企业网络中部署Cisco ACS Server

   上两篇博客已经介绍了企业应用AAA的重要性，以及经过两个实例讲解了，如何在企业中Cisco设备启用AAA，而配置咱们主要侧重因而手动完成，在认证和受权是在路由器本地查询数据库完成的。咱们考虑一个这个问题，在本地路由器上完成AAA的认证和受权，貌似没有什么问题，但是你们想一想，对于AAA的安全性而言，咱们只用到其中一小部分技术，而更重要的“审计”在本地能实现吗？受权咱们也作了一部分，在本地路由器要实现对“命令”的，虽然能够实现，可是感受是更为苍白一些，总感受本身的这种安全作法，并不是科学性对吧，尤为你以为很繁琐，不够灵活多样。若是公司有几十个用户，每一个用户接入到网络中都须要身份验证（802.1X），若是在路由器上敲命令要实现就更为困难了，并且工做量太大，这彻底是一个体力活。这时候你可能期盼咱们可否把认证，受权，审计，由公司内部一台服务器来完成了，让路由器或者交换机只须要把客户端的访问请求转发给这台服务器，其实就是咱们今天要讲的ACS Server，ACS Server查询本地的数据库，若是客户端发送的用户名和密码和本地数据库的同样，则认证经过，再依据你的受权配置完成 相应的受权，审计也更加容易实现，能够和SQL等数据库结合起来，把用户的访问记录从开始到结束，所有记录下来，而后管理员能够随时查看处理这些问题。

那今天的主要问题，若是在企业环境中搭建一台ACS Server，须要注意哪些问题？搭建这台服务器有什么要求？搭建以后如何维护和发挥其重要的做用？在AAA服务器上配置认证和受权，审计将陆续在后面的博客中更新，敬请期待。

你们先来看个人实验拓扑：

ACS全名是：CiscoSecure ACS

版本号有：2.0，3.2，4.0，4.2等，今天实验环境ACS Server服务器上安装的4.0版本

到底什么样的服务器是ACS Server？答案很简单是吧，能提供AAA认证，受权，审计等功能一台Windows Server 服务器，该服务器上必须安装的是Cisco Secure ACS 软件，这样服务器咱们就能够称为ACS Server

ACS Server 操做系统要求为：windows 2000 ,windows 2003,windows server 2008，没法安装在Windows Client

安装ACS 服务器步骤：

1，首先安装完windows 2003 server ,设置完IP地址和（IP地址不可安装完ACS后随意更改，这将形成ACS通信处问题，切记），ACS Server 软件你能够安装到公司的文件服务器或者其余的服务器，或者安装到虚拟机中也能够。只要ACS Server和须要提供AAA服务的设备能够相互通讯便可。

如图1所示，ACS Server IP地址设置完毕

2，安装Java虚拟机，（jre-6u4-windows-i586-p）下载地址 http://www.java.com 。不要安装JAVA JDK版本，若是java没有安装，或者安装的版本有问题会致使ACS 安装完以后，打开的页面是空白的，没法运行ACS

如图2所示，点击“接受”下载安装下一步便可,

3，ACS Server属于收费性质软件，在cisco 网站上须要使用CCO帐号登录就能够找到最新的版本下载，但最新的版本并不必定是最稳定的版本，软件只有英文版，可是其余的第三方站点也提供ACS 下载。

如图3所示，打开压缩包中的文件，点击“Setup”,出现安装赞成协议，点击“ACCEPT” 下一步

4，如图4所示，如图勾选这4项，ACS的基本的组件，必须都选

注意提示，Cisco IOS 11.1或者以后的版本才能够支持AAA命令，ACS Server上IE的版本最低是6.0

 

 

5，如图5所示，ACS 默认安装路径，若是在生产环境下，考虑备份等问题，能够更改安装目录，通常默认路径便可，不会占用太多的磁盘空间。

6，如图6所示，让ACS 独立存放本身的数据库文件（默认选择）

 

 

7，如图7所示，开始安装文件，等待几秒，出现下一步操做

8，如图8所示，ACS Server高级选项设置，如图所有勾选，也能够勾选前三项，有组和用户的设置，最大化会话数等

9，如图9所示，ACS还提供一个重要的服务就是能够结合SMTP服务，以邮件的形式通知管理人员，AAA服务器运行状态和日志信息，勾选开启日志监视，邮件服务器的地址这里没有，或者不须要经过邮件来监视，就能够不用勾选，

10， 如图10所示，安装最后一步，最关键的一步，也是你们最容易忽视的一步，这里没有留心，极可能致使你的AAA没法正常工做。那一段英文的重要意思是：配置ACS服务器的认证密钥，密钥的建议是8个字符，包含大小写。

这是不少人可能会发生疑问，为何要配置ACS 的认证密钥？何时会用？

再看文章前面的拓扑，ACS_Client(192.168.10.3)，不是说ACS服务器还须要在路由器上来安装个什么客户端的软件，而这里的意思是我给你路由器的起的名称，在这一台路由器上来配置AAA的认证、受权、审计，当访问客户端（192.168.10.1）,要经过Telnet,SSH,Console形式登录路由器调试和配置时，路由器会要求检查用户的身份是否合法，也就是要求用户输入登陆的用户名和密码，那么登陆的用户名和密码，是在ACS服务器来配置的，ACS Server 和 路由器之间链路是通的，这时当用户在键盘上输入登陆的用户名和密码，路由器把登陆的请求和客户端的输入的密码发送到ACS 服务器上来请求验证，这个用户名和密码是否合法，在验证用户名和密码的合法性以前，就首先要肯定这台路由器的身份是合法的，怎么肯定路由器的身份是合法的，在路由器和ACS Server之间通信会有一个密码，用这个密码来验证其合法性.

 

这里设置ACS密码用于ACS Internal Database Encryption.当提取数据库时才会用到.

11，如图11所示，ACS 安装完成了，默认的登录地址是 http://127.0.0.1:2002 ,2002是默认的本地开放的端口，会在桌面上建立ACS快捷方式

12，如图12所示，ACS安装完成如图主页面，ACS 打开时会调用java，右下角所示，安装完以后检查java有无加载，若是能够正常加载，则ACS能够正常运行。

13，测试路由器与访问客户端，ACS Server 是否能够ping 通 ，（路由器的底层配置略过）

 

 

 

本文的虽然比较简单，可是不少不少朋友不过重视，就致使AAA服务器上的认证，受权和审计常常失败，大对数缘由是没有搞明白ACS Server的工做原理，忘了还有个什么ACS KEY ？

下回给你们讲解ACS Server 与客户端须要通信，提供认证、受权、审计服务，须要用什么协议来承载和传递这些流量，不一样的厂商设备如何选择不一样的协议（Tacacs+,Radius），各自的优缺点等