思科ACS實現mac驗證
ACS簡介
ACS是Cisco出的一個 AAA 認證軟件,可以對路由器進行用戶認證、授權、記賬操作。Cisco Secure ACS服務器是一種認證、授權和審計RADIUS服務器,它構成了策略服務器系統的基礎。
安全訪問控制服務器爲思科智能信息網絡提供基於身份的全面的訪問控制解決方案。它是用於管理企業網絡用戶、管理員和網絡基礎設施資源的集成和控制層。
ACS (ACS)是具高可擴展性的高性能訪問控制服務器,可作爲集中的RADIUS 和 TACACS+ 服務器運行。Cisco Secure ACS將驗證、用戶訪問和管理員訪問與策略控制結合在一個集中的身份識別網絡解決方案中,因此提高了靈活性、移動性、安全性和用戶生產率, 從而進一步增強了訪問安全性。它針對所有用戶執行統一安全策略,不受用戶網絡訪問方式的影響。它減輕了與擴展用戶和網絡管理員訪問權限相關的管理負擔。通過對所有用戶帳戶使用一個集中數據庫,Cisco Secure ACS可集中控制所有的用戶權限並將他們分配到網絡中的幾百甚至幾千接入點。對於記帳服務,Cisco Secure ACS針對網絡用戶的行爲提供具體的報告和監控功能,並記錄整個網絡上每次的訪問連接和設備配置變化。這個特性對於企業遵守Sarbanes Oxley法規尤其重要。Cisco Secure ACS支持廣泛的訪問連接,包括有線和無線局域網、寬帶、內容、存儲、IP上的語音(VoIP)、防火牆和***等。
ACS有兩種認證方式本地、遠端認證。
第一種認證方式本地認證
【實驗拓撲】
【實驗目的】
通過在交換機上創建用戶限制訪問
基於客戶機mac地址一種認證方式
【實驗參考配置】
交換機配置命令
[Quidway]dis cu
#
sysname Quidway
#
MAC-authentication
MAC-authentication authmode usernameasmacaddress usernameformat with-hyphen
#
radius scheme system
#
domain system
#
local-user 00-0c-29-cd-d6-53
password simple 00-0c-29-cd-d6-53
service-type lan-access
#
vlan 1
#
interface Vlan-interface1
ip address 192.168.30.100 255.255.255.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
#
interface Ethernet1/0/2
#
interface Ethernet1/0/3
#
interface Ethernet1/0/4
#
interface Ethernet1/0/5
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface Ethernet1/0/8
#
interface Ethernet1/0/9
#
interface Ethernet1/0/10
MAC-authentication
#
interface Ethernet1/0/11
#
interface Ethernet1/0/12
#
interface Ethernet1/0/13
#
interface Ethernet1/0/14
#
interface Ethernet1/0/15
#
interface Ethernet1/0/16
#
interface Ethernet1/0/17
#
interface Ethernet1/0/18
#
interface Ethernet1/0/19
#
interface Ethernet1/0/20
#
interface Ethernet1/0/21
#
interface Ethernet1/0/22
#
interface Ethernet1/0/23
#
interface Ethernet1/0/24
#
interface NULL0
#
user-interface aux 0
user-interface vty 0 4
#
return
驗證結果
ACS的遠端認證
【實驗拓撲】
【配置參考】
交換機配置命令
<Quidway>
<Quidway>
<Quidway>sys
<Quidway>system-view
System View: return to User View with Ctrl+Z.
[Quidway]dis cu
#
sysname Quidway
#
MAC-authentication
MAC-authentication authmode usernameasmacaddress usernameformat with-hyphen
#
radius scheme system
radius scheme xxx
server-type standard
primary authentication 192.168.30.200
accounting optional
key authentication 123456
user-name-format without-domain
#
domain system
#
local-user 00-0c-29-cd-d6-53
password simple 00-0c-29-cd-d6-53
service-type lan-access
#
vlan 1
#
interface Vlan-interface1
ip address 192.168.30.100 255.255.255.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
#
interface Ethernet1/0/2
#
interface Ethernet1/0/3
#
interface Ethernet1/0/4
#
interface Ethernet1/0/5
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface Ethernet1/0/8
#
interface Ethernet1/0/9
#
interface Ethernet1/0/10
MAC-authentication
#
interface Ethernet1/0/11
#
interface Ethernet1/0/12
#
interface Ethernet1/0/13
#
interface Ethernet1/0/14
#
interface Ethernet1/0/15
#
interface Ethernet1/0/16
#
interface Ethernet1/0/17
#
interface Ethernet1/0/18
#
interface Ethernet1/0/19
#
interface Ethernet1/0/20
#
interface Ethernet1/0/21
#
interface Ethernet1/0/22
#
interface Ethernet1/0/23
#
interface Ethernet1/0/24
#
interface NULL0
#
user-interface aux 0
user-interface vty 0 4
#
return
Ping 交換機
Acs日誌記錄 由於acs的問題沒有能看出具體的日誌文件,只顯示通過了一個驗證。。