一、简介

        概述: Cisco Secure ACS(Access Control Server)是一种AAA服务器。所谓AAA，是

指：认证(authentication)：当NAS(Network Access Server网络访问服务器)收到一个用户

认证的请求，它把有关信息通过UDP 1645发给Radius服务器，服务器检查用户数据库

确定是否为授权用户，如果是，则给NAS返回验证通过的信息。       

        记帐（accounting）: 如果需要，用户连接结束后，NAS可以将连接持续的时间、

流量等信息发给Radius服务器进行记录，作为计费参考资料。

        授权(authorization): 通过Radius服务器还可以限定获得认证的用户可以访问的服

务。如服务授权种类或存取时间限制设定。

        Cisco Secure ACS支持Radius和TACACS+协议。Cisco ×××3030只支持Radius协

议。 必须要注意的是Radius是非标准的协议，每个厂家都有各自不同的实现方法，

所以对不同的NAS还必需进行协议的定制。在ACS中已经为多种设备定制了Radius协

议，如Radius(IOS Devices) Radius(×××3000)和Radius(Microsoft)等等。

        远程访问最大的问题之一就是安全。为了保证内部资源的安全，我们采用了

Cisco安全访问控制服务器，该服务器是为了解决Internet和所有公用的、专用的网络

或外部企业网等网络的快速发展，为用户如何对网络访问进行控制、授权和计费提

出的安全方面的具体解决工具。这是一套高性能、高可扩展性、集中化用户访问控

制架构。它可从基于Web的图形界面为所用用户身份验证、授权和记账（AAA）功

能提供中央命令和控制，然后还可将这些控制分发给客户网络中成千上万的访问网

关，进而在整个网络中提供受控访问。

 

二、案例一

        基于路由器

        首先要安装ACS软件，这里以ACS4.0为例。

        安装完成后进行配置过程如下：

        导入华为的私有属性，该文件内容如下：

 [User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

        导入过程：

       导入完成后，进行配置：

       端口配置

        更改AAA服务器

 

          添加AAA客户端

       添加RAIUS到组

           编辑该组

           编辑结果

        创建用户

       添加用户到组

       服务器端配置完成。