ACS56客户端和服务器完整配置和解析Word下载.docx

1、Licensehttps:/ip地址默认web账号 acsadmin/default进入web页面会提示上传lic文件，点浏览，选择上传acs5.6_base成功进入管理页面后，选择“System Administration”、“Configuration”、“Licensing”、“Feature Options”，上传acs5.6_featureACS配置逻辑：根据收到的请求的认证类型（radius还是tacacs），由ServicesSelectionRules的设置交给指定的AccessServices处理。由Identity指定的用户数据库（内部/外部）和请求中的用户名比对，根据用

2、户和设备的分类交给指定的Shell Profile和command set授权应和认证配合使用，假设对vty启用本地认证和aaa授权，则无法telnet，提示授权失败。浏览器IE11不能查看报告，火狐配置“接入策略”不能保存，建议结合使用1.设备分组网络结构默认将网络设备即AAA client分为2个网络设备组，分别为Location位置、Device Type设备类型。根据需求依次点击Network Resources Network Device Group Create在根组下创建子组，更明细的划分网络设备所在组。2.用户组依次点击Users and Identity Stores Id

3、entity Groups Create新增用户组。此用户组只是用于区分用户所在的组别，实际的组名并无实质的区别。在策略调用时才用到用户组来控制权限。3.新建用户 Internal Identity Stores Users Create新增用户，并将用户划分进已存在的用户组中，为创建的用户选择适当的用户组。Name代表telnet设备的用户名，Identity Group代表用户属于上步中定义的哪个用户组，Password代表telnet设备的密码，Enable Password代表特权密码。4.用户等级Shell Profiles依次点击Policy Elements Authorizat

4、ion and Permissions Device Administration Shell ProfilesCreate创建策略规则建议都设置为默认15最大15经过测试1.如果最大登陆级别不是15，无法enable进入特权模式，提示认证失败，因为默认是“enable 15”2.如果不配user的enable密码，但启用了enable的acs认证，可以用user的密码代替4.show running-config要在优先级15下运行，如果下放到其它优先级运行会缺少内容，具体表现为只能show出此等级有权配置的内容。5.命令集Command SetCommand Sets，点击Create新增

5、命令授权。给管理员放开所有的命令（ Permit any command that is not in the table below打勾允许所有命令）。给受限制管理员指定可用的命令: show，ping，telnet， ssh等，enable和exit属于0级命令，客户端配置不做授权， 故不用指定。6.接入策略-接入服务修改策略之前建议先停用此策略再编辑，否则可能卡死默认有两种接入服务“Device Admin”规定用户等级和命令行，理解为命令行的授权等相关“Network Access”规定acl、vlan接入、qos、dot1x等，理解为dot1x相关依次点击Access Policie

6、sAccess ServicesDefault Device Admin，确认服务类型使用身份识别和授权，允许协议选择 PAP/ASCII ，否则验证无法通过。识别依次点击Access Policies Access Services Default Device Admin Identity 选择内部数据Internal Users进行认证。授权Authorization 根据“用户所属的组和设备所属的分类”选择“优先级和命令集”。点击customize，把command set调到界面上7.服务选择器Service Selection Rules，创建服务选择器，满足使用Tacase协议做

7、认证的网络设备将使用Default Device Admin接入服务处理。8.添加客户端依次点击Network Resources Network Devices and AAA Clients新增网络客户端，在TACACS+中输入双方的共享密钥。9.查看报告客户端配置思科路由交换设备1.新建本地账户，以防万一username ADMIN privilege 15 secret ADMINenable secret ENABLE 没有enable密码的话，telnet用户不能enable2.开启aaa功能aaa new-model3.配置aaa服务器iptacacs source-interf

8、ace 指定进行tacacs认证的源端口，建议选择lo口或者svi口，所指定接口的地址要配置到acs服务器里tacacs-server host 10.1.1.250 key CISCO 指定tacacs服务器的地址和密码，密码要和acs服务器上设置的相同tacacs-server directed-request /默认启用，只发送用户名到TACACS服务端，而不是全名usernamehost，如果用户指定的hostname不匹配TACACS服务器上配置上配置的客户端IP地址，则请求被拒绝tacacs-server timeout 2 设定等到tacacs服务器的回复过期时间为2秒，默认5秒

9、,现实环境中可设置的大一些4.认证登录账号认证-方法一，明细-aaa authentication login VTY group tacacs+ local /定义名字为VTY的tacacs+认证，在需要的地方调用。首选tacacs+，若不可达则启用本地。linevty 0 15login authentication VTY /telnet登录方式登录调用tacacs+认证-方法二，全局-aaa authentication login default group tacacs+ local /全局所有方式登录都使用aaa认证aaa authentication login NOACS l

10、ocal none /定义NOACS用于本地console保护，console不使用aaa。首选local密码，若无则不认证line con 0login authentication NOACS /本地console保护enable认证aaa authentication enable default group tacacs+ enable /使用ACS认证enable密码，密码是acs里user的enable密码，acs不通时使用本地enable密码。此时在console口enable会要求输入acs中user账号。所以建议不配5.授权默认通过console口登录后输入命令是无需授权的a

11、aa authorization exec default group tacacs+ none /应用acs服务器上配置的default privilege level，如无此命令，则忽略acs的这个配置aaa authorization commands 0 default group tacacs+ local/在ACS服务器上查询级别0能够使用的命令，级别0包含五条命令：disable、enable、exit、help、logout，如果配置了此条级别0授权，那么要求在ACS上放过这几条命令。如果不配置此条，那么不认证，无需在ACS放过。建议不配。aaa authorization c

12、ommands 1 default group tacacs+ local/在ACS服务器上查询属于级别1的命令aaa authorization commands 15 default group tacacs+ local /在ACS服务器上查询属于级别15的命令2-14有无皆可，表示授权属于2-14级的命令，默认没有命令属于2-14。并不是授权2-14级的用户所敲的命令。aaa authorization commands 2 default group tacacs+ local aaa authorization commands 3 default group tacacs+ lo

13、cal aaa authorization commands 4 default group tacacs+ local aaa authorization commands 5 default group tacacs+ local aaa authorization commands 6 default group tacacs+ local aaa authorization commands 7 default group tacacs+ local aaa authorization commands 8 default group tacacs+ local aaa authorization commands 9 default group tacacs+ local aaa authorization commands 11 default group tacacs+ local aaa authorization commands 12 default group tacacs+ local aaa authorization commands 13 default group tacacs+ local aaa authorization commands 14 d