ACS

案例：

利用ACS來搭建一RADIUS服務器，一臺華爲的交換機作爲RADIUS客戶端，最後通過一臺pc機來實現客戶端的認證！！

拓撲圖如下：

實驗步驟：

步驟一：ACS的安裝和配置

第一步：安裝

(1)先安裝JAVA 虛擬機 如圖：

 

 

(2).安裝ACS,在本案例中裝的4.0版本，其他版本的也是可以的！！)

 

 

 

按照要求安裝就成！！！

成功後的結果如圖所示：

 

 

（3）導入H3C的用戶級別的私有Radius屬性到ACS中：    （由於ACS技術歸cisco所有，因此只能用在cisco設備上，華爲設備上是不兼容的，如果RADIUS客戶端交換機使用的是華爲的，那麼就必須要把華爲的設備信息導入到ACS中才能使用，不然是無法完成認證的！！！） 

 

先編寫h3c.ini文件：

 

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Priviliege]

Type=INTEGER

Profile+IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

[Encryption-Type]

1=1

2=2

3=3

[Ftp_Directory]

Type=STRING

Profile=OUT

在cmd中導入：如圖

 

 

4）AAA認證服務器配置

 1．添加一個用戶：

 

 

2.創建AAA客戶端：

在network-configuration選項下添加：

 

 

注意:在選擇驗證服務這一項中顯示了（RADIUS(Huawei)這一項）這表明導入成功了，如果沒有，那就表示失敗！！

3.設置本地RADIUS服務器：

4.最終的效果：

步驟二：交換機的配置過程（華爲交換機）：

   1.  開啓802.1x

[sw1]dotx

2．設置服務器的類型：

 [sw1]server-type standard

                                                                                                      

3。指定radius服務器：：

[sw1] primary authentication 192.168.1.100

 

4.配置共享密鑰：

[sw1] key authentication 123456

 

5.服務器審計類型設爲可選

[sw1] accounting optional

6創建域名;

[sw1] domain tec

7.指定最大連接數：

access-limit enable 10

8.認證賬號是否添加域名

配置信息：

[sw1]display current-configuration

#

 sysname sw1

#

 dot1x

#

radius scheme system

radius scheme xxx

 server-type standard

 primary authentication 192.168.1.100

 accounting optional

 key authentication 123456

 key authentication 123456

#

domain system

domain tec

 scheme radius-scheme xxx

 access-limit enable 10

 accounting optional

 

 

 

成功!!!!!!!