Keywords: AAA ACS VPn3000 Radius TACACS+
　　本文記錄利用Cisco Secure ACS服務(wù)器為VPN3000提供AAA服務(wù)的設(shè)置方法：
　　概述: Cisco Secure ACS是一種AAA服務(wù)器。所謂AAA，是指：
　　認證(authentication)：當NAS(Network Access Server網(wǎng)絡(luò)訪問服務(wù)器)收到一個用戶認證的請求，它把有關(guān)信息通過UDP 1645發(fā)給Radius服務(wù)器，服務(wù)器檢查用戶數(shù)據(jù)庫確定是否為授權(quán)用戶，如果是，則給NAS返回驗證通過的信息。(參考：
　　RFC 2058 )
　　記帳（accounting）: 如果需要，用戶連接結(jié)束后，NAS可以將連接持續(xù)的時間、流量等信息發(fā)給Radius服務(wù)器進行記錄，作為計費參考資料。(參考： RFC 2059 )
　　授權(quán)(authorization): 通過Radius服務(wù)器還可以限定用戶可以訪問的服務(wù)。
　　AAA服務(wù)器和NAS之間也可以通過TACACS+(TCP 49)協(xié)議來通訊。Cisco Secure ACS(Access Control Server)支持Radius和TACACS+協(xié)議。Cisco VPN3030只支持Radius協(xié)議。 必須要注意的是Radius是非標準的協(xié)議，每個廠家都有各自不同的實現(xiàn)方法，所以對不同的NAS還必需進行協(xié)議的定制。在ACS中已經(jīng)為多種設(shè)備定制了Radius協(xié)議，如Radius(IOS Devices) Radius(VPN3000)和Radius(Microsoft)等等。
　　通過引入AAA服務(wù)器，可以：
　　1.解決用戶數(shù)限制: 例如VPN3030只支持定義500個用戶,用ACS可以支持更多用戶
　　2.計費：ACS記錄的用戶連接時間，通訊量等信息可作計費資料
　　3.增強安全性: 可以限定用戶訪問的服務(wù);用戶訪問的日志可用于安全審計
　　4.方便管理：用戶定義可用于一組設(shè)備，無需分別設(shè)置和維護
　　一.ACS安裝：
　　系統(tǒng)需求：PII300 以上CPU/256M內(nèi)存/Windows 2000 Server 英文版（不安裝SP）
　　注1：ACS v2.5在安裝了SP的Windows 2000系統(tǒng)上運行有問題,需要v3.0才能解決
　　注2：可以安裝“用戶自助修改密碼(web)界面”模塊,但該模塊需IIS。不安裝SP的Windows系統(tǒng)上運行IIS有嚴重安全問題，所以本安裝選擇不安裝該模塊和IIS。
　　使用ACS光盤上的Install程序交互完成安裝。主要選項為：
　　1.是否保留現(xiàn)有數(shù)據(jù)庫: 全新安裝回答“否”;升級安裝回答“是”。
　　2.是否導(dǎo)入配置：如需導(dǎo)入已保存的配置回答“是”。
　　3.只使用ACS的用戶數(shù)據(jù)庫或同時使用Windows系統(tǒng)用戶數(shù)據(jù)庫:根據(jù)需要選擇，本安裝選擇“只使用ACS的用戶數(shù)據(jù)庫”。
　　4.“Authenticate Users Using”認證協(xié)議：選擇“Radius(Cisco VPN 3000)”。
　　5.“Access Server Name”訪問服務(wù)器名稱：輸入“VPN3030”。
　　6.“Access Server IP Address”訪問服務(wù)器IP地址：輸入“10.1.1.18”。
　　7.“Windows NT Server IP Address” ACS服務(wù)器的IP地址：自動設(shè)為“10.1.1.51”(本機地址)。
　　8.“TACACS+ or RADIUS Key”共享的密匙：輸入“cisco”。
　　9.選擇要顯示的屬性：全選。
　　10.“Remedial Action on log-in failure”登錄失敗時的措施：Script to Exec: *Restart ALL
　　完成安裝后，通過web界面管理ACS,地址為:http://127.0.0.1:2002(或真實IP),注意在本機上管理時無需登錄。
　　二.ACS配置：
　　登錄ACS的WEB管理界面：http://10.1.1.51:2002。
　　檢查網(wǎng)絡(luò)配置：選擇Network Configuration，點擊“VPN3030”可檢查或修該安裝過程中對Access Server的定義(參數(shù)見上一節(jié))。
　　檢查接口配置：選擇Interface Configuration,點擊“Radius Cisco VPN 3000”，如需通過ACS設(shè)置用戶組的VPN3000專有屬性，請選中各項Group [26] Vendor-Specific屬性，然后可以在組屬性中進行設(shè)置。如需設(shè)置特定用戶的VPN3000專有屬性，您還需在Interface Configuration / Advanced Options中先選定“Per-User TACACS+/RADIUS Attributes”。一般而言，通過VPN3030中的組屬性頁面管理這些屬性更為方便，推薦使用。某些屬性，如為用戶制定特定的IP地址，并不屬于VPN3000的專有屬性，因而也無需啟用Vendor-Specific屬性。
　　設(shè)置組：選擇Group Setup，并把Group 10該名為"VPN3030 USERS".如果需要，點擊Edit Settings 修改組屬性。
　　添加用戶：選擇User Setup，輸入用戶名并點擊Add/Edit，修改“Password Authentication”項：選擇“CiscoSecure Database”；在“CiscoSecure PAP - Password”一欄輸入和確認用戶密碼；在“Group to which the user is assigned” 一欄選擇"VPN3030 USERS"組。根據(jù)需要修改其他用戶屬性，如指定IP地址等。
　　三.VPN3030配置：
　　首先確保配置前能夠用VPN3030設(shè)置的內(nèi)置帳號建立VPN連接。
　　登錄VPN3030的WEB管理界面：http://10.1.1.18。
　　選擇: Configuration > System > Servers > Authentication，點擊Add。
　　選擇Radius協(xié)議，輸入認證服務(wù)器地址10.1.1.51及共享的密匙：“cisco”。
　　Authentication和Accounting的端口號分別是UDP 1645和UDP1646,均為默認值。
　　通過Test功能進行認證測試，成功后保存配置。
　　記帳服務(wù)的配置：Configuration > System > Servers > Accounting參數(shù)同上。
　　選擇: Configuration > User Management > Groups 并點擊Add。
　　在Identity(識別)配置夾中輸入組名Group Name[本安裝中輸入ext]、組密碼Password[ciscoacs]并設(shè)置組類別Type為：internal。請務(wù)必在VPN客戶端配置相同的組名和密碼。在IPSec配置夾中選擇Tunnel Type為“Remote-Access”; Authentication為“RADIUS”; 選中“Mode Config”多選框。
　　應(yīng)用(Apply)并保存配置。
　　如需為某些組配置不同的Radius服務(wù)器，可點擊組屬性中的“Modify Auth. Servers”。
　　四.查看日志:
　　記帳信息：Reports and Activity > RADIUS Accounting
　　 失敗的認證記錄：Reports and Activity > Failed attempts
　　當前登錄的用戶信息：Reports and Activity > Logged-in Users