前言

 本手冊主要介紹Cisco Access Control Server(ACS)系統(tǒng)的建立與配置。由于整個ACS系統(tǒng)涉及到Windows域，DHCP服務(wù)器，802.1X協(xié)議等基礎(chǔ)知識，本手冊只作簡單介紹。并且以本手冊的實驗環(huán)境為例。

一、802.1X協(xié)議

802.1x協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口(access port)訪問LAN/WLAN。在獲得交換機或LAN提供的各種業(yè)務(wù)之前，802.1x對連接到交換機端口上的用戶/設(shè)備進行認證。在認證通過之前，802.1x只允許EAPoL（基于局域網(wǎng)的擴展認證協(xié)議）數(shù)據(jù)通過設(shè)備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。網(wǎng)絡(luò)訪問技術(shù)的核心部分是EAP（端口訪問實體）。訪問控制流程中，端口訪問實體包含3部分：認證者--對接入的用戶/設(shè)備進行認證的端口；請求者--被認證的用戶/設(shè)備；認證服務(wù)器--根據(jù)認證者的信息，對請求訪問網(wǎng)絡(luò)資源的用戶/設(shè)備進行實際認證功能的設(shè)備。以太網(wǎng)的每個物理端口被分為受控和不受控的兩個邏輯端口。

1.1 802.1X認證的特點

基于以太網(wǎng)端口認證的802.1x協(xié)議有如下特點：IEEE802.1x協(xié)議為二層協(xié)議，不需要到達三層，對設(shè)備的整體性能要求不高，可以有效降低建網(wǎng)成本；借用了在RAS系統(tǒng)中常用的EAP（擴展認證協(xié)議），可以提供良好的擴展性和適應(yīng)性，實現(xiàn)對傳統(tǒng)PPP認證架構(gòu)的兼容；802.1x的認證體系結(jié)構(gòu)中采用了"可控端口"和"不可控端口"的邏輯功能，從而可以實現(xiàn)業(yè)務(wù)與認證的分離，由RADIUS和交換機利用不可控的邏輯端口共同完成對用戶的認證與控制，業(yè)務(wù)報文直接承載在正常的二層報文上通過可控端口進行交換，通過認證之后的數(shù)據(jù)包是無需封裝的純數(shù)據(jù)包；可以使用現(xiàn)有的后臺認證系統(tǒng)降低部署的成本，并有豐富的業(yè)務(wù)支持；可以映射不同的用戶認證等級到不同的VLAN；可以使交換端口和無線LAN具有安全的認證接入功能

1.2 802.1X認證的優(yōu)勢

簡潔高效：純以太網(wǎng)技術(shù)內(nèi)核，保持了IP網(wǎng)絡(luò)無連接特性，不需要進行協(xié)議間的多層封裝，去除了不必要的開銷和冗余；消除網(wǎng)絡(luò)認證計費瓶頸和單點故障，易于支持多業(yè)務(wù)和新興流媒體業(yè)務(wù)。

容易實現(xiàn)：可在普通L3、L2、IPDSLAM上實現(xiàn)，網(wǎng)絡(luò)綜合造價成本低，保留了傳統(tǒng)AAA認證的網(wǎng)絡(luò)架構(gòu)，可以利用現(xiàn)有的RADIUS設(shè)備。

安全可靠：在二層網(wǎng)絡(luò)上實現(xiàn)用戶認證，結(jié)合MAC、端口、賬戶、VLAN和密碼等；綁定技術(shù)具有很高的安全性。

行業(yè)標準：IEEE標準，和以太網(wǎng)標準同源，可以實現(xiàn)和以太網(wǎng)技術(shù)的無縫融合，幾乎所有的主流數(shù)據(jù)設(shè)備廠商在其設(shè)備，包括路由器、交換機和無線AP上都提供對該協(xié)議的支持。在客戶端方面微軟操作系統(tǒng)內(nèi)置支持，Linux也提供了對該協(xié)議的支持。

應(yīng)用靈活：可以靈活控制認證的顆粒度，用于對單個用戶連接、用戶ID或者是對接入設(shè)備進行認證，認證的層次可以進行靈活的組合，滿足特定的接入技術(shù)或者是業(yè)務(wù)的需要。

二、Cisco ACS和AAA簡介

2.1 ACS簡介

思科安全訪問控制服務(wù)器（Cisco Secure Access Control Sever）是一個高度可擴展、高性能的訪問控制服務(wù)器，提供了全面的身份識別網(wǎng)絡(luò)解決方案，是思科基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)架構(gòu)的重要組件。Cisco Secure ACS通過在一個集中身份識別聯(lián)網(wǎng)框架中將身份驗證、用戶或管理員接入及策略控制相結(jié)合，強化了接入安全性。這使企業(yè)網(wǎng)絡(luò)能具有更高靈活性和移動性，更為安全且提高用戶生產(chǎn)率。Cisco Secure ACS 支持范圍廣泛的接入連接類型，包括有線和無線局域網(wǎng)、撥號、寬帶、內(nèi)容、存儲、VoIP、防火墻和 VPN。Cisco Secure ACS 是思科網(wǎng)絡(luò)準入控制的關(guān)鍵組件。

2.2 AAA簡介

AAA系統(tǒng)的簡稱：

認證(Authentication)：驗證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù)；

授權(quán)(Authorization)：依據(jù)認證結(jié)果開放網(wǎng)絡(luò)服務(wù)給用戶；

計帳(Accounting)：記錄用戶對各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計費系統(tǒng)。

AAA-----身份驗證(Authentication)、授權(quán)(Authorization)和統(tǒng)計(Accounting)Cisco開發(fā)的一個提供網(wǎng)絡(luò)安全的系統(tǒng)。奏見authentication。authorization和accounting常用的AAA協(xié)議是Radius，參見RFC2865，RFC2866。

三、802.1X協(xié)議終端用戶接入過程

用以下圖示，來說明ACS在認證過程中的工作流程：

步驟：當交換機收到用戶的帳號密碼，把該報文發(fā)向ACS服務(wù)器，ACS服務(wù)器對用戶數(shù)據(jù)庫進行查找。如圖：

如果用戶名密碼正確，則ACS會查找自己本地的策略，看看該帳戶是屬于哪個安全組，然后告訴交換機，這個端口應(yīng)該是多少VLAN，并且開放該端口。隨后，客戶機可以通過DHCP服務(wù)器，拿到IP地址。

如果用戶名或密碼錯誤，則ACS會告訴交換機，該端口的身份認證不通過，并且該端口處關(guān)閉狀態(tài)。（這里的關(guān)閉狀態(tài)是指，客戶機可以繼續(xù)發(fā)送認證信息，但是業(yè)務(wù)流量則不被允許）

一、ACS服務(wù)器端配置

4.1 實驗環(huán)境配置概要

一臺安裝Windowsserver2003的服務(wù)器。該服務(wù)器角色為：域控制器，DHCP服務(wù)器，一套CiscoACS軟件。

注意：在實際環(huán)境中，可能ACS服務(wù)器是單獨的一臺服務(wù)器，如果想用外部數(shù)據(jù)庫，即WindowsAD目錄數(shù)據(jù)庫的話，這臺單獨的服務(wù)器，必須是該域的一個成員，且登陸域的帳號，必須具有對目錄的讀取權(quán)限。

建立DHCP服務(wù)器角色：

選擇添加刪除角色：

選擇DHCP服務(wù)器。

在管理工具中，可以看到一個DHCP的快捷方式

打開以后可以看到如下界面：

第一件要做的事情：

右鍵，授權(quán)，意思很簡單，就是這臺DHCP服務(wù)器是一臺合法的，可以對客戶機提供服務(wù)的服務(wù)器。

然后新建一個地址池：

給這個地址池的名字：

如圖，分別填入，這個地址池，你希望從哪個IP開始分配地址，并且在哪個IP結(jié)束，這里稍微注意一下掩碼長度的控制。

一直下一步，到添加默認路由的時候，注意，要寫網(wǎng)關(guān)的地址，本手冊實驗環(huán)境的網(wǎng)關(guān)，都是172.16.X.250，所以：

后面一路下一步即可。

在DHCP服務(wù)器上，建立了3個地址池，分別名稱為vlan1、vlan10、vlan99。

本實驗手冊的拓撲如下：

4.2 軟件安裝

在安裝Cisco ACS4.0之前，建議先安裝JAVA，因為ACS控制平臺用的WEB界面需要JAVA支持。

4.3 ACS配置

4.3.1 建立管理員帳號

點擊AddAdministrator里，可以進行詳細設(shè)置，包括帳號，密碼，對組的控制權(quán)限等等。一般情況下，Administrator帳號具有對所有組的權(quán)限。

4.3.2 新建證書

如果WINDOWS客戶機使用微軟集成的802.1X協(xié)議，且認證方式為：采用PEAP認證時必須安裝證書，否則無法啟用該認證。事實上該認證方式，也是當今應(yīng)用非常普遍的認證方式。下面介紹下如何給ACS安裝證書：

首先，進入控制面板—添加刪除程序—添加刪除windows組件中，可以看見：

安裝證書服務(wù)過程中，會詢問你，該證書的文件名，以及存放位置，下圖為安裝后所生成的文件：

然后進入ACS管理界面，點擊：可以看見

選擇ACS CertificateSetup:

把之前生成的證書路徑，和文件名輸入進去就可以了。安裝好以后可以看見如下顯示，則證書安裝成功：

4.3.3 引用外部數(shù)據(jù)庫目錄

ACS可以自己內(nèi)建用戶數(shù)據(jù)庫，也可以引用外部用戶數(shù)據(jù)庫，在本手冊的實驗環(huán)境中，引用Windows域的用戶數(shù)據(jù)庫。

建立方法：

再選擇
使用Windows Database。此時會看見：

可以看見有個LAB名字的外部數(shù)據(jù)庫，其實就是AD目錄。有個滾動條，往下拉就能看見：

客戶機是WINDOWS的情況下，要勾選認證機制,開啟PEAP和EAP-TLS。（前提條件是，ACS服務(wù)器已經(jīng)正確安裝了證書）

4.3.4 建立組映射

通過上述步驟，ACS已經(jīng)有了外部用戶數(shù)據(jù)庫，并且配置了客戶端的認證方式，本小節(jié)主要說明，ACS是如何執(zhí)行策略的。

首先，要弄明白兩個組，windows組和ciscoSecure組。

從上圖中，可以看出windows組，就是外部數(shù)據(jù)庫中的組，下面的ciscoSecure組，就是ACS內(nèi)建的組。所謂的組映射，簡單點說，就是一個用戶，你在域中是屬于哪個組的，我把你綁定到我ACS本地的這個組中，然后，我對本地自己的組，編寫一系列的策略。

舉例：

在AD域中，有一個組，名字叫xxzx，我把這個組綁定到本地的組10中，ACS4.0版本，內(nèi)建安全組總共有500個，并且可以給組命名。

4.3.5 制定組的策略

在完成組映射之后，接下要制定組策略。

選擇EditSettings進入。

里面有非常多的選項，本手冊主要介紹VLAN推送這一功能，也是目前使用的主要功能。

可以看見圖中有編號為：64，65，81的選項，這3個選項事實上決定了當該組通過認證后，ACS的行為。如圖所示：該行為給通過認證的用戶，執(zhí)行推送，告訴交換機這個用戶是VLAN的，并且走的是802的協(xié)議，標記是VLAN10，這里要注意，81選項中，是VLAN的名字而不是VLAN的ID號。

4.3.6 添加客戶端交換機

點擊Add Entry:

這里的Hostname可以不寫，但是IP地址一定要寫。

Key的意思就是交換機和ACS用來通信的密碼。

Authenticate 這里是約定該交換機和ACS之間的認證方式。

至此ACS服務(wù)器端配置完成。

總結(jié)：ACS整個過程，其實就是當收到一個認證請求的時候，發(fā)送到一個用

戶數(shù)據(jù)庫中查詢，如果驗證成功，則查看該用戶屬于哪個策略組，并執(zhí)行該

策略。例如本手冊中，執(zhí)行的策略就是推送一個VLAN給交換機端口，當然還

可以執(zhí)行很多其他的策略。ACS服務(wù)器其實主要的工作就是一臺AAA服務(wù)器。

五、 802.1X交換機端配置

aaanew-model//開啟AAA功能

aaa authentication dot1xdefault group radius//dot1x認證

aaa authorization networkdefault group radius//授權(quán)網(wǎng)絡(luò)服務(wù)

radius-server host172.16.1.253 auth-port 1812 acct-port 1813

//指定ACS認證服務(wù)器，并且指定使用的端口號。

radius-server keycisco //設(shè)置和認證服務(wù)器之間的密碼，ACS上的AAA Client密碼要與此一致。

dot1xsystem-auth-control //開啟802.1X認證控制

執(zhí)行測試命令：

test aaa group radius chenqiAdmin123 new-code

用戶名為chenqi密碼為：Admin123，如果ACS通過該認證，則會返回：User successfully authenticated。否則會返回：User rejected。

其實在沒有客戶端的情況下，從交換機上就已經(jīng)能測試出，和ACS以及域AD目錄之間的聯(lián)系是否正常。

Int gi0/38//進入交換機38號端口

dot1x paeauthenticator //設(shè)置該接口為802.1X類型

dot1x host-modemulti-host //設(shè)置為多用戶接口

允許例如接口下接HUB，多用戶共用此接口，否則選擇

dot1x host-modesingle-host

dot1xreauthentication //開啟接口重認證

這句話的意思，并不是一段時間內(nèi)，要求用戶重新輸入密碼，該過程對用戶是透明的。

至此，整個ACS系統(tǒng)實驗配置完成，校驗結(jié)果，如圖：

交換機：

接口0/38配置：

測試客戶機網(wǎng)卡配置：

用網(wǎng)線，連入38號口。

交換機：

結(jié)果：客戶機連入38號口，成功分得IP地址，并且38號端口被劃分進VLAN10，配置與所得結(jié)果一致。

注意：WINDOWS系統(tǒng)開啟802.1X，必須先在系統(tǒng)內(nèi)打開服務(wù)：

開始---運行,輸入services.msc，啟動服務(wù)WiredAutoConfig。

QQ群：87145140，網(wǎng)絡(luò)技術(shù)交流群，有不明白的可以群里問我。

--------------------------------------------------------------------------謝絕轉(zhuǎn)載！

愛華網(wǎng)本文地址 » http://www.klfzs.com/a/25101014/223836.html