筆者所在單位下設(shè)9個縣級單位，路由器設(shè)備20余臺、交換機設(shè)備30余臺，作為單位的網(wǎng)絡(luò)管理員，肩負著保障全部網(wǎng)絡(luò)設(shè)備正常運行的職責(zé)。為了更好地管理這些網(wǎng)絡(luò)設(shè)備，我們部署了2臺Cisco Secure Access Control System服務(wù)器（簡稱ACS服務(wù)器），2臺ACS服務(wù)器以主備方式部署、數(shù)據(jù)庫同步復(fù)制，切實提高ACS服務(wù)器故障切換的高可靠性。

ACS客戶端，如路由器、交換機及防火墻等，必須在配置中指定兩個或多個AAA服務(wù)器地址，AAA客戶端會按配置中列出的AAA服務(wù)器順序，逐個嘗試通信。如果在配置的超時時間內(nèi)無法連接第一個服務(wù)器，則會嘗試下一個，以此類推。如果客戶端收到第一個AAA服務(wù)器的應(yīng)答，則不會嘗試連接第二個服務(wù)器，且不能強制AAA客戶端首先連接第二個服務(wù)器，這樣才可以完全實現(xiàn)冗余高可靠性部署。

配置ACS主機

1.顯示ACS內(nèi)部數(shù)據(jù)庫同步復(fù)制菜單

ACS internal database Replication（內(nèi)部數(shù)據(jù)庫同步復(fù)制）功能有可能是隱藏狀態(tài)（缺省是隱藏的），需要修改Interface Configuration設(shè)置，來調(diào)出內(nèi)部數(shù)據(jù)庫同步復(fù)制功能，方法如下：

選 擇Interface Configuration→Advanced Options，勾 選 Distributed System Settings和ACS internal database Replication，后者需要前者支持。

2.添加ACS備機

ACS內(nèi)部數(shù)據(jù)庫同步可以支持多臺備機，必須事先在ACS主機的AAA服務(wù)器列表中添加所有的備機，方法如下：

（1）如果已經(jīng)啟用NDG：

選擇Network Configuration，選擇 Network Device Groups中Not Assigned。點擊AAA Servers列表下方的Add Entry按鈕，輸入ACS備機的名稱、IP地址及相應(yīng)的密鑰，然后點擊Submit+Apply按鈕。

（2）如果未啟用NDG：

直接選擇Network Configuration，然后點擊右邊AAA Servers列表下方的Add Entry按鈕，在打開的Add AAA Server頁面中輸入相應(yīng)的信息后，按Submit+Apply即可。

3.設(shè)置ACS內(nèi)部數(shù)據(jù)庫同步復(fù)制

選擇System Configuration→ACS Internal Database Replication，確 認ACS主機上同步組件勾選情況如圖1所示。在Outbound Replication表項下，選擇相應(yīng)的同步時間表計劃類型，ACS主機上可以選用四種中任何一種。在Partners表項中，在左邊AAA Servers列表框中選擇相應(yīng)的備機，然后點擊→按鈕，添加到右邊的Replication列表框中，最后按Submit按鈕提交設(shè)置。

配置ACS備機

1.顯示ACS內(nèi)部數(shù)據(jù)庫同步復(fù)制菜單

方法同1，顯示ACS內(nèi)部數(shù)據(jù)庫同步復(fù)制菜單。

2.添加ACS主機

要完成數(shù)據(jù)庫同步復(fù)制，必須在ACS備機的AAA服務(wù)器列表中添加ACS主機，方法如下：

（1）如果已經(jīng)啟用NDG：

選 擇Network Configuration，選擇 Network Device Groups中 的Not Assigned。點擊AAA Servers列表下方的Add Entry按鈕。輸入ACS主機的名稱、IP地址及相應(yīng)的密鑰，然后點擊Submit+Apply按鈕。

（2）如果未啟用NDG：

直接選擇Network Configuration，然后點擊右邊AAA Servers列表下方的Add Entry按 鈕，在 打開的Add AAA Server頁面中輸入相應(yīng)的信息后，按Submit+Apply即可。

圖1 ACS主機數(shù)據(jù)庫同步復(fù)制設(shè)置圖

圖2 ACS備機數(shù)據(jù)庫同步復(fù)制設(shè)置圖

3.設(shè)置ACS內(nèi)部數(shù)據(jù)庫同步復(fù)制

選 擇System Configuration→ACS Internal Database Replication，確認ACS備機上同步組件勾選情況（如圖2）。在Outbound Replication表項下，選擇相應(yīng)的同步時間表計劃類型。注意：ACS備機上只能選擇默認的Manually方式。直接按Submit按鈕提交配置。注意：ACS內(nèi)部數(shù)據(jù)庫同步不支持雙向同步復(fù)制，因此要確保備機上沒有將ACS主機添加到Replication列表框中。

同步數(shù)據(jù)庫

數(shù)據(jù)庫同步必須由ACS主機發(fā)起，備機只能被動接收數(shù)據(jù)庫信息。

1.手動啟動數(shù)據(jù)庫同步

在ACS主機上選擇System Configuration→ACS Internal Database Replication，然 后 點 擊Replicate Now按鈕，手動向備機同步復(fù)制數(shù)據(jù)庫。

2.驗證數(shù)據(jù)庫同步狀態(tài)

主備數(shù)據(jù)庫同步啟動后，可以在ACS主機上查看相關(guān)報表來驗證數(shù)據(jù)庫同步是否成功，方法如下：

選 擇Reports and Activity→Database Replication，打開數(shù)據(jù)庫同步狀態(tài)報表。點擊右邊框架頁面中的Database Replication active.csv。可以看到textmessage列中的相關(guān)信息，獲取當(dāng)前數(shù)據(jù)庫同步狀況。

3.數(shù)據(jù)庫同步復(fù)制注意事項

ACS主備機數(shù)據(jù)庫同步復(fù)制使用的目標端口TCP:2000。確認操作系統(tǒng)中網(wǎng)卡的防火墻功能已關(guān)閉。啟用Java和JavaScript，禁用HTTP代理。確保可以使用TCP:2002遠程訪問ACS用戶界面。