ACS5.6实现华三交换机的TACACS认证

配置案例； 使用管理员权限实现H3C交换机接入的TACACS认证

一、登陆系统；默认用户名为acsadmin密码为default

二、服务器端：

1、创建用户（登陆网络设备的用户）

填写用户信息，带*为必填

2、设置用户登录级别

定义用户名

设置默认权限和最高权限（如果需要设置其他权限可以自己定义）

3、设置命令授权级别

4、创建设备认证策略

三、设备端配置

H3C 交换机

hwtacacs scheme 定义TACACS名称

 primary authentication“认证服务器地址”

 primary authorization“认证服务器地址”

 primary accounting“认证服务器地址”

 key authentication“认证密钥”

 key authorization“认证密钥”

 key accounting“认证密钥”

 user-name-format without-domain

#

domain TACACS名称

 authentication login hwtacacs-schemefywasu_tacacs local

 authentication super hwtacacs-schemefywasu_tacacs  local

 authorization command hwtacacs-schemefywasu_tacacs  local

 accounting command hwtacacs-schemefywasu_tacacs  local

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

domain defaultenable fywasu_tacacs   指定定义的TACACS域为默认认证域

user-interface vty 015

 authentication-mode scheme

 user privilege level 3

Navigator 1-1 其实就是一个带路由功能的多口adsl modem，其真正型号是大亚DB120-B1。按照普通adsl ，modem的路由设置即可。

第一步，设置计算机的IP地址，Navigator 1-1 的lan口地址是192.168.1.1，只需要将pc的ip设置成跟它一段就行了

第二步，链接电脑到Navigator 1-1 的网线，随便接到一个lan口上就行了，然后打开Ie，如下图

默认账号：telecomadmin 密码：nE7jA%5m 设备ip地址：192.168.1.1 这是超管密码，进去后和普通用户登陆的界面内容是不一样的

接下来，就可以通过Navigator 1-1 上网了。记得对无线进行加密哦。可以保留原来的默认密码，也可以在网络-WALN设置中进行设置。

最后，如果你不想电信来干涉你的设置，最好把“网络-远程管理”的TR-069客户端配置设置为不可用。至于其他的应用，跟宽带路由器差不多了，不罗嗦了

领航者Navigator 1-2

（2）在登录窗口中输入管理员用户名和密码（缺省用户名为“useradmin”，缺省密码为“admin!@#$%”^），点击【登录】按钮。密码验证通过后即可进入本产品的配置界面，如下图所示：

6．配置TR069管理平台的URL

在本产品配置界面左侧的导航栏中选择“【高级设定】 >【TR069】”，出现【TR069】界面。ACS 服务器地址：http://202.102.15.115:6060/ACS-server/ACS（IP方式）

或者http://bbms.jsinfo.net:6060/ACS-server/ACS （域名方式）

ACS 验证网关用户名：navigator

密码：navigator

网关验证ACS用户名：bbms

密码：bbms

注：由于设备原因，使用域名方式的ACS服务器地址可能信息上传不了BBMS平台，请改成IP方式的服务器地址试试

7．SNMP配置

“高级设定”－“远程管理”－“SNMP”

端口：161

接入状态：WAN

可信任客户端IP地址：默认全部

获得Community：读口令，设置为navigator

设置Community：写口令，设置为navigator

完成后点击“保存”

8．BBMS平台操作（获取设备最新密码）

设备配置好，可以上网后，登陆BBMS系统http://bbms.jsinfo.net:8080/bbms/loing.jsp

BBMS系统 登陆用户名：wxanzhuang 登录密码：123456 登陆域：wxadmin.com

在BBMS系统中会生成该终端设备信息。BBMS系统会生成终端设备超级用户名的密码。

业务管理---现场安装---企业网关手工安装----设备序列号查询------详细信息，记录下电信维护密码，重新登陆需用新密码。

9．绑定操作

BBMS：业务管理---现场安装---企业网关手工安装

设备序列号查询：输入设备背面设备标识的最后6位序列号 à 查询到后选中该设备

在用户宽带帐号/专线号：填入宽带帐号 à 出现用户对应的企业相关信息点击保存

à绑定成功

如果按“下一步”后，没有对应的企业信息，则出现如下界面：

此情况多为前台工单没有选择赠送终端信息，上报处理。

若用户端设备损坏更换，需重新绑定新的终端，则联系综调进行解绑处理。

ACS是思科安全访问控制服务器。

思科安全访问控制服务器（Cisco Secure Access Control Sever）是一个高度可扩展、高性能的访问控制服务器，提供了全面的身份识别网络解决方案，是思科基于身份的网络服务(IBNS)架构的重要组件。

Cisco Secure ACS 解决方案引擎是一款高度安全、独立于 OS 的专用平台，提供了高度可管理的

访问控制解决方案，进一步缩短了设置和排障时间。

它提供了即插即用部署，一个高度可靠的验

证、授权和记帐（AAA）解决方案，且能更好地保护总拥有成本（TCO）。每个 Cisco Secure ACS

解决方案引擎都配有一个 Cisco Secure ACS 远程代理，支持远程登录和 Windows 验证。

扩展资料：

关键特性：

1、仅运行 Cisco Secure ACS 服务，以防止任何基于设备的 OS 更改、添加或配置修改。

2、提供了一个串行控制台接口，以用于初始配置、随后对 IP 连接的管理、接入 Cisco Secure ACSHTML 接口，以及升级和恢复过程的应用。

3、解决方案引擎专用管理工具提供了通用设备管理功能，包括备份、恢复、软件升级、监控、维护和排障功能。

4、提供了针对 Windows 域的验证和远程用户帐户记录功能。

5、分组过滤服务，可阻塞除必要的 Cisco Secure ACS 专用 TCP 和用户数据报协议端口外所有端口上的流量。

6、预先安装的独立思科安全代理有助于保护 Cisco Secure ACS 解决方案引擎免遭“零日”攻击。

7、内置 NTP 功能可保持网络时间同步及与其他 Cisco Secure ACS 设备或网络设备的一致性。

---