ACS56客户端和服务器完整配置和解析.docx

1、ACS56客户端和服务器完整配置和解析硬件安装要求要求分配80G以上硬盘空间安装过程选1根据提示输入setup,根据提示输入相关配置信息安装完成后可以查看acs服务的状态show applicationshow application version acsshow application status acs修改时区和时间（config）#clock timezone Asia/Shanghai#clock set AUG 15 08:56:00 2016Licensehttps:/ip地址默认web账号 acsadmin/default进入web页面会提示上传lic文件，点浏览，选择上传a

2、cs5.6_base成功进入管理页面后，选择“System Administration”、“Configuration”、“Licensing”、“Feature Options”，上传acs5.6_featureACS配置逻辑：根据收到的请求的认证类型（radius还是tacacs），由ServicesSelectionRules的设置交给指定的AccessServices处理。由Identity指定的用户数据库（内部/外部）和请求中的用户名比对，根据用户和设备的分类交给指定的Shell Profile和command set授权应和认证配合使用，假设对vty启用本地认证和aaa授权，则无

3、法telnet，提示授权失败。浏览器IE11不能查看报告，火狐配置“接入策略”不能保存，建议结合使用1.设备分组网络结构默认将网络设备即AAA client分为2个网络设备组，分别为Location位置、Device Type设备类型。根据需求依次点击Network Resources Network Device Group Create在根组下创建子组，更明细的划分网络设备所在组。2.用户组依次点击Users and Identity Stores Identity Groups Create新增用户组。此用户组只是用于区分用户所在的组别，实际的组名并无实质的区别。在策略调用时才用到用户组

4、来控制权限。3.新建用户依次点击Users and Identity Stores Internal Identity Stores Users Create新增用户，并将用户划分进已存在的用户组中，为创建的用户选择适当的用户组。Name代表telnet设备的用户名，Identity Group代表用户属于上步中定义的哪个用户组，Password代表telnet设备的密码，Enable Password代表特权密码。4.用户等级Shell Profiles依次点击Policy Elements Authorization and Permissions Device Administratio

5、n Shell ProfilesCreate创建策略规则建议都设置为默认15最大15经过测试1.如果最大登陆级别不是15，无法enable进入特权模式，提示认证失败，因为默认是“enable 15”2.如果不配user的enable密码，但启用了enable的acs认证，可以用user的密码代替4.show running-config要在优先级15下运行，如果下放到其它优先级运行会缺少内容，具体表现为只能show出此等级有权配置的内容。5.命令集Command Set依次点击Policy Elements Authorization and Permissions Device Admini

6、stration Command Sets，点击Create新增命令授权。给管理员放开所有的命令（ Permit any command that is not in the table below打勾允许所有命令）。给受限制管理员指定可用的命令: show，ping，telnet， ssh等，enable和exit属于0级命令，客户端配置不做授权， 故不用指定。6.接入策略-接入服务修改策略之前建议先停用此策略再编辑，否则可能卡死默认有两种接入服务“Device Admin”规定用户等级和命令行，理解为命令行的授权等相关“Network Access”规定acl、vlan接入、qos、dot

7、1x等，理解为dot1x相关依次点击Access PoliciesAccess ServicesDefault Device Admin，确认服务类型使用身份识别和授权，允许协议选择 PAP/ASCII ，否则验证无法通过。识别依次点击Access Policies Access Services Default Device Admin Identity 选择内部数据Internal Users进行认证。授权依次点击Access Policies Access Services Default Device Admin Authorization 根据“用户所属的组和设备所属的分类”选择“优

8、先级和命令集”。点击customize，把command set调到界面上7.服务选择器依次点击Access PoliciesAccess ServicesService Selection Rules，创建服务选择器，满足使用Tacase协议做认证的网络设备将使用Default Device Admin接入服务处理。8.添加客户端依次点击Network Resources Network Devices and AAA Clients新增网络客户端，在TACACS+中输入双方的共享密钥。9.查看报告客户端配置思科路由交换设备1.新建本地账户，以防万一username ADMIN privil

9、ege 15 secret ADMINenable secret ENABLE 没有enable密码的话，telnet用户不能enable2.开启aaa功能aaa new-model3.配置aaa服务器iptacacs source-interface 指定进行tacacs认证的源端口，建议选择lo口或者svi口，所指定接口的地址要配置到acs服务器里tacacs-server host 10.1.1.250 key CISCO 指定tacacs服务器的地址和密码，密码要和acs服务器上设置的相同tacacs-server directed-request /默认启用，只发送用户名到TACAC

10、S服务端，而不是全名usernamehost，如果用户指定的hostname不匹配TACACS服务器上配置上配置的客户端IP地址，则请求被拒绝tacacs-server timeout 2 设定等到tacacs服务器的回复过期时间为2秒，默认5秒,现实环境中可设置的大一些4.认证登录账号认证-方法一，明细-aaa authentication login VTY group tacacs+ local /定义名字为VTY的tacacs+认证，在需要的地方调用。首选tacacs+，若不可达则启用本地。linevty 0 15login authentication VTY /telnet登录方式

11、登录调用tacacs+认证-方法二，全局-aaa authentication login default group tacacs+ local /全局所有方式登录都使用aaa认证aaa authentication login NOACS local none /定义NOACS用于本地console保护，console不使用aaa。首选local密码，若无则不认证line con 0login authentication NOACS /本地console保护enable认证aaa authentication enable default group tacacs+ enable /使用

12、ACS认证enable密码，密码是acs里user的enable密码，acs不通时使用本地enable密码。此时在console口enable会要求输入acs中user账号。所以建议不配5.授权默认通过console口登录后输入命令是无需授权的aaa authorization exec default group tacacs+ none /应用acs服务器上配置的default privilege level，如无此命令，则忽略acs的这个配置aaa authorization commands 0 default group tacacs+ local /在ACS服务器上查询级别0能够使

13、用的命令，级别0包含五条命令：disable、enable、exit、help、logout，如果配置了此条级别0授权，那么要求在ACS上放过这几条命令。如果不配置此条，那么不认证，无需在ACS放过。建议不配。aaa authorization commands 1 default group tacacs+ local /在ACS服务器上查询属于级别1的命令aaa authorization commands 15 default group tacacs+ local /在ACS服务器上查询属于级别15的命令2-14有无皆可，表示授权属于2-14级的命令，默认没有命令属于2-14。并不是授

14、权2-14级的用户所敲的命令。aaa authorization commands 2 default group tacacs+ local aaa authorization commands 3 default group tacacs+ local aaa authorization commands 4 default group tacacs+ local aaa authorization commands 5 default group tacacs+ local aaa authorization commands 6 default group tacacs+ local

15、aaa authorization commands 7 default group tacacs+ local aaa authorization commands 8 default group tacacs+ local aaa authorization commands 9 default group tacacs+ local aaa authorization commands 11 default group tacacs+ local aaa authorization commands 12 default group tacacs+ local aaa authorization commands 13 default group tacacs+ local aaa authorization commands 14 d