(2021年整理)ACS5中文配置手冊(cè)詳解

1、acs5中文配置手冊(cè)詳解acs5中文配置手冊(cè)詳解 編輯整理：尊敬的讀者朋友們：這里是精品文檔編輯中心，本文檔內(nèi)容是由我和我的同事精心編輯整理后發(fā)布的，發(fā)布之前我們對(duì)文中內(nèi)容進(jìn)行仔細(xì)校對(duì)，但是難免會(huì)有疏漏的地方，但是任然希望（acs5中文配置手冊(cè)詳解）的內(nèi)容能夠給您的工作和學(xué)習(xí)帶來(lái)便利。同時(shí)也真誠(chéng)的希望收到您的建議和反饋，這將是我們進(jìn)步的源泉，前進(jìn)的動(dòng)力。本文可編輯可修改，如果覺(jué)得對(duì)您有幫助請(qǐng)收藏以便隨時(shí)查閱，最后祝您生活愉快 業(yè)績(jī)進(jìn)步，以下為acs5中文配置手冊(cè)詳解的全部?jī)?nèi)容。acs 5。1配置步驟詳解2010年3月26日ma min1、 acs登錄方式acs可以通過(guò)gui和cli兩種方式登錄

2、，以下介紹均采用gui方式通過(guò)ie瀏覽器鍵入https：/acs ip address acs登錄方式 1/2、 配置網(wǎng)絡(luò)資源需要預(yù)先規(guī)劃好網(wǎng)絡(luò)設(shè)備組ndg的分配方式,比如按照設(shè)備所處位置location和設(shè)備所屬類型device type規(guī)劃，這個(gè)在將來(lái)認(rèn)證和授權(quán)時(shí)會(huì)用到.網(wǎng)絡(luò)資源組網(wǎng)絡(luò)設(shè)備組ndg下配置位置location例子網(wǎng)絡(luò)資源組網(wǎng)絡(luò)設(shè)備組ndg下配置設(shè)備類型device type例子配置需要實(shí)施認(rèn)證的設(shè)備，包括ncm服務(wù)器本身。網(wǎng)絡(luò)資源組網(wǎng)絡(luò)設(shè)備組ndg下配置網(wǎng)絡(luò)設(shè)備和aaa客戶端network devices and aaa clients例子以

3、配置設(shè)備6509為例,將此設(shè)備分配到”北京”站點(diǎn)和思科”設(shè)備組，指定ip地址，選擇tacacs+協(xié)議，配置tacacs+ key，選擇single connect device 將所有的tacacs+協(xié)議交互信息在單一tcp連接中傳輸。以配置北電設(shè)備為例,選擇radius協(xié)議。3、配置用戶和用戶組配置身份組別例子，建立辦公網(wǎng)運(yùn)維管理、生產(chǎn)網(wǎng)運(yùn)維管理、生產(chǎn)網(wǎng)配置監(jiān)控三個(gè)組別創(chuàng)建用戶名，密碼，分配用戶到某個(gè)組別中.4、配置策略元素配置授權(quán)和許可策略，其中設(shè)備管理包括shell profiles和command sets對(duì)于客戶端接入包括網(wǎng)絡(luò)接入（authorization profiles）和命名

4、的許可對(duì)象(downloadable acls）以下是定義一個(gè)下載acl的例子配置aclcisco的例子配置時(shí)間段策略元素,可以控制某個(gè)時(shí)間對(duì)設(shè)備的訪問(wèn)權(quán)限。創(chuàng)建一個(gè)full time 的例子在網(wǎng)絡(luò)控制條件network conditions中定義設(shè)備過(guò)濾策略元素定義了兩個(gè)過(guò)濾策略元素的例子，一個(gè)是基于location，一個(gè)是基于ip地址?；趌ocation的設(shè)備過(guò)濾元素，定義限制為北京的過(guò)濾條件定義基于ip地址的過(guò)濾策略元素定義授權(quán)authorization profile和許可，在這里調(diào)用預(yù)先配置的acl下載的策略元素。permitaccess是缺省的不可修改的配置元素。在公共任務(wù)中選擇

5、需要授權(quán)的行為，這里調(diào)用預(yù)先配置好的download acl策略。在設(shè)備授權(quán)操作中配制shell profiles，其中permitaccess是缺省的，我們又定義了授權(quán)級(jí)別為15級(jí)(完全控制)、10級(jí)(部分限制操作）、5級(jí)（只讀操作）的操作。定義授權(quán)級(jí)別為15級(jí)的操作例子.在設(shè)備授權(quán)操作中配置可執(zhí)行的命令集控制，分別創(chuàng)建15級(jí)別、10級(jí)別、5級(jí)別的授權(quán)命令集，其中denyallcommands是缺省的配置。以下是思科15級(jí)授權(quán)的為例配置可執(zhí)行的命令集.以下是思科10級(jí)授權(quán)為例配置可執(zhí)行的命令集。以下是思科5級(jí)授權(quán)為例配置可執(zhí)行的命令集。5、配置接入訪問(wèn)策略缺省情況下存在設(shè)備管理和網(wǎng)絡(luò)接入控制

6、兩個(gè)預(yù)先配置，通常使用設(shè)備管理.凡是在服務(wù)選擇規(guī)則中被調(diào)用的接入訪問(wèn)策略會(huì)顯示綠色。如下圖所示。配置的最后一步是配置服務(wù)選擇規(guī)則。下圖中創(chuàng)建了規(guī)則3，同時(shí)disable其它的規(guī)則，并且選擇定制方式.將前面定義的位置、設(shè)備、訪問(wèn)時(shí)間以及協(xié)議方式做為認(rèn)證過(guò)濾規(guī)則.如果認(rèn)證成功，則可以看到hit count數(shù)量增加，如果沒(méi)有任何rule匹配,則系統(tǒng)使用缺省的rule，缺省行為是拒絕任何認(rèn)證操作。如果認(rèn)證成功后，選擇monitor選項(xiàng),acs自動(dòng)調(diào)用acs view選項(xiàng)。點(diǎn)擊authentications tacacs today記錄會(huì)看到詳細(xì)的認(rèn)證記錄過(guò)程，并可以輸出報(bào)告。授權(quán)操作在缺省設(shè)備管理的訪

7、問(wèn)策略中配置授權(quán)操作，創(chuàng)建授權(quán)規(guī)則并選擇定制化。選擇最多8個(gè)授權(quán)限制條件和定制化結(jié)果進(jìn)入定制化的配置細(xì)節(jié)，根據(jù)前面定義的策略根據(jù)需要選擇授權(quán)認(rèn)證方式.通過(guò)上述選擇，我們先前定義的兩個(gè)用戶michael和thomas分別授予了不同權(quán)限雖然michael和thomas都可以登錄所屬生產(chǎn)網(wǎng)的設(shè)備c6509，但是由于授權(quán)不同，具備生產(chǎn)網(wǎng)分組的michael最終擁有對(duì)設(shè)備的操作權(quán)限，而具備辦公網(wǎng)權(quán)限的用戶thomas無(wú)法在c6509上執(zhí)行任何命令.在acs view上選擇tacacs_accounting 和 tacacs_authorization 可以看到所有操作命令.我們?cè)趀mc vc上添加michael和thomas用戶。系統(tǒng)提示無(wú)法登錄，原因是emc vc在acs上的網(wǎng)絡(luò)設(shè)備的aaa客戶端配置沒(méi)有匹配規(guī)則。解決方案有兩種，一種是添加新的規(guī)則,一種是將emc vc的服務(wù)器添加到和c6509相同的網(wǎng)絡(luò)設(shè)備的aaa客戶端中?，F(xiàn)在用戶michael可以登錄emc vc.在emc vc上創(chuàng)建michael和thomas賬戶，添加到某個(gè)組中，并賦予vc本地管理ncm權(quán)限。用micha