ACS for VPN3000设置实例(2)

　　使用ACS光盘上的Install程序交互完成安装。主要选项为：

　　1.是否保留现有数据库: 全新安装回答“否”;升级安装回答“是”。

　　2.是否导入配置：如需导入已保存的配置回答“是”。

　　3.只使用ACS的用户数据库或同时使用Windows系统用户数据库:根据需要选择，本安装选择“只使用ACS的用户数据库”。

　　4.“Authenticate Users Using”认证协议：选择“Radius(Cisco VPN 3000)”。

　　5.“Access Server Name”访问服务器名称：输入“VPN3030”。

　　6.“Access Server IP Address”访问服务器IP地址：输入“10.1.1.18”。

　　7.“Windows NT Server IP Address” ACS服务器的IP地址：自动设为“10.1.1.51”(本机地址)。

　　8.“TACACS+ or RADIUS Key”共享的密匙：输入“cisco”。

　　9.选择要显示的属性：全选。

　　10.“Remedial Action on log-in failure”登录失败时的措施：Script to Exec: *Restart ALL

　　完成安装后，通过web界面管理ACS,地址为:http://127.0.0.1:2002(或真实IP),注意在本机上管理时无需登录。

　　二.ACS配置：

　　登录ACS的WEB管理界面：http://10.1.1.51:2002。

　　检查网络配置：选择Network Configuration，点击“VPN3030”可检查或修该安装过程中对Access Server的定义(参数见上一节)。

　　检查接口配置：选择Interface Configuration,点击“Radius Cisco VPN 3000”，如需通过ACS设置用户组的VPN3000专有属性，请选中各项Group [26] Vendor-Specific属性，然后可以在组属性中进行设置。如需设置特定用户的VPN3000专有属性，您还需在Interface Configuration / Advanced Options中先选定“Per-User TACACS+/RADIUS Attributes”。一般而言，通过VPN3030中的组属性页面管理这些属性更为方便，推荐使用。某些属性，如为用户制定特定的IP地址，并不属于VPN3000的专有属性，因而也无需启用Vendor-Spec。