亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關注微信公眾號

實戰手記之ACS for VPN3000
2008-06-24   

  Keywords: AAA ACS VPn3000 Radius TACACS+
  本文記錄利用Cisco Secure ACS服務器為VPN3000提供AAA服務的設置方法:
  概述: Cisco Secure ACS是一種AAA服務器。所謂AAA,是指:
  認證(authentication):當NAS(Network Access Server網絡訪問服務器)收到一個用戶認證的請求,它把有關信息通過UDP 1645發給Radius服務器,服務器檢查用戶數據庫確定是否為授權用戶,如果是,則給NAS返回驗證通過的信息。(參考:
  RFC 2058 )
  記帳(accounting): 如果需要,用戶連接結束后,NAS可以將連接持續的時間、流量等信息發給Radius服務器進行記錄,作為計費參考資料。(參考: RFC 2059 )
  授權(authorization): 通過Radius服務器還可以限定用戶可以訪問的服務。
  AAA服務器和NAS之間也可以通過TACACS+(TCP 49)協議來通訊。Cisco Secure ACS(Access Control Server)支持Radius和TACACS+協議。Cisco VPN3030只支持Radius協議。 必須要注意的是Radius是非標準的協議,每個廠家都有各自不同的實現方法,所以對不同的NAS還必需進行協議的定制。在ACS中已經為多種設備定制了Radius協議,如Radius(IOS Devices) Radius(VPN3000)和Radius(Microsoft)等等。
  通過引入AAA服務器,可以:
  1.解決用戶數限制: 例如VPN3030只支持定義500個用戶,用ACS可以支持更多用戶
  2.計費:ACS記錄的用戶連接時間,通訊量等信息可作計費資料
  3.增強安全性: 可以限定用戶訪問的服務;用戶訪問的日志可用于安全審計
  4.方便管理:用戶定義可用于一組設備,無需分別設置和維護
  一.ACS安裝:
  系統需求:PII300 以上CPU/256M內存/Windows 2000 Server 英文版(不安裝SP)
  注1:ACS v2.5在安裝了SP的Windows 2000系統上運行有問題,需要v3.0才能解決
  注2:可以安裝“用戶自助修改密碼(web)界面”模塊,但該模塊需IIS。不安裝SP的Windows系統上運行IIS有嚴重安全問題,所以本安裝選擇不安裝該模塊和IIS。
  使用ACS光盤上的Install程序交互完成安裝。主要選項為:
  1.是否保留現有數據庫: 全新安裝回答“否”;升級安裝回答“是”。
  2.是否導入配置:如需導入已保存的配置回答“是”。
  3.只使用ACS的用戶數據庫或同時使用Windows系統用戶數據庫:根據需要選擇,本安裝選擇“只使用ACS的用戶數據庫”。
  4.“Authenticate Users Using”認證協議:選擇“Radius(Cisco VPN 3000)”。
  5.“Access Server Name”訪問服務器名稱:輸入“VPN3030”。
  6.“Access Server IP Address”訪問服務器IP地址:輸入“10.1.1.18”。
  7.“Windows NT Server IP Address” ACS服務器的IP地址:自動設為“10.1.1.51”(本機地址)。
  8.“TACACS+ or RADIUS Key”共享的密匙:輸入“cisco”。
  9.選擇要顯示的屬性:全選。
  10.“Remedial Action on log-in failure”登錄失敗時的措施:Script to Exec: *Restart ALL
  完成安裝后,通過web界面管理ACS,地址為:http://127.0.0.1:2002(或真實IP),注意在本機上管理時無需登錄。
  二.ACS配置:
  登錄ACS的WEB管理界面:http://10.1.1.51:2002。
  檢查網絡配置:選擇Network Configuration,點擊“VPN3030”可檢查或修該安裝過程中對Access Server的定義(參數見上一節)。
  檢查接口配置:選擇Interface Configuration,點擊“Radius Cisco VPN 3000”,如需通過ACS設置用戶組的VPN3000專有屬性,請選中各項Group [26] Vendor-Specific屬性,然后可以在組屬性中進行設置。如需設置特定用戶的VPN3000專有屬性,您還需在Interface Configuration / Advanced Options中先選定“Per-User TACACS+/RADIUS Attributes”。一般而言,通過VPN3030中的組屬性頁面管理這些屬性更為方便,推薦使用。某些屬性,如為用戶制定特定的IP地址,并不屬于VPN3000的專有屬性,因而也無需啟用Vendor-Specific屬性。
  設置組:選擇Group Setup,并把Group 10該名為"VPN3030 USERS".如果需要,點擊Edit Settings 修改組屬性。
  添加用戶:選擇User Setup,輸入用戶名并點擊Add/Edit,修改“Password Authentication”項:選擇“CiscoSecure Database”;在“CiscoSecure PAP - Password”一欄輸入和確認用戶密碼;在“Group to which the user is assigned” 一欄選擇"VPN3030 USERS"組。根據需要修改其他用戶屬性,如指定IP地址等。
  三.VPN3030配置:
  首先確保配置前能夠用VPN3030設置的內置帳號建立VPN連接。
  登錄VPN3030的WEB管理界面:http://10.1.1.18。
  選擇: Configuration > System > Servers > Authentication,點擊Add。
  選擇Radius協議,輸入認證服務器地址10.1.1.51及共享的密匙:“cisco”。
  Authentication和Accounting的端口號分別是UDP 1645和UDP1646,均為默認值。
  通過Test功能進行認證測試,成功后保存配置。
  記帳服務的配置:Configuration > System > Servers > Accounting參數同上。
  選擇: Configuration > User Management > Groups 并點擊Add。
  在Identity(識別)配置夾中輸入組名Group Name[本安裝中輸入ext]、組密碼Password[ciscoacs]并設置組類別Type為:internal。請務必在VPN客戶端配置相同的組名和密碼。在IPSec配置夾中選擇Tunnel Type為“Remote-Access”; Authentication為“RADIUS”; 選中“Mode Config”多選框。
  應用(Apply)并保存配置。
  如需為某些組配置不同的Radius服務器,可點擊組屬性中的“Modify Auth. Servers”。
  四.查看日志:
  記帳信息:Reports and Activity > RADIUS Accounting
   失敗的認證記錄:Reports and Activity > Failed attempts
  當前登錄的用戶信息:Reports and Activity > Logged-in Users

熱詞搜索:

上一篇:深信服SSL VPN完善浙江大學網絡運用
下一篇:Cisco VPN 5000 Client 多個安全缺陷

分享到: 收藏