所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 用户接入 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置RADIUS动态下发ACL功能示例

配置RADIUS动态下发ACL功能示例

介绍RADIUS动态下发ACL功能示例,结合配置组网图来理解业务的配置过程。配置示例包括组网需求、思路准备、操作步骤和配置文件。

组网需求

图3-3所示。用户通过DeviceA访问网络,用户同处于huawei域。DeviceB作为目的网络的接入服务器。用户如果要访问目的网络,首先需要穿越DeviceA和DeviceB所在的网络,然后通过服务器的远端认证才能通过DeviceB访问网络。在DeviceB上的远端认证方式如下:

  • 用RADIUS服务器对接入用户进行认证。

  • RADIUS服务器10.7.66.66/24作为主认证服务器,RADIUS服务器10.7.66.67/24作为备用认证服务器,认证端口号缺省为1812。

图3-3  配置动态下发ACL功能组网图

配置思路

DeviceB上用如下的思路配置采用RADIUS协议对用户进行认证。

  1. 配置RADIUS服务器组、认证方案、动态ACL方案。

  2. 在域下应用RADIUS服务器组、认证方案和动态ACL方案。

说明:

对于管理员用户,缺省域是default_admin域,如果希望配置其它域用户作为管理员登录,需在域下配置adminuser-priority命令。对于BAS接入用户,需要配置这个域为BAS接入用户的认证域。

数据准备

为完成此配置例,需准备以下数据:

  • Radius主(备)认证服务器的IP地址。

操作步骤

  1. 配置RADIUS服务器组、认证方案、动态ACL方案

    # 配置RADIUS服务器组shiva。

    <HUAWEI> system-view
    [~Device] radius-server group shiva

    # 配置RADIUS主认证服务器IP地址和端口。

    [*Device-radius-shiva] radius-server authentication 10.7.66.66 1812

    # 配置RADIUS备认证服务器IP地址和端口。

    [*Device-radius-shiva] radius-server authentication 10.7.66.67 1812

    # 配置RADIUS服务器密钥、重传次数。

    [*Device-radius-shiva] radius-server shared-key-cipher it-is-my-secret1
    [*Device-radius-shiva] radius-server retransmit 2
    [*Device-radius-shiva] commit
    [~Device-radius-shiva] quit

    # 配置RADIUS服务器动态下发ACL功能

    [~Device] aaa
    [~Device-aaa] remote-download acl enable

    # 配置认证方案1,认证方法为RADIUS。

    [~Device-aaa] authentication-scheme 1
    [*Device-aaa-authen-1] authentication-mode radius
    [*Device-aaa-authen-1] commit
    [~Device-aaa-authen-1] quit

  2. 配置huawei域,在域下应用认证方案1、shiva的RADIUS服务器组

    [~Device-aaa] domain huawei
    [*Device-aaa-domain-huawei] authentication-scheme 1
    [*Device-aaa-domain-huawei] radius-server group shiva
    [*Device-aaa-domain-huawei] commit
    [*Device-aaa-domain-huawei] quit

  3. 配置用户模板和BAS接口

    [~Device-aaa] default-password template huawei cipher huawei123
    [~Device-aaa] default-user-name template huawei include sysname
    [*Device-aaa] commit
    [*Device-aaa] quit

    [~Device] interface GigabitEthernet 1/0/1.1 
    [*Device-GigabitEthernet1/0/1.1] commit
    [~Device-GigabitEthernet1/0/1.1] user-vlan 1
    [~Device-GigabitEthernet1/0/1.1-vlan-1-1] quit
    [~Device-GigabitEthernet1/0/1.1] bas
    [~Device-GigabitEthernet1/0/1.1-bas] access-type layer2-subscriber default-domain authentication huawei
    [~Device-GigabitEthernet1/0/1.1-bas] authentication-method bind
    [*Device-GigabitEthernet1/0/1.1-bas] user detect retransmit 2 interval 0 
    [*Device-GigabitEthernet1/0/1.1-bas] default-user-name-template huawei
    [*Device-GigabitEthernet1/0/1.1-bas] commit
    [~Device-GigabitEthernet1/0/1.1-bas] default-password-template huawei 
    [~Device-GigabitEthernet1/0/1.1-bas] quit
    [~Device-GigabitEthernet1/0/1.1] quit

  4. 检查配置结果

    路由器上执行display aaa remote-download acl item verbose命令后,可以看到该RADIUS服务器组的配置与要求一致。

    <HUAWEI> display aaa remote-download acl item verbose
    -------------------------------------------------------------------------------
     ClassifierName                    ReferedNumByUser  RuleNumber  ClassifierType
    -------------------------------------------------------------------------------
     c1                                1                 1           remote
    -------------------------------------------------------------------------------
     rc=c1;
       rule:(number: 1)
         ipv4;ruleid=5;dir=in;su-group=huawei;dipv4=3.1.0.1/24;
     rb=b1;
         deny;
     The used user-id table are : 
      0
    -------------------------------------------------------------------------------
     Total Classifier-Behavior Number : 1 

配置文件

#
sysname HUAWEI
#
user-group huawei
#                                                                                
radius-server group shiva                                                       
 radius-server authentication 10.7.66.66 1812 weight 0                         
 radius-server authentication 10.7.66.67 1812 weight 0                                                    
 radius-server shared-key-cipher %^%#h{FXVBLZX9#`VI]EWUUaOSHGd5E!.1DGeVYEie=%^%                                       
 radius-server retransmit 2                                                  
#                                                                               
aaa 
 remote-download acl enable
 default-password template huawei cipher %^%#M*p1,itN!4kQo5%Dc1s(whyJCM@xt0u[,,XMWG/O%^%
 default-user-name template huawei include sysname                                                                            
 #
 authentication-scheme 1                                                        
 #                                                                              
 authorization-scheme default                                                                                                      
 #                                                                              
 domain huawei                                                                   
  authentication-scheme 1                                                                                                                    
  radius-server group shiva   
  ip-pool huawei
  user-group huawei 
#
interface GigabitEthernet1/0/1
#
interface GigabitEthernet1/0/1.1
 user-vlan 1
 bas
 #
  access-type layer2-subscriber default-domain authentication huawei
  authentication-method bind
  user detect retransmit 2 interval 0
  default-user-name-template huawei
  default-password-template huawei
#
#  
return                                                                                              
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028564

浏览量:16373

下载量:207

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页