網路安全性——思科ACS
思科ACS實現mac驗證
ACS簡介
ACS是Cisco出的一個 AAA 認證軟體,可以對路由器進行使用者認證、授權、記賬操作。Cisco Secure ACS伺服器是一種認證、授權和審計RADIUS伺服器,它構成了策略伺服器系統的基礎。
安全訪問控制伺服器為思科智慧資訊網路提供基於身份的全面的訪問控制解決方案。它是用於管理企業網路使用者、管理員和網路基礎設施資源的整合和控制層。
ACS (ACS)是具高可擴充套件性的高效能訪問控制伺服器,可作為集中的RADIUS 和 TACACS+ 伺服器執行。Cisco Secure ACS將驗證、使用者訪問和管理員訪問與策略控制結合在一個集中的身份識別網路解決方案中,因此提高了靈活性、移動性、安全性和使用者生產率, 從而進一步增強了訪問安全性。它針對所有使用者執行統一安全策略,不受使用者網路訪問方式的影響。它減輕了與擴充套件使用者和網路管理員訪問許可權相關的管理負擔。通過對所有使用者帳戶使用一個集中資料庫,Cisco Secure ACS可集中控制所有的使用者許可權並將他們分配到網路中的幾百甚至幾千接入點。對於記帳服務,Cisco Secure ACS針對網路使用者的行為提供具體的報告和監控功能,並記錄整個網路上每次的訪問連線和裝置配置變化。這個特性對於企業遵守Sarbanes Oxley法規尤其重要。Cisco Secure ACS支援廣泛的訪問連線,包括有線和無線區域網、寬頻、內容、儲存、IP上的語音(VoIP)、防火牆和×××等。
ACS有兩種認證方式本地、遠端認證。
第一種認證方式本地認證
【實驗拓撲】
【實驗目的】
通過在交換機上建立使用者限制訪問
基於客戶機mac地址一種認證方式
【實驗參考配置】
交換機配置命令
[Quidway]dis cu
#
sysname Quidway
#
MAC-authentication
MAC-authentication authmode usernameasmacaddress usernameformat with-hyphen
#
radius scheme system
#
domain system
#
local-user 00-0c-29-cd-d6-53
password simple 00-0c-29-cd-d6-53
service-type lan-access
#
vlan 1
#
interface Vlan-interface1
ip address 192.168.30.100 255.255.255.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
#
interface Ethernet1/0/2
#
interface Ethernet1/0/3
#
interface Ethernet1/0/4
#
interface Ethernet1/0/5
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface Ethernet1/0/8
#
interface Ethernet1/0/9
#
interface Ethernet1/0/10
MAC-authentication
#
interface Ethernet1/0/11
#
interface Ethernet1/0/12
#
interface Ethernet1/0/13
#
interface Ethernet1/0/14
#
interface Ethernet1/0/15
#
interface Ethernet1/0/16
#
interface Ethernet1/0/17
#
interface Ethernet1/0/18
#
interface Ethernet1/0/19
#
interface Ethernet1/0/20
#
interface Ethernet1/0/21
#
interface Ethernet1/0/22
#
interface Ethernet1/0/23
#
interface Ethernet1/0/24
#
interface NULL0
#
user-interface aux 0
user-interface vty 0 4
#
return
驗證結果
ACS的遠端認證
【實驗拓撲】
【配置參考】
交換機配置命令
<Quidway>
<Quidway>
<Quidway>sys
<Quidway>system-view
System View: return to User View with Ctrl+Z.
[Quidway]dis cu
#
sysname Quidway
#
MAC-authentication
MAC-authentication authmode usernameasmacaddress usernameformat with-hyphen
#
radius scheme system
radius scheme xxx
server-type standard
primary authentication 192.168.30.200
accounting optional
key authentication 123456
user-name-format without-domain
#
domain system
#
local-user 00-0c-29-cd-d6-53
password simple 00-0c-29-cd-d6-53
service-type lan-access
#
vlan 1
#
interface Vlan-interface1
ip address 192.168.30.100 255.255.255.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
#
interface Ethernet1/0/2
#
interface Ethernet1/0/3
#
interface Ethernet1/0/4
#
interface Ethernet1/0/5
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface Ethernet1/0/8
#
interface Ethernet1/0/9
#
interface Ethernet1/0/10
MAC-authentication
#
interface Ethernet1/0/11
#
interface Ethernet1/0/12
#
interface Ethernet1/0/13
#
interface Ethernet1/0/14
#
interface Ethernet1/0/15
#
interface Ethernet1/0/16
#
interface Ethernet1/0/17
#
interface Ethernet1/0/18
#
interface Ethernet1/0/19
#
interface Ethernet1/0/20
#
interface Ethernet1/0/21
#
interface Ethernet1/0/22
#
interface Ethernet1/0/23
#
interface Ethernet1/0/24
#
interface NULL0
#
user-interface aux 0
user-interface vty 0 4
#
return
Ping 交換機
Acs日誌記錄 由於acs的問題沒有能看出具體的日誌檔案,只顯示通過了一個驗證。。
轉載於:https://blog.51cto.com/muxiaohao/1275542