部署高可靠性ACS主备机

笔者所在单位下设9个县级单位，路由器设备20余台、交换机设备30余台，作为单位的网络管理员，肩负着保障全部网络设备正常运行的职责。为了更好地管理这些网络设备，我们部署了2台Cisco Secure Access Control System服务器（简称ACS服务器），2台ACS服务器以主备方式部署、数据库同步复制，切实提高ACS服务器故障切换的高可靠性。

ACS客户端，如路由器、交换机及防火墙等，必须在配置中指定两个或多个AAA服务器地址，AAA客户端会按配置中列出的AAA服务器顺序，逐个尝试通信。如果在配置的超时时间内无法连接第一个服务器，则会尝试下一个，以此类推。如果客户端收到第一个AAA服务器的应答，则不会尝试连接第二个服务器，且不能强制AAA客户端首先连接第二个服务器，这样才可以完全实现冗余高可靠性部署。

配置ACS主机

1.显示ACS内部数据库同步复制菜单

ACS internal database Replication（内部数据库同步复制）功能有可能是隐藏状态（缺省是隐藏的），需要修改Interface Configuration设置，来调出内部数据库同步复制功能，方法如下：

选 择Interface Configuration→Advanced Options，勾 选 Distributed System Settings和ACS internal database Replication，后者需要前者支持。

2.添加ACS备机

ACS内部数据库同步可以支持多台备机，必须事先在ACS主机的AAA服务器列表中添加所有的备机，方法如下：

（1）如果已经启用NDG：

选择Network Configuration，选择 Network Device Groups中Not Assigned。点击AAA Servers列表下方的Add Entry按钮，输入ACS备机的名称、IP地址及相应的密钥，然后点击Submit+Apply按钮。

（2）如果未启用NDG：

直接选择Network Configuration，然后点击右边AAA Servers列表下方的Add Entry按钮，在打开的Add AAA Server页面中输入相应的信息后，按Submit+Apply即可。

3.设置ACS内部数据库同步复制

选择System Configuration→ACS Internal Database Replication，确 认ACS主机上同步组件勾选情况如图1所示。在Outbound Replication表项下，选择相应的同步时间表计划类型，ACS主机上可以选用四种中任何一种。在Partners表项中，在左边AAA Servers列表框中选择相应的备机，然后点击→按钮，添加到右边的Replication列表框中，最后按Submit按钮提交设置。

配置ACS备机

1.显示ACS内部数据库同步复制菜单

方法同1，显示ACS内部数据库同步复制菜单。

2.添加ACS主机

要完成数据库同步复制，必须在ACS备机的AAA服务器列表中添加ACS主机，方法如下：

（1）如果已经启用NDG：

选 择Network Configuration，选择 Network Device Groups中 的Not Assigned。点击AAA Servers列表下方的Add Entry按钮。输入ACS主机的名称、IP地址及相应的密钥，然后点击Submit+Apply按钮。

（2）如果未启用NDG：

直接选择Network Configuration，然后点击右边AAA Servers列表下方的Add Entry按 钮，在 打开的Add AAA Server页面中输入相应的信息后，按Submit+Apply即可。

图1 ACS主机数据库同步复制设置图

图2 ACS备机数据库同步复制设置图

3.设置ACS内部数据库同步复制

选 择System Configuration→ACS Internal Database Replication，确认ACS备机上同步组件勾选情况（如图2）。在Outbound Replication表项下，选择相应的同步时间表计划类型。注意：ACS备机上只能选择默认的Manually方式。直接按Submit按钮提交配置。注意：ACS内部数据库同步不支持双向同步复制，因此要确保备机上没有将ACS主机添加到Replication列表框中。

同步数据库

数据库同步必须由ACS主机发起，备机只能被动接收数据库信息。

1.手动启动数据库同步

在ACS主机上选择System Configuration→ACS Internal Database Replication，然 后 点 击Replicate Now按钮，手动向备机同步复制数据库。

2.验证数据库同步状态

主备数据库同步启动后，可以在ACS主机上查看相关报表来验证数据库同步是否成功，方法如下：

选 择Reports and Activity→Database Replication，打开数据库同步状态报表。点击右边框架页面中的Database Replication active.csv。可以看到textmessage列中的相关信息，获取当前数据库同步状况。

3.数据库同步复制注意事项

ACS主备机数据库同步复制使用的目标端口TCP:2000。确认操作系统中网卡的防火墙功能已关闭。启用Java和JavaScript，禁用HTTP代理。确保可以使用TCP:2002远程访问ACS用户界面。