连入路由器）。
3、可能是路由器限制了设备的IP获取，需要使用正确的授权IP地址才能正常联网，这个时候需要向网络提供方申请获取对应的IP地址。

1、用H3C的E0/0/2端口连接思科交换机即可。H3C的E0/0/2端口属于vlan20，思科的F0/22也属于vlan20，这样连就可以通。
2、如果不用上面的方法，就将H3C的E0/0/2和思科的F0/22都设置成trunk试试。主要trunk的封装都要使用8021Q

您可以使用TFTP服务器来拷贝思科防火墙的Flash配置。首先，您需要在源防火墙上启用TFTP服务器，并将Flash配置文件复制到TFTP服务器的目录中。然后，您需要在目标防火墙上启用TFTP客户端，并从TFTP服务器上拷贝Flash配置文件。最后，您需要在目标防火墙上使用相应的命令将Flash配置文件安装到Flash中。

返回主页
百川汇海
博客园首页联系管理随笔- 228 文章- 0 评论- 7 阅读- 44万
基础课（一）Cisco Packet Tracer Student模拟器简单的运用
一、相同设备之间用交叉线，不同设备之间用直通线
如上图中的简单的两个PC机相连，交叉线相连的两个PC机是能ping同，直通线相连的两台PC机不通，ipconfig可以查看本机设备的网络配置
time=0ms 响应恢复时间 TTL（time to live）=最大存活时间 Packets包 ：Sent发送4个 Receive收到4个 Lost丢包率：0%
TTL的取值范围：0～255 值越小越不好，值为0时不会回包直接丢弃
如果ping 不通：Request timed out 默认时间2000ms #如有需要可以更改
二、交换机的基本调试方法
如上图点击交换机进入交换机配置模式，命令行有不知道 *** 作命令的可以“？+回车“，列出当前有效命令列表，命令记不全的可以Tab键补全。
Switch> 或者 Switch#代表不同的模式，“>“ 是普通用户模式，此模式下可 *** 作命令很少 “ #“是特权模式，此模式下 *** 作命令很多，enable&disable可用于两种模式之间的切换。
exit表示退出到上一层 end表示退回到当前模式最底层 Switch（config）# 表示进入全局配置模式；
show startup-config 显示开机启动时加载的配置文件 show running-config 显示正在运行的配置文件 write 保存当前配置
Ctrl + c 可以打断当前没加载完的信息查看
show users 可以查看当前有多少用户 “ “所在的行端口表示本机所用的端口，上图中可以看到，line console 0 是当前所在行，当前用户处在console口
进入console口端口配置模式可以配置命令行超时时间exec-timeout 0 0 前面的0表示分钟数，后面的0表示秒数，两个0表示关闭超时功能。系统默认的超时时间10分钟。
分类: 方法总结
好文要顶 关注我 收藏该文
百川汇海
粉丝 - 48 关注 - 20
+加关注
00
« 上一篇： Service7
» 下一篇： Linux中执行shell脚本的4种方法总结
posted @ 2017-12-19 16:47 百川汇海 阅读(2817) 评论(0) 编辑 收藏 举报
刷新评论刷新页面返回顶部
登录后才能查看或发表评论，立即 登录 或者 逛逛 博客园首页
编辑推荐：
· 你可能不知道的容器镜像安全实践
· Net 6 使用 Consul 实现服务注册与发现
· SQLSERVER 的复合索引和包含索引到底有啥区别？
· [ASPNET Core] 按用户等级授权
· 深入理解 Linux 物理内存分配全链路实现
阅读排行：
· 表格集算表高性能原理——怎样实现纯前端百万行数据秒级响应
· Net 7 被Microsoft的开源免费PowerToys工具独立附带
· 多项式 I：拉格朗日插值与快速傅里叶变换
· 虽然是我遇到的一个棘手的生产问题，但是我写出来之后，就是你的了。
· 你可能不知道的容器镜像安全实践
昵称： 百川汇海
园龄： 5年2个月
粉丝： 48
关注： 20
+加关注
< 2023年1月 >
日 一 二 三 四 五 六
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 1 2 3 4
5 6 7 8 9 10 11
搜索
常用链接
我的随笔
我的评论
我的参与
最新评论
我的标签
更多链接
随笔分类
Linux学习(15)
Windows相关(5)
第五阶段(3)
方法总结(4)
课外拓展(8)
排错收集(2)
思索感想(2)
学习笔记(3)
随笔档案
2018年7月(3)
2018年2月(21)
2018年1月(67)
2017年12月(119)
2017年11月(15)
阅读排行榜
1 Linux中执行shell脚本的4种方法总结(157901)
2 linux 下vi与vim区别以及vim的使用(58712)
3 Cisco基础(三)：HSRP配置、三层交换配置HSRP、STP的配置、三层交换配置STP(31034)
4 Win10设置远程桌面多用户连接(25705)
5 Linux中网卡配置/etc/sysconfig/network-script/ifcfg-eth0(22248)
评论排行榜
1 Cisco基础(三)：HSRP配置、三层交换配置HSRP、STP的配置、三层交换配置STP(5)
2 Cisco基础(二)：三层交换vlan间通信、多交换机vlan间通信、三层交换配置路由、RIP动态路由配置、三层交换配置RIP动态路由(1)
3 linux 下vi与vim区别以及vim的使用(1)
推荐排行榜
1 linux 下vi与vim区别以及vim的使用(13)
2 Linux中执行shell脚本的4种方法总结(6)
3 Cisco基础(三)：HSRP配置、三层交换配置HSRP、STP的配置、三层交换配置STP(2)
4 linux中CentOS、Ubuntu、Debian三个版本系统 差别(2)
5 Cisco基础(二)：三层交换vlan间通信、多交换机vlan间通信、三层交换配置路由、RIP动态路由配置、三层交换配置RIP动态路由(1)
最新评论
1 Re:Cisco基础(二)：三层交换vlan间通信、多交换机vlan间通信、三层交换配置路由、RIP动态路由配置、三层交换配置RIP动态路由
第一个跨三层交换机的实例中，为啥SW1端口改成trunk而第二个没有？我把sw1sw2两个trunk 都no掉 竟然也通了 求解
--云城小妖
2 Re:linux 下vi与vim区别以及vim的使用
很详细，学到了
--liveinmyheart
3 Re:Cisco基础(三)：HSRP配置、三层交换配置HSRP、STP的配置、三层交换配置STP
整理得不错，谢谢分享
--QuincyTan
4 Re:Cisco基础(三)：HSRP配置、三层交换配置HSRP、STP的配置、三层交换配置STP
写写 路由器 我试过了 可以
就是交换机不行 看来是模拟器的问题 谢谢你
--jcg699
5 Re:Cisco基础(三)：HSRP配置、三层交换配置HSRP、STP的配置、三层交换配置STP
@ jcg699模拟器的三层好像是用不了VRRP和HSRP的，你可以直接用路由器试试
--Howard125
Copyright © 2023 百川汇海
Powered by NET 70 on Kubernetes

ACS是思科安全访问控制服务器。

思科安全访问控制服务器（Cisco Secure Access Control Sever）是一个高度可扩展、高性能的访问控制服务器，提供了全面的身份识别网络解决方案，是思科基于身份的网络服务(IBNS)架构的重要组件。

Cisco Secure ACS 解决方案引擎是一款高度安全、独立于 OS 的专用平台，提供了高度可管理的
访问控制解决方案，进一步缩短了设置和排障时间。

它提供了即插即用部署，一个高度可靠的验
证、授权和记帐（AAA）解决方案，且能更好地保护总拥有成本（TCO）。每个 Cisco Secure ACS
解决方案引擎都配有一个 Cisco Secure ACS 远程代理，支持远程登录和 Windows 验证。

扩展资料：

关键特性：

1、仅运行 Cisco Secure ACS 服务，以防止任何基于设备的 OS 更改、添加或配置修改。

2、提供了一个串行控制台接口，以用于初始配置、随后对 IP 连接的管理、接入 Cisco Secure ACSHTML 接口，以及升级和恢复过程的应用。

3、解决方案引擎专用管理工具提供了通用设备管理功能，包括备份、恢复、软件升级、监控、维护和排障功能。

4、提供了针对 Windows 域的验证和远程用户帐户记录功能。

5、分组过滤服务，可阻塞除必要的 Cisco Secure ACS 专用 TCP 和用户数据报协议端口外所有端口上的流量。

6、预先安装的独立思科安全代理有助于保护 Cisco Secure ACS 解决方案引擎免遭“零日”攻击。

7、内置 NTP 功能可保持网络时间同步及与其他 Cisco Secure ACS 设备或网络设备的一致性。

---