部署高可靠性ACS主備機

筆者所在單位下設9個縣級單位，路由器設備20余臺、交換機設備30余臺，作為單位的網絡管理員，肩負著保障全部網絡設備正常運行的職責。為了更好地管理這些網絡設備，我們部署了2臺Cisco Secure Access Control System服務器（簡稱ACS服務器），2臺ACS服務器以主備方式部署、數據庫同步復制，切實提高ACS服務器故障切換的高可靠性。

ACS客戶端，如路由器、交換機及防火墻等，必須在配置中指定兩個或多個AAA服務器地址，AAA客戶端會按配置中列出的AAA服務器順序，逐個嘗試通信。如果在配置的超時時間內無法連接第一個服務器，則會嘗試下一個，以此類推。如果客戶端收到第一個AAA服務器的應答，則不會嘗試連接第二個服務器，且不能強制AAA客戶端首先連接第二個服務器，這樣才可以完全實現冗余高可靠性部署。

配置ACS主機

1.顯示ACS內部數據庫同步復制菜單

ACS internal database Replication（內部數據庫同步復制）功能有可能是隱藏狀態(tài)（缺省是隱藏的），需要修改Interface Configuration設置，來調出內部數據庫同步復制功能，方法如下：

選 擇Interface Configuration→Advanced Options，勾 選 Distributed System Settings和ACS internal database Replication，后者需要前者支持。

2.添加ACS備機

ACS內部數據庫同步可以支持多臺備機，必須事先在ACS主機的AAA服務器列表中添加所有的備機，方法如下：

（1）如果已經啟用NDG：

選擇Network Configuration，選擇 Network Device Groups中Not Assigned。點擊AAA Servers列表下方的Add Entry按鈕，輸入ACS備機的名稱、IP地址及相應的密鑰，然后點擊Submit+Apply按鈕。

（2）如果未啟用NDG：

直接選擇Network Configuration，然后點擊右邊AAA Servers列表下方的Add Entry按鈕，在打開的Add AAA Server頁面中輸入相應的信息后，按Submit+Apply即可。

3.設置ACS內部數據庫同步復制

選擇System Configuration→ACS Internal Database Replication，確 認ACS主機上同步組件勾選情況如圖1所示。在Outbound Replication表項下，選擇相應的同步時間表計劃類型，ACS主機上可以選用四種中任何一種。在Partners表項中，在左邊AAA Servers列表框中選擇相應的備機，然后點擊→按鈕，添加到右邊的Replication列表框中，最后按Submit按鈕提交設置。

配置ACS備機

1.顯示ACS內部數據庫同步復制菜單

方法同1，顯示ACS內部數據庫同步復制菜單。

2.添加ACS主機

要完成數據庫同步復制，必須在ACS備機的AAA服務器列表中添加ACS主機，方法如下：

（1）如果已經啟用NDG：

選 擇Network Configuration，選擇 Network Device Groups中 的Not Assigned。點擊AAA Servers列表下方的Add Entry按鈕。輸入ACS主機的名稱、IP地址及相應的密鑰，然后點擊Submit+Apply按鈕。

（2）如果未啟用NDG：

直接選擇Network Configuration，然后點擊右邊AAA Servers列表下方的Add Entry按 鈕，在 打開的Add AAA Server頁面中輸入相應的信息后，按Submit+Apply即可。

圖1 ACS主機數據庫同步復制設置圖

圖2 ACS備機數據庫同步復制設置圖

3.設置ACS內部數據庫同步復制

選 擇System Configuration→ACS Internal Database Replication，確認ACS備機上同步組件勾選情況（如圖2）。在Outbound Replication表項下，選擇相應的同步時間表計劃類型。注意：ACS備機上只能選擇默認的Manually方式。直接按Submit按鈕提交配置。注意：ACS內部數據庫同步不支持雙向同步復制，因此要確保備機上沒有將ACS主機添加到Replication列表框中。

同步數據庫

數據庫同步必須由ACS主機發(fā)起，備機只能被動接收數據庫信息。

1.手動啟動數據庫同步

在ACS主機上選擇System Configuration→ACS Internal Database Replication，然 后 點 擊Replicate Now按鈕，手動向備機同步復制數據庫。

2.驗證數據庫同步狀態(tài)

主備數據庫同步啟動后，可以在ACS主機上查看相關報表來驗證數據庫同步是否成功，方法如下：

選 擇Reports and Activity→Database Replication，打開數據庫同步狀態(tài)報表。點擊右邊框架頁面中的Database Replication active.csv?？梢钥吹絫extmessage列中的相關信息，獲取當前數據庫同步狀況。

3.數據庫同步復制注意事項

ACS主備機數據庫同步復制使用的目標端口TCP:2000。確認操作系統(tǒng)中網卡的防火墻功能已關閉。啟用Java和JavaScript，禁用HTTP代理。確?？梢允褂肨CP:2002遠程訪問ACS用戶界面。