《Cisco技术网》-基于Windows 2000和NT的Cisco Secure访问控制服务器（ACS）

基于Windows 2000和NT的Cisco Secure访问控制服务器（ACS） V.2.6

点击下载

关键功能和优点

Cisco Secure ACS是一种强大的访问控制服务器，能够为需要增加自己WAN连接的任何组织提供所需要的多种性能和可扩展性：

易用性-基于Web的用户界面简化了用户特征文件、群组特征文件和ACS的配置，并可以对这些配置进行分发
扩展性-Cisco Secure ACS的设计目标是通过支持冗余服务器、远程数据库和用户数据库备份服务来支持大型网络环境
可延长性-轻便目录访问协议（LDAP）身份验证转发功能可以支持通过领先的目录供应商对存储在目录中的用户特征文件进行身份验证，这些供应商包括Netscape、Novell和Microsoft等
操纵-通过对Windows 2000 Active Directory和NT数据库的支持，可以对Windows用户名/密码管理进行合并，并利用 Windows的性能监视器进行实时的统计查看
管理-通过为每个Cisco Secure管理员设定不同的访问级别以及网络设备分组能力，可以使控制更加容易，并获得最大的灵活性，以促进网络中所有设备的安全策略管理的加强和改变
产品灵活性-因为Cisco IOS软件拥有嵌入AAA支持，所以ACS可以被用于几乎所有Cisco销售的网络访问控制器（NAS）（Cisco IOS必须能够支持RADIUS或TACACS+）
协议灵活性-Cisco Secure ACS同时包含了对TACACS+和RADIUS的支持，可以在IP协议安全、IPsec和PPTP隧道的源端和终端支持VPN或拨号，从而能够提供灵活的解决方案
集成-与Cisco IOS路由器和VPN解决方案的紧密结合可以提供象多机箱多链路点对点协议（Multichassis Multilink Point-to-Point Protocol）和Cisco IOS命令授权这样的功能
第三方支持-基于RSA SecurID、Axent技术、安全计算和CrytoCard的令牌服务器
控制-时间动态限额、网络使用、登录会话数量以及访问时间的限制功能

硬件和软件要求

实现所必需的配备：

您的Windows 2000或Windows NT服务器必须满足以下最低硬件要求：Pentium处理器，350MHz或更快
Windows 2000服务器或NT服务器4.0版或更高；英语版本；服务软件包6.0或更高；有关其他兼容的服务软件包的版本信息参见版本注释
128MB RAM
至少150MB的自由磁盘空间；如果您在同一计算机上运行数据库，则要求的自由空间更多
256色显示器，最小分辨率800(600

软件要求

您的Windows 2000或NT服务器必须满足以下最低软件要求：NAS必须运行Cisco IOS 11.2或更高，或必须使用能够通过TACACS+或RADIUS进行配置的第三方设备

订购信息

下表列出了Cisco Secure ACS V.2.6 for Windows 2000 & NT的产品编号。注意，Cisco Secure ACS V.2.6是按每服务器发放许可证的。对已获得许可服务器的用户数量或所使用的端口数量没有限制。

产品和部件编号

表1 Cisco Secure访问控制服务器V.2.6的部件编号

部件描述	部件编号
Cisco Secure ACS V.2.6 for Windows 2000 & NT	CSNT-2.6
Cisco Secure ACS V.1.0/V.2.X for Windows NT 升级至 V.2.6	CSNT-2.6-UG
基于Windows 2000和NT的Cisco Secure软件应用支持	CON-SAS-CSNT

#p# 应用

Cisco 路由器初始部署

Cisco SDM 帮助 Cisco 合作伙伴和客户通过 Cisco SDM Express（图 4）和几种基于任务的智能向导快速安全地部署 Cisco 路由器。利用一步路由器锁定特性，可以先关闭 Cisco IOS Software 中所有不必要的服务，再将 Cisco 路由器与公共 Internet 或WAN 相连。

图4 Cisco SDM Express

Cisco SDM Express

Cisco 路由器批量部署

为了快速有效地批量部署采用出厂默认配置的 Cisco 路由器，可以将 Cisco SDM 与 Cisco CNS 2100 系列智能引擎集成在一起。在推广阶段，服务提供商和大企业可以灵活地使用 Cisco SDM 和 Cisco CNS 210 系列组合，或者允许未经培训的现场管理员在不使用 Cisco IOS Software CLI 的情况下下载最终 Cisco IOS Software 配置。

Cisco 路由器安全管理

Cisco SDM 能够帮助 Cisco 合作伙伴和客户容易地部署 Cisco IOS Software 安全特性：NAT、访问控制列表 (ACLs)、防火墙、IPS、和 IPSec VPN，并将这些安全特性与现有路由器配置和网络体系结构集成在一起。Cisco SDM 中的智能向导不但了解路由和安全特性的交互，还能指导用户一步步完成已经过 Cisco TAC 批准和测试的最终配置。利用 Cisco SDM 中的CLI 预览模式，专家用户可以在人工审核最终配置之后再将其交付给路由器。

Cisco 路由器运行管理

Cisco SDM 能够帮助 Cisco 合作伙伴和客户安全地（使用 SSL 和 SSH）远程管理路由器运行的各个主要方面：硬件和软件资产状况、接口状况、防火墙和 ACL 记录、VPN 通道状况、以及最近的系统记录消息。

图5Cisco 路由器的硬件和软件目录

Cisco 路由器的硬件和软件目录

总结

Cisco SDM 是为网络和安全管理员开发的能够提高生产率的有用工具。Cisco 合作伙伴可以使用 Cisco SDM 快速容易地部署 Cisco 路由器，实现 WAN 接入和网络安全特性。

Cisco 客户可以通过 Cisco SDM 降低 Cisco 路由器的总所有成本，因为他们可以使用由 Cisco 工程师进行过端到端测试，并已经过 Cisco TAC 批准的由 Cisco SDM 生成的配置。内置于 Cisco SDM 中的配置检查有助于减少配置出错机会。

产品规格

表 2 给出了 Cisco SDM 的主要特性和优点。表 3 给出了 Cisco SDM 的产品规格。

表2. Cisco SDM 的主要特性和优点
特性	优点
基于 Web 的嵌入式管理工具	使路由器成为带有自身管理工具的完整的安全远程接入解决方案不需要建立专用管理站允许从支持的任何台式机或笔记本电脑执行远程管理
基于 SSL 和 SSHv2 的安全远程接入	通过 WAN 提供安全管理
路由器状态简图	用图形方式快速汇总路由器硬件、软件和主要路由器服务，例如：VPN、防火墙、QoS 等等。
路由器安全审计	评估现有路由器的漏洞提供快速符合路由器最佳实践（Cisco TAC、ICSA 建议）的安全策略
一步路由器锁定	不需要有关安全性或 Cisco IOS Software 的专业知识，就能简化防火墙和 Cisco IOS Software 配置
多数常用路由器和安全配置任务都配有智能向导	生成由 Cisco TAC 批准的配置利用集成式路由和安全知识避免错误配置网络管理员不需要参加全面培训就能管理新的 Cisco IOS Software 安全特性轻松、经济、有效地保护现有网络基础框架
基于策略的防火墙和 ACL 管理（防火墙策略）	使安全管理员能够通过直观图形策略表快速地管理 ACL 和分组检查规则
IPS	在任何路由器接口上为来往流量快速、容易地提供经 Cisco 调试和推荐的高置信度攻击签名可以在不影响路由器基本操作的情况下动态更新 IPS 签名能够以图形方式定制 IPS 签名，以便立即对新蠕虫或病毒变种作出反应可以过滤签名并对所选签名执行批量配置更改（措施或严重程度）从IPS 引擎显示实时状态和错误信息
Cisco Easy VPN 服务器	为远程访问 VPN 用户提供基于向导的配置和实时监控提供与路由器或远程验证、授权和计账 AAA 服务器的集成
基于角色的访问	提供不同路由器管理员和用户之间的逻辑隔离根据每个管理员的要求，提供对 Cisco SDM 用户界面和 Telnet 界面的安全访问帮助使 Cisco 增值代理商和服务提供商可以向最终客户提供CPE 服务的图形只读视图提供出厂默认简档管理员防火墙管理员 Easy VPN 客户机用户只读用户
WAN 和VPN 故障排除	尽量利用路由器上的路由、LAN、WAN、和安全特性排除故障，以缩短平均修复时间 (MTTR) 利用路由器上的路由、LAN、WAN、和安全特性排除 IPSec VPN 或 WAN 链路的故障将第 2 层及更高版本的故障排除特性与 Cisco TAC 的恢复操作知识库结合在一起
QoS 策略	按照不同的业务需要（语音和视频企业应用、Web 等）简单有效地优化 WAN 和 VPN 带宽和应用性能三种预定类别：实时、关键业务、和最大努力
NBAR	按照预定服务策略，实时核实 WAN 和 VPN 带宽的应用使用情况提供流量性能监控
SSHv2	提供 PC 与 Cisco 路由器之间的安全管理自动使用 SSHv2 来执行 Cisco SDM 与路由器之间的所有加密通信
实时监控和记录	使管理员能够主动管理路由器资源和安全性，防止相关问题影响到网络上的关键业务应用
数字证书	提供可高度扩展的且安全性高于预共享密钥的解决方案通过 Cisco SDM、Cisco IOS 证书授权服务器、和轻松安全设备部署 (ExSDD) 的结合实现易用性和易部署性
实时网络和路由器资源监控	更快速、更容易地分析路由器资源和网络资源使用情况提供 LAN 和WAN 流量和带宽使用情况的图形表
基于任务的 Cisco SDM 用户界面	更快速、更容易地执行安全配置——IPSec VPN、防火墙、ACL、IPS 等等通过主页上的仪表板视图快速捕获路由器服务配置信息
Cisco SDM Express 路由器基于向导的部署	提供基本 WAN 接入配置的快速简单路由器部署非专家用户的理想路由器部署工具
基于 PC 的 SDM Cisco SDM 安装在基于 Windows 的 PC 上，而不是安装在路由器闪存上	在路由器 Cisco SDM 的闪存上不需要额外闪存空间管理 Cisco 路由器安装基础的理想工具
已经实现了六种语言的本地化	简化了路由器各国语言用户管理 Cisco SDM 用户界面和在线帮助已经翻译为日语、简体中文、法语、德语、西班牙语和意大利语（于2005 年 6 月上市） MS Windows OS 支持这些语言（现已上市）
集成式无线管理	Express Setup 向导能够简化无线接口的首次设置提供基于 Web 的高级配置和监控缩短启用无线接口所需要的时间，降低对人员的技能要求根据具体站点的需求灵活地定制无线配置和安全
IPS 供应改进	根据路由器型号快速部署 IPS 签名

表3. Cisco SDM 的产品规格（支持的最低 Cisco IOS 版本


支持的平台	Cisco 小型企业 101、Cisco 小型企业 106、Cisco 小型企业 107： - Cisco IOS 软件版本 12.3(8)YG Cisco 831 以太网宽带路由器、通过 ISDN 宽带路由器的 Cisco 836 ADSL、和 Cisco 837 ADSL 宽带路由器： - Cisco IOS 软件版本 12.2(13)ZH 或 12.3(2)T Cisco 851、856、871、876、877、和 878 集成多业务路由器： - Cisco IOS 软件版本 12.3(8)YI Cisco 1701 ADSL 安全接入路由器、Cisco 1710、1711、和1712 安全接入路由器、和 Cisco 1721、1751、1751-V、1760 和 1760-V 模块接入路由器： - Cisco IOS 软件版本12.2(13)ZH、12.2(13)T3、或 12.3(1)M Cisco 1801、1802、1803、1811 和 1812 集成多业务路由器： - Cisco IOS 软件版本 12.3(8)YI Cisco 1841 集成多业务路由器： - Cisco IOS 软件版本 12.3(8)T4 Cisco 2610XM、2611XM、2620XM、2621XM、2650XM、和 2651XM 以及 Cisco 2691 多业务平台： -Cisco IOS 软件版本 12.2(15)ZJ3、12.2(11)T6、或 12.3(1)M Cisco 2801、2811、2821、和 2851 集成多业务路由器： -Cisco IOS 软件版本 12.3(8)T4 Cisco 3725 和 3745 多业务接入路由器： -Cisco IOS 软件版本 12.2(15)ZJ3、12.2(11)T6、或 12.3(1)M Cisco 3825 和 3845 集成多业务路由器： -Cisco IOS 软件版本 12.3(11)T Cisco 7204VXR、7206VXR、和 7301 路由器： -Cisco IOS 软件版本 12.3(2)T 或 12.3(3)M；不支持 B、E、S 列
软件兼容性	对于前面提到的支持 Cisco SDM 版本的 Cisco IOS Software，可与所有 Cisco IOS Software 特性集兼容
连接性	HTTP 和 HTTPS、Telnet SSH、和 SSHv2
基本路由器配置参数	使用不同访问简档的用户域名系统 (DNS) DHCP 服务器和客户机 SNMP Telnet、SSH、SSHv2、和 vty 日期和时间、网络时间协议 (NTP) Syslog 恢复到出厂默认值主机名称、域名和标识
高级路由器配置参数	路由协议：静态 RIP v1 和 v2、OSPF 和 EIGRP NAT（静态和动态） ACL QoS 策略、NBAR 建立在 Cisco EtherSwitch® 端口上的 VLAN IP 代理地址解析协议 (ARP)、Internet 控制消息协议 (ICMP)、重定向、ICMP 不可到达、ICMP 掩码应当和定向广播 AAA 本地或远程配置
可配置的路由器接口	以太网（10、10/100 和 10/100/1000 Mbps） 802.11 a, 802.11 b/g xDSL（非对称 DSL [ADSL] 和 G.SHDSL） T1/E1 （串行） ISDN 基本速率接口（BRI；具有多个优先等级）模拟调制解调器
支持的 WAN 封装	帧中继 PPP 以太网 PPP (PPPoE) ATM PPP (PPPoA) RFC 1483 路由 HDLC ADSL 自动检测
可配置的 VPN 参数	Internet 密钥交换 (IKE)、数字证书、数据加密标准 (DES)、三重 DES (3DES)、高级加密标准 (AES) 和压缩 IPSec 站点到站点 Cisco Easy VPN 服务器 Cisco Easy VPN Remote 通用路由封装 (GRE) 通道动态多点 VPN （DMVPN，集线器和辐条），包括带有冗余集线器动态辐条到辐条通道
支持的防火墙参数	基于前后关联的访问控制 (CBAC DMZ)、防火墙记录、防火墙和 ACL 策略视图、安全管理访问
支持的IPS 签名	针对入站或出站流量检查、签名精确调整、签名定制和 SDEE 错误消息显示的 IPS 规则
CiscoView 兼容性	可与 Cisco SDM 一起使用
Cisco CallManager Express 兼容性	可与 Cisco SDM 一起使用
性能	Cisco SDM 对路由器 DRAM 或 CPU 的影响可以忽略

系统要求

表4 列出了 Cisco SDM 的系统要求。

表4. 系统要求


路由器闪存	在路由器上为 Cisco SDM 文件提供的最低 6MB 闪速内存，或者在路由器上为 Cisco SDM Express 提供的最低 2MB 闪速内存。无线管理文件另需 1.7MB。其余 SDM 文件可以安装在 PC 硬盘上
PC 硬件	Pentium III 或更先进的处理器
PC 操作系统	Windows XP Professional Windows 2003 Server（标准版） Windows 2000 Professional Windows NT 4.0 Workstation (Service Pack 4) Windows ME 支持日语、简体中文、法语、德语、西班牙语和意大利语 OS Windows XP Professional Windows 2000 Professional
浏览器软件	Microsoft Internet Explorer 5.5 或更高版本 Netscape Navigator 7.1 和 7.2 Firefox 1.0.5
Java 软件	要求 Java Virtual Machine (JVM) 内置浏览器 Java 插接件（Java Runtime Environment Version 1.4.2_05 或更高版本）