CiscoSecureACS用户和用户组的有AAA客户.PDF

Cisco Secure ACS ：用户和用户组的有AAA客户 端的网络访问限制 Contents Introduction Prerequisites Requirements Components Used Conventions 网络访问限制 关于网络访问限制 添加共有的NAR 编辑共有的NAR 删除共有的NAR 设置用户的网络访问限制 设置用户组的网络访问限制 Related Information Introduction 本文描述如何用AAA客户端配置网络访问限制(NAR)在思科安全访问控制服务器(ACS) 4.x版本(包括 路由器， PIX， ASA，无线控制器)用户和用户组的。 Prerequisites Requirements 本文被创建，假设适当配置Cisco Secure ACS和AAA客户端并且工作。 Components Used 本文的信息根据Cisco Secure ACS 3.0及以上版本。 The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command. Conventions Refer to Cisco Technical Tips Conventions for more information on document conventions. 网络访问限制 此部分描述NARs，并且提供详细指令配置与管理共有的NARs。 此部分包含这些题目： 关于网络访问限制 添加共有的NAR 编辑共有的NAR 删除共有的NAR 关于网络访问限制 NAR是定义，您在ACS做您必须符合的，另外的情况，在用户能访问网络前。ACS适用这些情况通 过使用信息从您的AAA客户端发送的属性。虽然您能设置NARs用几个方式，所有根据AAA客户端 发送的配比的属性信息。所以，您必须了解属性的格式和内容您的AAA客户端发送，如果要使用有 效NARs。 设置 NAR 时，可以选择过滤器是积极运行还是消极运行。即在NAR您是否指定根据从AAA客户端 发送的信息允许或拒绝网络访问，当与在NAR存储的信息比较。不过，如果 NAR 没有充足的信息 以运行，将会默认为拒绝访问。此表显示这些情况： 基于IP的 基于的非IP 不足的信息 许可证 被准许的访问 拒绝访问 拒绝访问 拒绝 拒绝访问 被准许的访问 拒绝访问 ACS支持NAR过滤器的两种类型： 基于IP的过滤器—基于IP的NAR过滤根据终端用户客户端和AAA客户端的IP地址的限制访问。 欲知更多信息，请参阅基于IP的NAR过滤器部分。 基于非IP的过滤器—基于非IP的NAR过滤根据从AAA客户端发送的值的简单的串比较的限制访 问。值可以是主叫线路识别(CLI)编号、拨号号码识别服务(DNIS)编号、MAC地址，或者起源于 客户端的另一值。为了使运行此种的NAR，在NAR说明的值必须完全地匹配什么从客户端被发 送，包括使用任何格式。例如，电话号码(217) 555-4534不匹配217-555-4534。欲知更多信息 ，请参阅基于非IP的NAR过滤器部分。 可以针对某个特定用户或用户组定义一个 NAR，然后将其应用到该用户或用户组。请参阅集网络访 问限制关于用户或设置用户组部分的网络访问限制欲知更多信息。然而，在ACS的共享配置文件组 件部分您能创建和命名共有的NAR，无需直接援引任何用户或用户组。您给予共有的NAR可以被参 考ACS Web接口的其他部分的一个名字。然后，当您组成用户或用户组时，您什么都不能选择，一 个或者多个共有的限制适用。当您指定多个共有的NARs的应用程序给用户或用户组时，您选择两 个访问标准之一： 所有所选的过滤器必须允许。 所有一台所选的过滤器必须允许。 您必须了解与不同种类的NARs有关的优先级顺序。这是NAR过滤命令： 1.