认识和了解网络工程的Cisco安全

　　ACS现在的市面上有很多企业级认证服务器,但它们们仍缺少将TACACS+和RADIUS协议统一到一个解决方案的能力。幸运的是,用于Windows服务器的Cisco安全ACS(SecureACSforWindowsServer,ACS)可同时为TACACS+和RADIUS二者提供一个单一的AA解决方案。

　　CiscoACS产品家族是一种高可扩展、高性能的接入控制服务器,可被用来在支持RADIUS或TACACS+或同时支持这二者的网络中控制对所有网络设备的管理性接入和配置。Cisco安全ACS具有以下优点。在集中式身份标识网络解决方案中,使用策略控制来结合认证、用户接入和管理员接入对接两种可用的安全机制基于ACL的限制由NTPv3或更高版本提供的加密验证机制。NTP3或更高版本支持在NTP对等体间的加密验证机制。除了指定允许哪些网络设备与其他网设备进行同步的ACL,验证机制可以降低被攻击的风险。

　　为了保护NTP流量,强烈建议使用NTP3或更高版本。在NTP主服务器和客户端使用如下命令:ntpauthenticatentpauthentication-keykeynumberadskntptrusted-keykey-number验证机制是为保证客户端能从经过验证的服务器获取时间。没有配置验证的客户端仍可以从服务得时间。不同之处在于客户端不能验证服务器是否是安全的源。可使用showntpassociationsdetail命令来确定服务器是经过验证的源。注意:关键值也可以在ntpserverntp-server-address命令中作为一个参数来设置CCP可以让管理员查看配置的NTP服务器信息、添加新的信息以及编辑或删除已有信息使用CCP添加NTP服务器要4个步骤。

　　步骤1选择Configure>Router>Time>NTPandSNTP,出现NTP栏,显示所有已配置的NTP服务器信息。

　　步骤2要添加NTP服务器,单击Add,出现AddNTPServerDetails窗口。步骤3如果路由器配置了域名系统(DNS),可以使用名字添加NTP服务器,也开始使用P地址。如要使用P地址,在靠近NTPServerIPAddress选项中的字段中输入IP地址。如果组织没有NTP服务器,管理员可能要使用公有的服务器,如从服务器列表中选择,这可以在hpe/upportntp.org/bin/view/Servers/Webhome中找到。

　　步骤3(可选)从NTPSourceInterface下拉列表中,选择用于与NTP服务器通信的路由器接口。NTPSourceInterface是一个可选字段。如果保持空白,NTP消息将从路由表中离NTP服务器最近的接口发出步骤5如果这台NTP服务器已经被选定为首选的服务器,请选择Prer。

　　小编结语：首选的服务器将先于其首选的NTP服务器进行连接。可以有不止一台作为首选。步骤6如果NTP服务器使用了验证,选择AuthenticationKey并输入键编号(keynumber)和键值(keyvalue)最后我们单击OK,结束添加服务器。