网络安全性——思科ACS
思科ACS实现mac验证
ACS简介
ACS是Cisco出的一个 AAA 认证软件,可以对路由器进行用户认证、授权、记账操作。Cisco Secure ACS服务器是一种认证、授权和审计RADIUS服务器,它构成了策略服务器系统的基础。
安全访问控制服务器为思科智能信息网络提供基于身份的全面的访问控制解决方案。它是用于管理企业网络用户、管理员和网络基础设施资源的集成和控制层。
ACS (ACS)是具高可扩展性的高性能访问控制服务器,可作为集中的RADIUS 和 TACACS+ 服务器运行。Cisco Secure ACS将验证、用户访问和管理员访问与策略控制结合在一个集中的身份识别网络解决方案中,因此提高了灵活性、移动性、安全性和用户生产率, 从而进一步增强了访问安全性。它针对所有用户执行统一安全策略,不受用户网络访问方式的影响。它减轻了与扩展用户和网络管理员访问权限相关的管理负担。通过对所有用户帐户使用一个集中数据库,Cisco Secure ACS可集中控制所有的用户权限并将他们分配到网络中的几百甚至几千接入点。对于记帐服务,Cisco Secure ACS针对网络用户的行为提供具体的报告和监控功能,并记录整个网络上每次的访问连接和设备配置变化。这个特性对于企业遵守Sarbanes Oxley法规尤其重要。Cisco Secure ACS支持广泛的访问连接,包括有线和无线局域网、宽带、内容、存储、IP上的语音(VoIP)、防火墙和×××等。
ACS有两种认证方式本地、远端认证。
第一种认证方式本地认证
【实验拓扑】
【实验目的】
通过在交换机上创建用户限制访问
基于客户机mac地址一种认证方式
【实验参考配置】
交换机配置命令
[Quidway]dis cu
#
sysname Quidway
#
MAC-authentication
MAC-authentication authmode usernameasmacaddress usernameformat with-hyphen
#
radius scheme system
#
domain system
#
local-user 00-0c-29-cd-d6-53
password simple 00-0c-29-cd-d6-53
service-type lan-access
#
vlan 1
#
interface Vlan-interface1
ip address 192.168.30.100 255.255.255.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
#
interface Ethernet1/0/2
#
interface Ethernet1/0/3
#
interface Ethernet1/0/4
#
interface Ethernet1/0/5
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface Ethernet1/0/8
#
interface Ethernet1/0/9
#
interface Ethernet1/0/10
MAC-authentication
#
interface Ethernet1/0/11
#
interface Ethernet1/0/12
#
interface Ethernet1/0/13
#
interface Ethernet1/0/14
#
interface Ethernet1/0/15
#
interface Ethernet1/0/16
#
interface Ethernet1/0/17
#
interface Ethernet1/0/18
#
interface Ethernet1/0/19
#
interface Ethernet1/0/20
#
interface Ethernet1/0/21
#
interface Ethernet1/0/22
#
interface Ethernet1/0/23
#
interface Ethernet1/0/24
#
interface NULL0
#
user-interface aux 0
user-interface vty 0 4
#
return
验证结果
ACS的远端认证
【实验拓扑】
【配置参考】
交换机配置命令
<Quidway>
<Quidway>
<Quidway>sys
<Quidway>system-view
System View: return to User View with Ctrl+Z.
[Quidway]dis cu
#
sysname Quidway
#
MAC-authentication
MAC-authentication authmode usernameasmacaddress usernameformat with-hyphen
#
radius scheme system
radius scheme xxx
server-type standard
primary authentication 192.168.30.200
accounting optional
key authentication 123456
user-name-format without-domain
#
domain system
#
local-user 00-0c-29-cd-d6-53
password simple 00-0c-29-cd-d6-53
service-type lan-access
#
vlan 1
#
interface Vlan-interface1
ip address 192.168.30.100 255.255.255.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
#
interface Ethernet1/0/2
#
interface Ethernet1/0/3
#
interface Ethernet1/0/4
#
interface Ethernet1/0/5
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface Ethernet1/0/8
#
interface Ethernet1/0/9
#
interface Ethernet1/0/10
MAC-authentication
#
interface Ethernet1/0/11
#
interface Ethernet1/0/12
#
interface Ethernet1/0/13
#
interface Ethernet1/0/14
#
interface Ethernet1/0/15
#
interface Ethernet1/0/16
#
interface Ethernet1/0/17
#
interface Ethernet1/0/18
#
interface Ethernet1/0/19
#
interface Ethernet1/0/20
#
interface Ethernet1/0/21
#
interface Ethernet1/0/22
#
interface Ethernet1/0/23
#
interface Ethernet1/0/24
#
interface NULL0
#
user-interface aux 0
user-interface vty 0 4
#
return
Ping 交换机
Acs日志记录 由于acs的问题没有能看出具体的日志文件,只显示通过了一个验证。。
转载于:https://blog.51cto.com/muxiaohao/1275542