思科ACS网络设备安全管理方案.pdfVIP

思科ACS网络设备安全管理方案

一、网络设备安全管理需求概述

就北京中行网络布局来看，网络的基础设施包含几百个网络设备。在网络

上支撑的业务日益关键，对网络安全和可靠性要求更为严格。

可以预测的是，大型网络管理需要多种网络管理工具协调工作，不同的网络

管理协议、工具和技术将各尽其力，同时发挥着应有的作用。比如：对于Telnet

网络管理手段。有些人可能会认为，今后这些传统的设备管理手段，会减少使用

甚或完全消失。但实际上，Telnet命令行设备管理仍因其速度、强大功能、熟悉

程度和方便性而广受欢迎。尽管其他网络设备管理方式中有先进之处，基于Telnet

的管理在未来依然会是一种常用管理方式。

随着BOC网络设备数量的增加，为维持网络运作所需的管理员数目也会随

之增加。这些管理员隶属于不同级别的部门，系统管理员结构也比较复杂。网络

管理部门在开始了解，如果没有一个机制来建立整体网络管理系统，以控制哪

些管理员能对哪些设备执行哪些命令，网络基础设施的安全性和可靠性问题是无

法避免的。

二、设备安全管理解决之道

建立网络设备安全管理的首要出发点是定义和规划设备管理范围，从这一点

我门又可以发，网络设备安全管理的重点是定义设备操作和管理权限。对于新

增加的管理员，我们并不需要对个体用户进行权限分配，而是通过分配到相应的

组中，继承用户组的权限定义。

通过上面的例子，我们可以发网络安全管理的核心问题就是定义以下三个

概念：设备组、命令组和用户组。设备组规划了设备管理范围；命令组制定了操

作权限；用户组定义了管理员集合。根据BOC的设备管理计划，将它们组合在

一起，构成BOC所需要的设备安全管理结构。

安全设备管理包括身份验证Authentication授权Authorization和记帐

Accounting三个方面的内容。例如：管理员需要通过远程1Qgin或是本地Iyogin

到目标设备，能否进入到设备上，首先要通过严格的身份认证；通过身份验证的

管理员能否执行相应的命令，要通过检查该管理员的操作权限；管理员在设备上

的操作过程，可以通过记帐方式记录在案。

AAA的应用大大简化大型网络复杂的安全管理问题，提高设备集中控制

强度。目前AAA在企业网络中越来越成为网络管理人员不可缺少的网络管理工

具。

CiscoSecureACS3.1以后的版本提供的Shell壳式授权命令集提供的工具可使

用思科设备支持的高效、熟悉的TCP/IP协议及实用程序，来构建可扩展的网络

设备安全管理系统。

三、CiscoACS帮助BOC实现设备安全管理

熟悉CiscoIOS的用户知道，在K)S软件中，定义16个级别权限，即从

到15。在缺省配置下，初次连接到设备命令行后，用户的特权级别就设置为1。

为改变缺省特权级别,您必须运行enable启用命令，提供用户的enablepassword

和请求的新特权级别。如果口令正确，即可授予新特权级别。请注意可能会针对

设备上每个权利级别而执行的命令被本地存储于那一设备配置中。超级管理员可

以在事先每台设备上定义新的操作命令权限。例如：可修改这些级别并定义新级

别，如图1所示。

______________________图1启用命令特权级别示例______________________

enablepasswordlevel13pswdl0

privilegeexeclevel10clearline

privile-jeexec1-5vel10jebugpppchap

privilegeexecleve-110