配置采用RADIUS协议进行认证
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
配置采用RADIUS协议进行认证、计费和授权示例
组网需求
如图1所示,用户通过RouterA访问网络,用户同处于huawei域。RouterB作为目的网络接入服务器。用户首先需要穿越RouterA和RouterB所在的网络,然后通过服务器的远端认证才能通过RouterB访问目的网络。在RouterB上的远端认证方式如下:
•用RADIUS服务器对接入用户进行认证、计费。
•RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器,RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器,认证端口号缺省为1812,计费端口号缺省为1813。
图1 采用RADIUS协议对用户进行认证和计费组网图
配置思路
用如下的思路配置采用RADIUS协议对用户进行认证和计费。
1.配置RADIUS服务器模板。
2.配置认证方案、计费方案。
3.在域下应用RADIUS服务器模板、认证方案和计费方案。
数据准备
为完成此配置举例,需要准备如下数据:
•用户所属的域名
•RADIUS服务器模板名
•认证方案名、认证模式、计费方案名、计费模式
•主用和备用RADIUS服务器的IP地址、认证端口号、计费端口号
•RADIUS服务器密钥和重传次数
说明:
以下配置均在RouterB上进行。
操作步骤
1.配置接口的IP地址和路由,使用户和服务器之间路由可达。
2.配置RADIUS服务器模板
# 配置RADIUS服务器模板shiva。
[Huawei] radius-server template shiva
# 配置RADIUS主用认证服务器和计费服务器的IP地址、端口。
[Huawei-radius-shiva] radius-server authentication 129.7.66.66 1812
[Huawei-radius-shiva] radius-server accounting 129.7.66.66 1813
# 配置RADIUS备用认证服务器和计费服务器的IP地址、端口。
[Huawei-radius-shiva] radius-server authentication 129.7.66.67 1812 secondary [Huawei-radius-shiva] radius-server accounting 129.7.66.67 1813 secondary
# 配置RADIUS服务器密钥、重传次数。
[Huawei-radius-shiva] radius-server shared-key cipher hello
[Huawei-radius-shiva] radius-server retransmit 2
[Huawei-radius-shiva] quit
3.配置认证方案、计费方案
# 配置认证方案1,认证模式为RADIUS。
[Huawei] aaa
[Huawei-aaa] authentication-scheme 1
[Huawei-aaa-authen-1] authentication-mode radius
[Huawei-aaa-authen-1] quit
# 配置计费方案1,计费模式为RADIUS。
[Huawei-aaa] accounting-scheme 1
[Huawei-aaa-accounting-1] accounting-mode radius
[Huawei-aaa-accounting-1] quit
4.配置huawei域,在域下应用认证方案1、计费方案1、RADIUS模板shiva
5. [Huawei-aaa] domain huawei
6. [Huawei-aaa-domain-huawei] authentication-scheme 1
7. [Huawei-aaa-domain-huawei] accounting-scheme 1
[Huawei-aaa-domain-huawei] radius-server shiva
8.检查配置结果
在RouterB上执行命令display radius-server configuration template,可以观察到该RADIUS服务器模板的配置与要求一致。
--------------------------------------------------------------------
Server-template-name : shiva
Protocol-version : standard
Traffic-unit : B
Shared-secret-key : 3MQ*TZ,O3KCQ=^Q`MAF4<1!!
Timeout-interval(in second) : 5
Primary-authentication-server : 129.7.66.66;1812; LoopBack:NULL
Primary-accounting-server : 129.7.66.66;1813; LoopBack:NULL
Secondary-authentication-server : 129.7.66.67;1812; LoopBack:NULL
Secondary-accounting-server : 129.7.66.67;1813; LoopBack:NULL
Retransmission : 2
Domain-included : YES
-------------------------------------------------------------------
配置文件
#
radius-server template shiva
radius-server shared-key cipher 3MQ*TZ,O3KCQ=^Q`MAF4<1!!
radius-server authentication 129.7.66.66 1812
radius-server authentication 129.7.66.67 1812 secondary
radius-server accounting 129.7.66.66 1813
radius-server accounting 129.7.66.67 1813 secondary
radius-server retransmit 2
#
aaa
authentication-scheme default
authentication-scheme 1
authentication-mode radius
authorization-scheme default
accounting-scheme default
accounting-scheme 1
accounting-mode radius
domain default
domain default_admin
domain huawei
authentication-scheme 1
accounting-scheme 1
radius-server shiva
#
return
配置Web认证示例
通过配置Web认证,未认证用户在接入网络前必须通过指定的网页完成Web认证才能访问网络资源,从而保证网络的安全。
组网需求
如图1所示,用户通过Router访问网络。为了保证网络的安全性,要求在用户接入网络时进行Web认证。用户在通过认证前,只能访问指定的网络地址。
图1 配置Web认证组网图
配置思路
用如下的思路配置Web认证。
1. 配置AAA认证,用来用户名和密码发送到RADIUS服务器进行认证。
2. 配置Web认证,用来对接口Ethernet2/0/1下的用户进行认证。