VMware+dynamips+acs模擬AAA實驗

ACS 4.2安裝圖解

ACS全名是：CiscoSecure ACS 簡稱3A；主要提供認證、授權、審計。

安裝環境：windows 2003 server，2003系統的基本安裝和調試在這裏不做介紹。ACS運行環境要求JAVA組件。所以首先安裝JAVA組件；整個安裝過程如下：

1、安裝Java虛擬機，（jre-6u12-windows-i586-p-s.exe）下載地址 http://www.java.com 。不要安裝JAVA JDK版本，如果java沒有安裝，或者安裝的版本有問題會導致ACS 安裝完之後，打開的頁面是空白的，無法運行ACS。如圖所示，點擊“接受”---“下一步”直至完成。

 

2、打開ACSv4.2.0.124-Full-K9文件夾，雙擊SETUP.EXE；彈出對話框，選ACCEPT

 

3、在彈出的對話框中點NEXT，繼續安裝

 

4、彈出安裝時的四個要求

l 最終用戶客戶端可以成功連接到AAA級客戶端，簡單點說就是使用AAA賬戶的人，在使用AAA賬戶時，能PING通AAA的客戶端即交換機或者路由器。

l AAA服務器能PING AAA客戶端即交換機或者路由器

l 思科產品的IOS必須是11.1以上

l IE的版本是6.0SP1以上

這裏的相互連通非常重要，筆者在架設AAA時，就遇到交換機在用戶模式下PING不通服務器，服務器反而能PING通交換機，導致配置失敗。

 

5、選擇安裝路徑，ACS安裝完成後，一般的都是文本的方式保存細信息，所以不需要多大的硬盤空間。

 

 

6、選擇ACS賬戶類型，ACS單獨的賬戶管理或者使用Windows賬戶管理，實例選擇ACS賬號管理。

 

 

7、開始安裝

 

8、選擇ACS功能，這裏我們全部選擇。

User Level Network access Restrictions        ACS賬號訪問設備時可以設定級別

group level network access restrictions         ACS中通過組來設定用戶訪問的級別

Max Sessions                             最大的會話數

Default Time of day/day of week speciftication 設置用戶訪問的時間

Distributed system settings                  分佈式的系統設置

Database Replication                       數據庫複製

 

9、這裏有兩個選項，一是Enable 登陸是否檢測；我們選擇全部。二是郵件提醒，選擇時需要輸入郵件服務器和發送郵件的賬號，這裏我們放棄郵件發送。

 

10、這一步是輸入ACS的賬號數據的密碼。

 

11、這裏有三個選項：一是啓動新裝的ACS服務；二是安裝從IE配置ACS的功能，這樣以後就可以直接通過IE登陸和配置ACS服務器；三是查看說明文件。

 

12、點Finish安裝完成。

 

 

 

AAA代表Authentication、Authorization、Accounting，意爲認證、授權、記帳，其主要目的是管理哪些用戶可以訪問服務器，具有訪問權的用戶可以得到哪些服務，如何對正在使用網絡資源的用戶進行記帳。

1、 認證：驗證用戶是否可以獲得訪問權限——“你是誰？”
2、 授權：授權用戶可以使用哪些資源——“你能幹什麼？”
3、 記帳：記錄用戶使用網絡資源的情況——“你幹了些什麼？”

一時興起，想做個路由計費的實驗，上網查了下找到了ACS這個軟件。ACS是在WIN2000等系統上實現AAA功能的。

一、安裝ACS

因爲ACS不支持XP，所以開虛擬機在2003裏裝ACS,安裝比較簡單，所有都默認安裝就OK了。

 

二、搭建路由並與虛擬服務器連接

1、用dynamipsGUI建2個路由，並與虛擬機橋接，（橋接參數的選取略）

 

R1與虛擬機橋接，R1與R2連接

三、路由配置

1、基本配置

R1：S1/0 172.16.5.5<---------------------------->S1/0  172.16.5.6 :R2

R1：fa0/0  192.168.77.254<----------------------> server 2003 192.168.77.220

R1(config)# tacacs-server host 192.168.77.220
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key cisco

R1(config)# enable secret 123 ‘定義enable密碼
R1(config)# username abc password 456 ‘定義本地數據庫
R1(config)# aaa new-model    ‘啓用AAA認證
R1(config)# aaa authentication login default group tacacs+ local ‘設置登陸驗證默認爲採用先ACS服務器再本地驗證（當ACS服務器不可達才用本地數據庫驗證）
R1(config)# aaa authentication enable default group tacacs+ enable ‘設置enable進入特權模式默認爲採用先ACS服務器再本地enable設置的密碼
R1(config)# line vty 0 4
R1(config)# login authentication default ‘設置telnet登陸採用前面定義的default

四、ACS設置

1、點擊左邊的Network Configuration,設置客戶端和服務端

2、設置USER，點擊左邊的USER SETUP

 

五、驗證

從R2上TELNET客戶端地址192.168.77.254

 

驗證登陸成功。如果斷開AAA服務器與R1的聯繫，則可以本地帳戶abc登陸