Cisco Secure ACS 数据同步配置

  使用ACS作为身份验证服务器时,对ACS提出了高可用性的要求,在WLC中可以同时设置三台ACS互为热备,那么这就必然涉及到ACS服务器间数据同步的问题。

  首先配置好主ACS,确保可以完成要求的功能,然后安装备ACS,但暂时不要做任何配置。在两个ACS的 Network Configuation 的 AAA Servers 互相添加对方,就是在主ACS中添加备ACS的信息,在备ACS中添加主ACS的信息,两个的key要完全相同。

  先配置主ACS的同步设置,在 System Configuation 中找到 ACS Internal Database Replication ,在 Replication Components 中可以设置服务器Send数据或Receive数据哪些数据,对于主ACS为Send。在 Outbound Replication 的 Scheduling 中可以设置同步的时间,在同步的时候ACS服务会暂时停止,因此尽量选择业务最空闲的时候来同步,选项 Automatically triggered cascade  最后再解释。下面的 Partners 中是设置要把数据发送给哪些ACS服务器,左侧 AAA Servers 列表里的都是在 Network Configuation 里面添加的,需要把备ACS添加到右侧栏里。

  再来配置备ACS的同步设置,在 Replication Components 中设置Receive数据,注意的是ACS的同步是覆盖而不是合并,接受数据的ACS会覆盖掉自己的数据,哪怕自己的数据是最新的,所以应该是数据复制而不是数据同步。Outbound Replication 不要动,Inbound Replication 可以选择接受那些ACS发送来的同步数据。回到主ACS的 Database Replication Setup ,点一下 Replication Now,再回到备ACS把一些没有同步过来的地方配置好就行了。

  两台ACS的防火墙上都需要打开TCP 2000端口传递同步数据。同步的情况和日志可以在 Reports and Activity 的 Database Replication 看到。

  最后再来说一下 Automatically triggered cascade  。ACS可以设置多级同步,就是主ACS把数据同步给一级备份ACS,一级备份ACS再把数据同步给二级备份ACS服务器。这是一级备份ACS就应该选择 Automatically triggered cascade 这样再它接受到上级ACS服务器(主ACS)发来的同步数据后,也会触发它向下级ACS服务器(二级备份ACS)下发同步数据。