配置采用RADIUS协议进行认证

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

配置采用RADIUS协议进行认证、计费和授权示例

组网需求

如图1所示,用户通过RouterA访问网络,用户同处于huawei域。RouterB作为目的网络接入服务器。用户首先需要穿越RouterA和RouterB所在的网络,然后通过服务器的远端认证才能通过RouterB访问目的网络。在RouterB上的远端认证方式如下:

•用RADIUS服务器对接入用户进行认证、计费。

•RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器,RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器,认证端口号缺省为1812,计费端口号缺省为1813。

图1 采用RADIUS协议对用户进行认证和计费组网图

配置思路

用如下的思路配置采用RADIUS协议对用户进行认证和计费。

1.配置RADIUS服务器模板。

2.配置认证方案、计费方案。

3.在域下应用RADIUS服务器模板、认证方案和计费方案。

数据准备

为完成此配置举例,需要准备如下数据:

•用户所属的域名

•RADIUS服务器模板名

•认证方案名、认证模式、计费方案名、计费模式

•主用和备用RADIUS服务器的IP地址、认证端口号、计费端口号

•RADIUS服务器密钥和重传次数

说明:

以下配置均在RouterB上进行。

操作步骤

1.配置接口的IP地址和路由,使用户和服务器之间路由可达。

2.配置RADIUS服务器模板

# 配置RADIUS服务器模板shiva。

system-view

[Huawei] radius-server template shiva

# 配置RADIUS主用认证服务器和计费服务器的IP地址、端口。

[Huawei-radius-shiva] radius-server authentication 129.7.66.66 1812

[Huawei-radius-shiva] radius-server accounting 129.7.66.66 1813

# 配置RADIUS备用认证服务器和计费服务器的IP地址、端口。

[Huawei-radius-shiva] radius-server authentication 129.7.66.67 1812 secondary [Huawei-radius-shiva] radius-server accounting 129.7.66.67 1813 secondary

# 配置RADIUS服务器密钥、重传次数。

[Huawei-radius-shiva] radius-server shared-key cipher hello

[Huawei-radius-shiva] radius-server retransmit 2

[Huawei-radius-shiva] quit

3.配置认证方案、计费方案

# 配置认证方案1,认证模式为RADIUS。

[Huawei] aaa

[Huawei-aaa] authentication-scheme 1

[Huawei-aaa-authen-1] authentication-mode radius

[Huawei-aaa-authen-1] quit

# 配置计费方案1,计费模式为RADIUS。

[Huawei-aaa] accounting-scheme 1

[Huawei-aaa-accounting-1] accounting-mode radius

[Huawei-aaa-accounting-1] quit

4.配置huawei域,在域下应用认证方案1、计费方案1、RADIUS模板shiva

5. [Huawei-aaa] domain huawei

6. [Huawei-aaa-domain-huawei] authentication-scheme 1

7. [Huawei-aaa-domain-huawei] accounting-scheme 1

[Huawei-aaa-domain-huawei] radius-server shiva

8.检查配置结果

在RouterB上执行命令display radius-server configuration template,可以观察到该RADIUS服务器模板的配置与要求一致。

display radius-server configuration template shiva

--------------------------------------------------------------------

Server-template-name : shiva

Protocol-version : standard

Traffic-unit : B

Shared-secret-key : 3MQ*TZ,O3KCQ=^Q`MAF4<1!!

Timeout-interval(in second) : 5

Primary-authentication-server : 129.7.66.66;1812; LoopBack:NULL

Primary-accounting-server : 129.7.66.66;1813; LoopBack:NULL

Secondary-authentication-server : 129.7.66.67;1812; LoopBack:NULL

Secondary-accounting-server : 129.7.66.67;1813; LoopBack:NULL

Retransmission : 2

Domain-included : YES

-------------------------------------------------------------------

配置文件

#

radius-server template shiva

radius-server shared-key cipher 3MQ*TZ,O3KCQ=^Q`MAF4<1!!

radius-server authentication 129.7.66.66 1812

radius-server authentication 129.7.66.67 1812 secondary

radius-server accounting 129.7.66.66 1813

radius-server accounting 129.7.66.67 1813 secondary

radius-server retransmit 2

#

aaa

authentication-scheme default

authentication-scheme 1

authentication-mode radius

authorization-scheme default

accounting-scheme default

accounting-scheme 1

accounting-mode radius

domain default

domain default_admin

domain huawei

authentication-scheme 1

accounting-scheme 1

radius-server shiva

#

return

配置Web认证示例

通过配置Web认证,未认证用户在接入网络前必须通过指定的网页完成Web认证才能访问网络资源,从而保证网络的安全。

组网需求

如图1所示,用户通过Router访问网络。为了保证网络的安全性,要求在用户接入网络时进行Web认证。用户在通过认证前,只能访问指定的网络地址。

图1 配置Web认证组网图

配置思路

用如下的思路配置Web认证。

1. 配置AAA认证,用来用户名和密码发送到RADIUS服务器进行认证。

2. 配置Web认证,用来对接口Ethernet2/0/1下的用户进行认证。

相关文档
最新文档