Почему серверы ACS и управление устройствами TR-069 необходимы в 2022 году и далее
Поскольку все больше и больше устройств подключаются к Интернету, становится все более важным иметь надежный и эффективный способ управления ими всеми. Это где Серверы ACS и управление устройствами TR-069 входите. Серверы ACS обеспечивают централизованный способ управления большим количеством устройств, упрощая отслеживание их всех и обеспечение их бесперебойной работы. TR-069 — это стандарт связи между устройствами и серверами ACS, обеспечивающий совместимость всех устройств и эффективное управление ими. Вместе серверы ACS и управление устройствами TR-069 представляют собой мощное решение для масштабируемого управления устройствами, которое уже является и будет оставаться основополагающим для поставщиков телекоммуникационных услуг и интернет-провайдеров.
Итак… Что такое TR-069 Управление устройствами?
TR-069 — это техническая спецификация для удаленного управления клиентским оборудованием (CPE). Первоначально он был разработан Broadband Forum и с тех пор был принят рядом крупных производителей устройств.
TR-069 особенно важен для поставщиков услуг, которым необходимо удаленно управлять большим количеством CPE. Спецификация определяет ряд методов удаленной подготовки и управления CPE, включая настройку, мониторинг, диагностику и управление микропрограммой.
В последние годы TR-069 становится все более популярным, поскольку все больше и больше поставщиков услуг используют его в качестве основного метода управления CPE. Такая популярность объясняется рядом причин, но наиболее важной из них является то, что TR-069 обеспечивает очень эффективный и экономичный способ управления CPE. Поскольку все больше поставщиков услуг переходят на использование TR-069 для управления CPE, вполне вероятно, что популярность этой спецификации будет продолжать расти.
Как работает сервер ACS?
Сервер автоматической настройки (ACS) — это часть оборудования, которая помогает удаленно управлять настройками клиентских устройств (CPE). Для этого он связывается с CPE по протоколу TR-069. ACS обеспечивает ряд преимуществ для телекоммуникационных компаний и интернет-провайдеров, включая улучшенную поддержку клиентов и снижение эксплуатационных расходов.
ACS обычно используется для управления WiFi-маршрутизаторами, телевизионными приставками и модемами. Он может настраивать или изменять параметры CPE, такие как SSID и пароли WiFi, выбор канала и обновления прошивки. ACS также может контролировать состояние CPE и отслеживать статистику использования. Эта информация может быть использована для устранения неполадок клиентов и выявления потенциальных проблем с оборудованием.
Используя ACS, телекоммуникационные компании и интернет-провайдеры могут улучшить поддержку клиентов, сократив при этом время и деньги, затрачиваемые на управление CPE. Кроме того, ACS может помочь улучшить производительность сети, гарантируя, что все CPE правильно настроены и обновлены.
Please enable JavaScript
Так почему они так важны?
Как телекоммуникационная компания или интернет-провайдер, вы знаете, что предоставление надежных и стабильных услуг является ключом к тому, чтобы ваши клиенты были довольны. Вот почему так важно иметь надежную и хорошо управляемую серверную инфраструктуру. Один из лучших способов обеспечить оптимальную работу серверов — использовать ACS (сервер автоматической настройки) и управление устройствами TR-069.
Серверы ACS помогают автоматически настраивать сетевые устройства и управлять ими, упрощая отслеживание настроек и гарантируя бесперебойную работу. Они также могут помочь вам быстро и эффективно устранять неполадки. Управление устройствами TR-069 обеспечивает дополнительный уровень безопасности и контроля, позволяя удаленно управлять вашими устройствами и прошивкой. Это может помочь вам избежать потенциальных проблем и быстро принять корректирующие меры, если проблема все же возникнет.
И серверы ACS, и управление устройствами TR-069 являются важными инструментами для любой телекоммуникационной компании или интернет-провайдера. Они могут помочь вам обеспечить бесперебойную и эффективную работу вашей сети и обеспечить душевное спокойствие, зная, что ваши устройства защищены и находятся под контролем.
Будущее…
Будущее серверов ACS и управления устройствами TR-069 для брендов телекоммуникационных компаний и интернет-провайдеров является захватывающим. Рост Интернета вещей (IoT) приводит к увеличению количества подключенных устройств, а это стимулирует спрос на более сложные решения для управления устройствами. Серверы ACS являются важной частью этого уравнения, поскольку они обеспечивают платформу, на которой телекоммуникационные компании и интернет-провайдеры могут управлять своими устройствами. TR-069 — это стандартный протокол для управления устройствами, который используется серверами ACS для связи с устройствами. Этот протокол хорошо подходит для управления большим количеством устройств, и его можно масштабировать для удовлетворения потребностей будущих поколений подключенных устройств.
Телекоммуникационные компании и интернет-провайдеры, инвестирующие в серверы ACS и TR-069, теперь будут иметь хорошие возможности для использования возможностей, предоставляемых Интернетом вещей.
Курт Петеранс, генеральный директор компании по управлению устройствами Аксирос недавно заявил: «Решения IoT в масштабе миллионов вещей требуют автоматизированного и бесконтактного управления устройствами. Прогностическая аналитика и упреждающее обслуживание являются ключевыми факторами успеха. Кроме того, IoT Device Management должен автоматически классифицировать устройства по состояниям, которые контекстуально зависят от варианта использования. В противном случае они являются неэффективными решениями для хромой утки».
Acs session mgr что это
This chapter contains an overview of the Cisco Secure Access Control Server Release 4.0 Solution Engine, hereafter referred to as ACS.
The following topics are presented:
•Introduction to ACS
•ACS Features, Functions and Concepts
•Managing and Administrating ACS
•ACS Specifications
Introduction to ACS
ACS is a scalable, high-performance Remote Access Dial-In User Service (RADIUS) and Terminal Access Controller Access Control System (TACACS+) security server. As the centralized control point for managing enterprise network users, network administrators, and network infrastructure resources, ACS provides a comprehensive identity-based network-access control solution for Cisco intelligent information networks.
ACS extends network-access security by combining traditional authentication, authorization, and accounting (AAA — pronounced "triple A") with policy control. ACS enforces a uniform network-access security policy for network administrators and other network users.
ACS supports a broad variety of Cisco and other network-access devices (NADs), also known as AAA clients, including:
•Wired and wireless LAN switches and access points
•Edge and core routers
•Dialup and broadband terminators
•Content and storage devices
•Voice over IP (VoIP)
•Firewalls
•Virtual private networks (VPNs)
Figure 1-1 illustrates the role of ACS as a traditional network access control/AAA server.
Figure 1-1 A Simple AAA Scenario
ACS is a critical component of the Cisco Network Admission Control (NAC) framework. Cisco NAC is a Cisco Systems-sponsored industry initiative that uses the network infrastructure to enforce security-policy compliance on all machines seeking to access network computing resources, thereby limiting damage from viruses and worms. With NAC, network access to compliant and trusted PCs can be permitted, while the access of noncompliant devices can be restricted. See Figure 1-2.
Figure 1-2 ACS Extended to NAC
ACS is also an important component of the Cisco Identity-Based Networking Services (IBNS) architecture. Cisco IBNS is based on Extensible Authentication Protocol (EAP) and on port-security standards such as IEEE 802.1x (a standard for port-based network-access control) to extend security authentication, authorization, and accounting from the perimeter of the network to every connection point inside the LAN. New policy controls such as per-user quotas, virtual LAN (VLAN) assignments, and access-control lists (ACLs) can be deployed, due to the extended capabilities of Cisco switches and wireless access points to query ACS over the RADIUS protocol.
ACS Features, Functions and Concepts
ACS incorporates many technologies to render AAA services to network-access devices, and provides a central access-control function.
This section contains the following topics:
• ACS as the AAA Server
• AAA Protocols—TACACS+ and RADIUS
•Additional Features in ACS Version 4.0
ACS as the AAA Server
From the perspective of the NAD, ACS functions as the AAA server. You must configure the device, which functions as a AAA client from the ACS perspective, to direct all end-user host access requests to ACS, via the TACACS+ or RADIUS protocols.
TACACS+ is traditionally used to provide authorization for network administrative operations on the network infrastructure itself; RADIUS is universally used to secure the access of end-users to network resources.
Basically, the NAD serves as the network gatekeeper, and sends an access request to ACS on behalf of the user. ACS verifies the username, password and possibly other data by using its internal database or one of the configured external identity directories. ACS ultimately responds to the NAD with an access denied or an access-accept message with a set of authorization attributes. When ACS is used in the context of the NAC architecture, additional machine data, known as posture, is validated as well, before the user is granted access to the network.
AAA Protocols—TACACS+ and RADIUS
ACS can use the TACACS+ and RADIUS AAA protocols.
Table 1-1 compares the two protocols.
TACACS+
ACS conforms to the TACACS+ protocol as defined by Cisco Systems in draft 1.78. For more information, refer to the Cisco IOS software documentation at http://www.cisco.com .
RADIUS
ACS conforms to the RADIUS protocol as defined in the draft of April 1997 and in the following Requests for Comments (RFCs):
•RFC 2138, Remote Authentication Dial In User Service
•RFC 2139, RADIUS Accounting
•RFC 2284
•RFC 2865
•RFC 2866
•RFC 2867
•RFC 2868
•RFC 2869
The ports used for authentication and accounting have changed in RADIUS RFC documents. To support the older and newer RFCs, ACS accepts authentication requests on port 1645 and port 1812. For accounting, ACS accepts accounting packets on port 1646 and 1813.
In addition to support for standard Internet Engineering Task Force (IETF) RADIUS attributes, ACS includes support for RADIUS vendor-specific attributes (VSAs). We have predefined the following RADIUS VSAs in ACS:
•Cisco Building Broadband Service Manager (BBSM)
•Cisco IOS/PIX 6.0
•Cisco VPN 3000/ASA/PIX 7.x+
•Cisco VPN 5000
•Cisco Airespace
•Ascend
•Juniper
•Microsoft
•Nortel
ACS also supports up to 10 RADIUS VSAs that you define. After you define a new RADIUS VSA, you can use it as you would one of the RADIUS VSAs that come predefined in ACS. In the Network Configuration section of the ACS web interface, you can configure AAA clients to use a user-defined RADIUS VSA as the AAA protocol. In Interface Configuration, you can enable user-level and group-level attributes for user-defined RADIUS VSAs. In User Setup and Group Setup, you can configure the values for enabled attributes of a user-defined RADIUS VSA.
For more information about creating user-defined RADIUS VSAs, see Custom RADIUS Vendors and VSAs, page 9-19 .
Additional Features in ACS Version 4.0
ACS release 4.0 provides the following features that help fortify and protect networked business systems:
•SNMP Support—Cisco Secure ACS provides Simple Network Management Protocol (SNMP) support for the appliance only. The SNMP agent provides read-only SNMP v1 and SNMP v2c support. The supported Management Information Bases (MIBs) include:
–MIB-II (1213) for Network Management of TCP/IP-based internets
–MIB-II and LAN Manager MIB-II for Windows
–Host Resources MIB (RFC 1514/2790)
You use the appliance configuration page to configure the SNMP agent.
ACS release 4.0 does not introduce new features to the SNMP support.
•Cisco NAC support—ACS 4.0 acts as a policy decision point in NAC deployments. Using configurable policies, it evaluates and validates the credentials received from the Cisco Trust Agent (CTA, posture), determines the state of the host, and sends a per-user authorization to the network-access device: ACLs, a policy based access control list, or a private VLAN assignment. Evaluation of the host credentials can enforce many specific policies, such as OS patch level and antivirus DAT file version. ACS records the policy evaluation result for use with monitoring systems. ACS 4.0 also allows hosts without the appropriate agent technology to be audited by third party Audit Vendors, before granting network access. ACS policies can be extended with external policy servers to which ACS forwards posture credentials. For example, credentials specific to an antivirus vendor can be forwarded to the vendor's antivirus policy server, and audit policy requests can be forwarded to third-party audit products. For more information, see Chapter 14, "Posture Validation."
•Scalability improvements — ACS 4.0 has been upgraded to use an industry standard relational database management system (RDBMS), improving the number of devices (AAA clients) by tenfold and the number of users by threefold. There have also been significant improvements in performance (transactions per second) across the protocol portfolio that ACS supports.
•Network Access Profiles—ACS 4.0 supports a new feature called Network Access Profiles (NAPs). Profiles allow administrators to classify access requests according to network location, membership in a network device group (NDG), protocol type, or other specific RADIUS attribute values sent by the network-access device through which the user connects. You can map AAA policies to specific profiles. For example, you can apply a different access policy for wireless access and remote (VPN) access. For more information, see Chapter 15, "Network Access Profiles."
•Extended replication components—ACS 4.0 has improved and enhanced replication. Administrators now can replicate NAPs, and all related configurations, including:
–posture validation settings
–AAA clients and hosts
–external database configuration
–global authentication configuration
–network device groups
–dictionaries
–shared-profile components
–additional logging attributes
•Cisco Security Agent (CSA) integration—The ACS Solution Engine ships with a preinstalled, standalone CSA. This integration in the base appliance image helps to protect the ACS Solution Engine from day-zero attacks. The behavior-based technology available with CSA protects the ACS Solution Engine against the constantly changing threats from viruses and worms.
•EAP Flexible Authentication via Secured Tunnel (EAP-FAST) support—ACS supports the EAP-FAST protocol, a new publicly accessible IEEE 802.1X EAP type developed by Cisco Systems. Unlike Protected Extensible Authentication Protocol (PEAP), the EAP-FAST protocol protects authentication in a Transport Layer Security (TLS) tunnel that does not require the use of certificates. Cisco developed EAP-FAST to support customers who cannot enforce a strong password policy and wish to deploy an 802.1X EAP type that:
–Does not require digital certificates
–Supports a variety of user and password database types
–Supports password expiration and change
–Is flexible, easy to deploy, and easy to manage
For example, a customer who uses Cisco Lightweight and Efficient Application Protocol (LEAP) can migrate to EAP-FAST for protection from dictionary attacks. ACS supports EAP-FAST supplicants that are available on Cisco-compatible client devices, and Cisco Aironet 802.11a/b/g PCI and CardBus WLAN client adapters.
•Downloadable IP ACLs — ACS 4.0 extends per-user ACL support to any Layer 3 network device that supports this feature, such as Cisco PIX® firewalls, Cisco VPN solutions, and Cisco IOS routers. You can define sets of ACLs that can be applied per user or per group. This feature complements NAC support by enforcing the correct ACL policy. When used in conjunction with network-access filters (NAFs), you can apply downloadable ACLs differently per device. You can, therefore, tailor ACLs uniquely per user, per access device.
•Certification Revocation List (CRL) Comparison—ACS 4.0 supports certificate revocation by using the X.509 CRL profile. A CRL is a time-stamped list identifying revoked certificates; the list is signed by a certificate authority or CRL issuer, and made freely available in a public repository. ACS 4.0 periodically retrieves the CRLs from provisioned CRL Distribution Points by using Lightweight Directory Access Protocol (LDAP) or HyperText Transfer Protocol (HTTP), and stores them for use during EAP-Transport Layer Security (EAP-TLS) authentication. If the retrieved CRL contains the certificate that the user presents during an EAP-TLS authentication, ACS fails the authentication and denies access to the user. This capability is crucial due to frequent organizational changes and protects valuable company assets in case of fraudulent network use.
•Machine Access Restrictions (MAR)—ACS 4.0 includes MARs as an enhancement of Windows machine authentication. When Windows machine authentication is enabled, you can use MARs to control authorization of EAP-TLS, EAP-FASTv1a, and Microsoft Protected Extensible Authentication Protocol (PEAP) users who authenticate with a Windows external user database. Users who access the network with a computer that has not passed machine authentication within a configurable length of time are given the authorizations of a user group that you specify and which you can configure to limit authorization as needed. Alternatively, you can deny network access altogether.
•Network Access Filter (NAF)—ACS 4.0 includes NAFs as a new type of Shared Profile Component. NAFs provide a flexible way to apply network-access restrictions and downloadable ACLs on network device names, network device groups, or their IP address. NAFs applied by IP addresses can use IP address ranges and wildcards. This feature introduces granular application of network-access restrictions and downloadable ACLs, which previously supported only the use of the same access restrictions or ACLs to all devices. You can use NAFs to define flexible network device restriction policies to be defined, a requirement that is common in large environments.
Authentication
Authentication determines user identity and verifies the information. Traditional authentication uses a name and a fixed password. More secure methods use technologies such as Challenge Authentication Handshake Protocol (CHAP) and One-time Passwords (OTPs). ACS supports a variety of these authentication methods.
A fundamental implicit relationship exists between authentication and authorization. The more authorization privileges granted to a user, the stronger the authentication should be. ACS supports this relationship by providing various methods of authentication.
This section contains the following topics:
•Authentication Considerations
•Authentication and User Databases
•Authentication Protocol-Database Compatibility
•Passwords
•Other Authentication-Related Features
Authentication Considerations
Username and password is the most popular, simplest, and least-expensive method of authentication. The disadvantage is that this information can be told to someone else, guessed, or captured. Simple unencrypted username and password is not considered a strong authentication mechanism but can be sufficient for low authorization or privilege levels such as Internet access.
You should use encryption to reduce the risk of password capturing on the network. Client and server access-control protocols such as TACACS+ and RADIUS encrypt passwords to prevent them from being captured within a network. However, TACACS+ and RADIUS operate only between the AAA client and ACS. Before this point in the authentication process, unauthorized persons can obtain clear-text passwords, such as:
•The communication between an end-user client dialing up over a phone line
•An Integrated Services Digital Network (ISDN) line terminating at a network-access server
•Over a Telnet session between an end-user client and the hosting device
Authentication and User Databases
ACS supports a variety of user databases. It supports the ACS internal database and several external user databases, including:
•Windows User Database (for ACS Windows or for the Solution Engine remote agent)
•Generic LDAP
•Novell NetWare Directory Services (NDS) (only through Generic LDAP support)
•LEAP Proxy Remote Access Dial-In User Service (RADIUS) servers
•RADIUS-compliant token servers
Note For more information about token server support, see Token Server User Databases, page 13-37 .
Authentication Protocol-Database Compatibility
The various password protocols that ACS supports for authentication are supported unevenly by the various databases that ACS supports. For more information about the password protocols that ACS supports, see Passwords.
Table 1-2 specifies non-EAP authentication protocol support.
Справочник портов TCP и UDP
Это справочник портов TCP/IP.
Порты TCP/IP подразделяются на следующие три группы:
- Известные порты. Их номера лежат в диапазоне от 0 до 1023, включительно.
- Зарегистрированные порты. Они находятся в диапазоне от 1024 до 49151, включительно.
- Динамические и/или частные порты. Их диапазон от 49152 до 65535, включительно.
Для удобства пользования справочником, все порты разбиты на несколько групп, перейти к просмотру которых можно кликнув на оглавление.