网络设备身份验证与授权部署指南

1智能业务平台大型企业无边界网络智能业务平台网络设备身份验证与授权部署指南修订版：2011年上半年文档目的《网络设备身份验证与授权部署指南》是《面向大型企业的思科®智能业务平台—无边界网络局域网、广域网和互联网边缘部署指南》的配套文档。本指南为部署思科安全访问控制系统（ACS）提供了一个简明参考。•“前言”部分包括“业务概述”和“技术概述”两部分内容。业务概述部分简要介绍了通常推动部署集中身份验证、授权和记帐（AAA）系统的业务问题；技术概述部分介绍了CiscoSecureACS的功能，以帮助解决“业务概述”中描述的业务问题。•“部署详情”部分详细介绍了部署CiscoSecureACS，将其作为大型企业网络设备的中央AAA系统的流程和程序。本指南的目标受众本指南面向具有以下全部或部分特点的读者：•拥有2000-10,000名联网员工•希望对负责管理大型企业中网络设备的用户集中进行身份验证和授权•希望更好地管理哪个网络管理员可以访问哪些网络设备•希望控制用户在管理网络设备时所拥有的访问级别•拥有具备CCNA®认证或同等资质的IT员工•希望部署经过严格测试的解决方案相关文档在阅读本指南前，您还可阅读局域网部署指南可选文档互联网边缘部署指南广域网部署指南设计指南部署指南基础架构部署指南局域网广域网互联网边缘补充指南补充指南补充指南网络设备身份验证与授权IBA您在这里IBA智能业务平台概述面向大型企业的思科®智能企业网络架构是一种业界通用的网络架构，通过使用有线、无线、安全、广域网和互联网边缘模块创建出一个简单易用、灵活、且可扩展的网络。它采用了一种可靠的、包含完善支持服务的标准化设计模板，可有效消除集成不同网络组件带来的挑战。面向大型企业的思科智能业务平台的无边界网络，旨在满足拥有2000至10,000名员工的大型企业的常见需求。由于每个企业组织都是独一无二的，因此它们的要求也各不相同。为此，我们确保思科智能业务平台能够灵活添加额外的功能，而无需重新设计整个网络架构。思科智能业务平台分为三个主要模块化层：网络基础、网络服务和用户服务。为了在企业办公地点的内网和外网都能可靠地交付业务应用和服务，这三个层次必须协调一致地工作，否则语音、视频和数据可能会传送失败甚至遭到破坏，致使您的企业面临风险。图1.智能业务平台模型本指南是《面向大型企业的智能业务平台—无边界网络局域网、广域网和互联网边缘部署指南》的配套文档。读者提示如欲了解有关思科IBA智能业务平台的更多信息，请访问：如需要注册快速报价工具(QPT)，请访问用户服务网络服务语音、视频、Web会议安全、广域网优化、访客接入路由、交换、无线和互联网网络基础架构IBA智能业务平台概述目录前言......................................................................................................................................................................................1业务概述..............................................................................................................................................................1技术概述..............................................................................................................................................................1部署详细信息...............................................................................................................................................................2附录A:大型企业网络设备身份验证和授权部署指南产品列表......................................18附录B:面向大型企业的IBA智能业务平台文档体系............................................................19本手册中的所有设计、规格、陈述、信息和建议（统称为“设计”）均按“原样”提供，可能包含错误信息。思科及其供应商不提供任何保证，包括但不限于适销性、适合特定用途和非侵权保证，或与交易过程、使用或贸易惯例相关的保证。在任何情况下，思科及其供应商对任何间接的、特殊的、继发的或偶然性的损害均不承担责任，包括但不限于由于使用或未能使用本手册所造成的利润损失或数据丢失或损害，即使思科或其供应商已被告知存在此类损害的可能性。这些设计如有更改，恕不另行通知。用户对于这些设计的使用负有全部责任。这些设计不属于思科、供应商或合作伙伴的技术建议或其它专业建议。用户在采用这些设计之前应咨询他们的技术顾问。思科未测试的一些因素可能导致结果有所不同.文中使用的任何互联网协议（IP）地址均非真实地址。文中的任何举例、命令显示输出和图示只用作说明之用。在图示中使用任何真实IP地址均属无意和巧合。CiscoUnifiedCommunicationsSRND（基于CiscoUnifiedCommunicationsManager7.x）。©2011思科系统公司。保留所有权利。目录前言1前言业务概述不同类型的IP数据的持续爆炸式增长，以及绝对数据量的逐年增加，使得网络基础设施中的路由器、交换机、防火墙和无线局域网控制器等网络设备也相应地持续增长。企业网络基础设施中可能包含数百台、甚至上千台网络设备。控制和监视网络的变化，对于通过网络提供关键服务的网络系统的可用性要求至关重要。如果单独在每台设备上控制和监视网络变化，如此多的网络设备无疑增加了网络管理的困难度和复杂性。随着典型网络中网络设备数量的不断增加，保证网络正常运营所需的网络管理员的数量也在不断增加。这些管理员不可避免地分布在整个企业组织内，并且可能归属于不同的部门。网络和企业的规模越大、越复杂，所形成的系统管理结构就会变得越复杂。如果没有一种机制来控制哪内管理员能够在哪些设备上执行哪些命令，就不可避免地会造成网络基础设施的安全性和可靠性问题。技术概述CiscoSecureACS是一款集中身份识别和访问策略控制的解决方案，将企业的网络访问规则与身份识别策略结合在一起的单一解决方案。CiscoACS以集中式AAA服务器的方式，在单一解决方案中整合了用户身份验证、用户和管理员访问控制、以及策略控制功能。CiscoSecureACS5.2使用基于规则的策略模式，所支持的安全策略不仅能够基于用户身份来授予不同的访问权限，还能够基于其它许多不同的属性和条件来授予访问权限。CiscoSecureACS的强大功能与网络设备上的AAA配置相结合，可有效减少在每台设备上保存静态本地帐户信息可能导致的管理问题。CiscoSecureACS能够集中控制身份验证工作，从而使企业能够快速授予或取消用户对全网中任意网络设备的访问。基于角色将用户映射到身份组的工作,可以基于外部目录或身份存储库中可用的信息来完成，如Microsoft®ActiveDirectory®。网络设备可以被分配进多个设备组，每一个设备组可以根据诸如位置、制造商或在网络中的角色等属性，组成一个层次结构来发挥作用。身份和设备组的组合支持轻松创建授权规则，定义哪些网络管理员可以针对哪些设备进行身份验证。此外，这些相同的授权规则还支持权限级别授权。权限级别授权可用于为一台设备上的命令提供有限的访问。CiscoIOS软件拥有16个权限级别：0到15。缺省情况下，当第一次连接到设备命令行界面时，用户的权限级别设定为1。权限级别1包括deviceprompt下的所有用户级命令。要改变此权限级别，用户必须运行Enable命令并提供Enable密码。如果密码正确，则授予权限级别15，这包括device#prompt下的所有启用级别命令。授权规则可分配最低和最高权限级别。例如，它们可让管理员一经登录就获得Enable级别的访问权限，并限制帮助台用户仅能使用用户级命令。备注部署详细信息2部署详细信息以下程序概要介绍了部署CiscoSecureACS以进行网络设备管理的步骤。其中包含设置两个策略的指导，以便为帮助台用户和网络管理员分配不同的权限。这些过程说明了如何配置CiscoSecureACS，以便分别使用MicrosoftActiveDirectory、本地身份存储库来对用户进行身份验证，并且从活动目录服务中获得组成员信息，。针对您购买的每个CiscoSecureACS5.2许可，一个产品授权码（PAK）会以粘贴标签的形式贴在您包装内的软件许可授权卡的底部。请仔细按照该卡片上的说明，通过互联网完成客户注册。您必须提交所收到的PAK码，以便为您的系统获取有效的许可文件。对于您提交的每个PAK码，都会生成一个许可文件并通过电子邮件发送给您。您应将此许可文件保存到磁盘。您在设置CiscoSecureACS时必须安装这些许可文件。步骤1：启动CiscoSecureACS例程。在出现登录提示时，输入“setup”，然后按Enter（回车键）。**********************************************Pleasetype‘setup’toconfiguretheappliance**********************************************localhostlogin:setup步骤2：设置程序将带您完成一系列步骤。输入如以下示例所示的平台参数：Press‘Ctrl-C’toabortsetupEnterhostname[]:acsEnterIPaddress[]:10.4.48.17EnterIPdefaultnetmask[]:255.255.255.0EnterIPdefaultgateway[]:10.4.48.1EnterdefaultDNSdomain[]:cisco.localEnterPrimarynameserver[]:10.4.48.10Add/Editanothernameserver?Y/N:NEnterusername[admin]:Enterpassword:********Enterpasswordagain:********Bringingupnetworkinterface...Pingingthegateway...Pingingtheprimarynameserver...Donotuse‘Ctrl-C’fromthispointon...ApplianceisconfiguredInstallingapplications...Installingacs...Generatingconfiguration...Rebooting...步骤3：系统自动重启并显示CiscoSecureACS登录提示。在以后使用中，您可以使用在设置过程中配置的授权用户，通过控制台或SSH登录到CiscoSecureACS平台。步骤4：通过GUI（）登录到CiscoSecureACS。GUI登录是与您在设置过程中创建的平台登录不同的帐户。输入缺省的授权用户：acsadmin/default。系统将