Cisco ACS替代方案

Cisco ACS替代 Cisco ACS替代方案系列之一---Windows IASIT猫扑技术2009-05-14 00:45来源:Cisco网站作者:网络转载点击:322次 Cisco的ACS服务器可以提供完善AAA服务，包括认证、授权和记账的功能。但价格较高，不适合中小企业使用。我们可以使用windows IAS和域控制器来提供AAA中的认证功能，通过域用户和密码来管理网络设备，避免了更新设备密码的麻烦。 1)cisco设备配置 aaa new-model aaa authentication login test group radius local radius-server host x.x.x.x key cisco #x.x.x.x是windows IAS服务器地址 radius-server source-ports 1645-1646 radius-server directed-request user cisco pri 15 password cisco line vty 0 4 pri level 15 loging authentication test 2)windows IAS服务器配置 在windows administrative tools中选择internet authentication service，右键单击radius clients添加网络设备的ip和key。 在Remote Access Policies, 右键单击 Connections to Other Access Servers, and select Properties，将允许登陆网络设备的用户添加到policy condition框中，确保选中下面的Grant Remote Access Permissions。 点击Edit Profile，在Authentication页面中选中Unencrypted authentication (PAP, SPAP), MS?CHAP,和 MS?CHAP?v2，在Encryption页面中选中No Encryption。 3)验证认证服务功能 使用域用户和密码登陆网络设备，确认上述配置是否生效。 参考资料: mple09186a00806de37e.shtml Cisco ACS替代方案系列之二---Splunk 2009-05-12 21:58:31 标签:Splunk ACS Cisco AAA 原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。 Cisco的ACS服务器可以提供完善AAA服务，包括认证、授权和记账的功能。但价格较高，不适合中小企业使用。其实我们可以让Cisco网络设备本身记录配置的变更，并将变更的内容发送到syslog服务器上，然后由syslog定时将相关的记录过滤出来，通过邮件发送到指定的邮箱来实现记账的功能。 在这里我使用Splunk作为syslog服务器，splunk是linux下一款优秀的日志收集和分析软件，免费版可以提供每天500M的日志索引量，对于中小企业已经足够了。下面我们以cisco的交换机和防火墙为例: 1)cisco交换机配置 archive log config logging enable logging size 200 hidekeys notify syslog logging trap notifications logging x.x.x.x 2) cisco ASA5500配置 logging enable logging host inside x.x.x.x logging class config trap notifications 3)splunk基本配置 linux下splunk的安装具体见www.splunk.com，同时需要安装smtp邮件系统，我使用的是postfix。安装完成后通过IE访问splunk管理页面。在admin页面中定义使用udp 514端口接受syslog日志。 4)splunk报警配置 在搜索框中输入以下条件，并点击搜索框左边的小箭头，选择‘save search’。 %ASA-5-111008 OR %PARSER-5-CFGLOG_LOGGEDCMD startminutesago=60 在‘save search’的定义页面中选择以下选项， 选中 Run this search on a schedule schedule:run every hour alert:alert when number of event greater than 1 send email : xxx@xxx.com 选中 include results 5)验证邮件报警功能 在交换机或者防火墙上修改配置，splunk将每隔60分钟搜寻一下前60分钟收到的日志，将与配置变更有关的内容自动发送到你指定的邮箱中，邮件范例如下: From: splunk@localhost To: xxx@xxx.com Content:Saved search results. Name: 'Config Change' Query Terms: 'now=1242100800 %ASA-5-111008 OR %PARSER-5-CFGLOG_LOGGEDCMD startminutesago=60' Alert was triggered because of: 'Saved Search [Config Change]: number of events(16) greater than 1' Search results attached: attachment: %PARSER-5-CFGLOG_LOGGEDCMD: User:xxx logged command:service timestamps log datetime 本文出自 “edwardlee” 博客，请务必保留此出处