所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 用户接入 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置RADIUS代理认证示例

配置RADIUS代理认证示例

介绍配置RADIUS代理认证示例,结合配置组网图来理解业务的配置过程。配置示例包括组网需求、思路准备、操作步骤和配置文件。

组网环境

图6-14所示,WLAN用户要访问网络,需要先通过EAP认证方式在AC上进行RADIUS认证,然后通过路由器进行RADIUS计费。用户上线的过程如下:
  1. WLAN用户发送EAP报文到AC,AC终结EAP报文,发送RADIUS报文到路由器
  2. 路由器作为RADIUS代理,侦听AC发给RADIUS服务器的认证报文,转发给RADIUS服务器,侦听RADIUS服务器发送的认证回应报文,转发给AC,在代理过程中保存RADIUS服务器下发给该账号的授权信息。
  3. 认证通过后,用户发送DHCP报文到路由器获取地址,地址获取过程中路由器根据该用户MAC查询在代理过程中保存的账号授权信息,如果该用户账号的授权信息存在,那么给用户分配空闲IP地址,并且使用保存的授权信息给用户授权。同时路由器发送开始计费报文到RADIUS服务器,对用户做计费。
  4. 对于AC发送的计费报文做直接回应,不发给RADIUS服务器。
图6-14  RADIUS代理认证组网图

配置思路

采用如下思路配置RADIUS代理认证:

  1. 配置RADIUS服务器组、认证方案、计费方案、地址池。
  2. 在域下应用RADIUS服务器组、认证方案、计费方案和地址池。
  3. 配置RADIUS代理功能。
  4. 在接口配置BAS接入。
  5. 在接口下配置可供AC访问的IP地址。
说明:

设备上默认能够侦听RADIUS报文的端口有1812、1813、1645、1646和3799五个端口。如果要使用别的端口侦听RADIUS,需要在全局视图下配置命令radius-server extended-source-ports port-number port-number来指定更多的侦听端口。

数据准备

  • RADIUS认证服务器的IP地址。
  • RADIUS计费服务器的IP地址。
  • AC发送RADIUS报文的端口IP地址。

操作步骤

  1. 配置RADIUS服务器组、认证方案、计费方案、地址池。

    # 配置RADIUS服务器组shiva。

    <HUAWEI> system-view
    [~HUAWEI] radius-server group shiva
    [~HUAWEI] radius-server group shiva
    [*HUAWEI-radius-shiva] radius-server authentication 10.1.123.151 1812
    [*HUAWEI-radius-shiva] radius-server accounting 10.1.123.151 1813
    [*HUAWEI-radius-shiva] commit
    [~HUAWEI-radius-shiva] quit

    # 配置本地地址池pool1。

    [~HUAWEI] ip pool pool1 bas local
    [*HUAWEI-ip-pool-pool1] gateway 172.30.0.1 24
    [*HUAWEI-ip-pool-pool1] section 0 172.30.0.2 172.30.0.254
    [*HUAWEI-ip-pool-pool1] commit
    [~HUAWEI-ip-pool-pool1] quit
    

    # 配置认证方案rdp,认证方法为RADIUS-PROXY。

    [~HUAWEI] aaa
    [~HUAWEI-aaa] authentication-scheme rdp
    [*HUAWEI-aaa-authen-rdp] authentication-mode radius-proxy
    [*HUAWEI-aaa-authen-rdp] commit
    [~HUAWEI-aaa-authen-rdp] quit
    

    # 配置计费方案rds,计费方法为RADIUS。

    [~HUAWEI-aaa] accounting-scheme rds
    [*HUAWEI–aaa-accounting-rds] accounting-mode radius
    [*HUAWEI–aaa-accounting-rds] commit
    [~HUAWEI–aaa-accounting-rds] quit
    

  2. 配置radiusproxy域,在域下应用认证方案rdp、计费方案rds、RADIUS服务器组shiva。

    [~HUAWEI-aaa] domain radiusproxy
    [*HUAWEI-aaa-domain-radiusproxy] authentication-scheme rdp
    [*HUAWEI-aaa-domain-radiusproxy] accounting-scheme rds
    [*HUAWEI-aaa-domain-radiusproxy] radius-server group shiva
    [*HUAWEI-aaa-domain-radiusproxy] ip-pool pool1
    [*HUAWEI-aaa-domain-radiusproxy] commit
    [~HUAWEI-aaa-domain-radiusproxy] quit
    [~HUAWEI-aaa] quit

  3. 配置RADIUS代理。

    [~HUAWEI] radius-client 10.1.0.201 server-group shiva shared-key-cipher !QAZ2wsx
    [*HUAWEI] commit
    说明:

    radius-client关键字后面配置的IP地址为AC设备发送RADIUS报文的端口IP。在本例中,域下应用的RADIUS服务器组和RADIUS代理的RADIUS服务器组为同一个。但事实上,域下应用的RADIUS服务器组和RADIUS代理的服务器组可以不同。

  4. 配置可供AC访问的IP地址。

    [~HUAWEI] interface GigabitEthernet 5/0/3
    [*HUAWEI-GigabitEthernet5/0/3] ip address 10.1.0.197 8
    [*HUAWEI-GigabitEthernet5/0/3] commit
    [~HUAWEI-GigabitEthernet5/0/3] quit
    说明:

    配置该地址是为了供AC访问。AC上发起的RADIUS认证报文应该发往这个地址。如果设备上有其他和AC联通的IP地址,可以不用配这个IP。

  5. 在接口下配置BAS接入。

    [~HUAWEI] interface GigabitEthernet 5/0/4
    [*HUAWEI-GigabitEthernet5/0/4] bas
    [*HUAWEI-GigabitEthernet5/0/4-bas] access-type layer2-subscriber default-domain authentication radiusproxy
    [*HUAWEI-GigabitEthernet5/0/4-bas] authentication-method bind
    [*HUAWEI-GigabitEthernet5/0/4-bas] commit
    说明:

    目前RADIUS代理接入方式仅支持IPoE用户,不支持PPPoE用户。

  6. 检查配置结果。

    在设备上执行display radius-server configuration group shiva命令后,可以看到该RADIUS服务器组的配置与要求一致。

    <HUAWEI> display radius-server configuration group shiva
      -------------------------------------------------------
      Server-group-name    :  shiva
      Authentication-server:  IP:10.1.123.151 Port:1812 Weight[0] [UP]
                              Vpn: -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Authentication-server:  -
      Accounting-server    :  IP:10.1.123.151 Port:1813 Weight[0] [UP]
                              Vpn: -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Accounting-server    :  -
      Protocol-version     :  radius
      Shared-secret-key    :  ******
      Retransmission       :  3
      Timeout-interval(s)  :  5
      Acct-Stop-Packet Resend  :  NO
      Acct-Stop-Packet Resend-Times  :  0
      Traffic-unit         :  B
      ClassAsCar           :  NO
      User-name-format     :  Domain-included
      Option82 parse mode  :  -
      Attribute-translation:  NO
      Packet send algorithm:  Master-Backup
      Tunnel password      :  cipher 
    

    在设备上执行display domain命令后,可以查看域的配置。

    <HUAWEI> display domain radiusproxy
      ------------------------------------------------------------------------------
      Domain-name                     : radiusproxy
      Domain-state                    : Active
      Authentication-scheme-name      : rdp
      Accounting-scheme-name          : rds
      Authorization-scheme-name       : -
      Primary-DNS-IP-address          : -
      Second-DNS-IP-address           : -
      Primary-DNS-IPV6-address        : -
      Second-DNS-IPV6-address         : -
      Web-server-URL-parameter        : No
      Portal-server-URL-parameter     : No
      Primary-NBNS-IP-address         : -
      Second-NBNS-IP-address          : -
      Time-range                      : Disable
      Idle-cut direction              : Both
      Idle-data-attribute (time,flow) : 0, 60
      User detect interval            : 0s
      User detect retransmit times    : 0
      Install-BOD-Count               : 0
      Report-VSM-User-Count           : 0
      Value-added-service             : default
      User-access-limit               : 283648
      Online-number                   : 0
      Web-IP-address                  : -
      Web-URL                         : -
      Web-auth-server                 : -
      Web-auth-state                  : -
      Web-server-mode                 : get
      Slave Web-IP-address            : -
      Slave Web-URL                   : -
      Slave Web-auth-server           : -
      Slave Web-auth-state            : -
      Portal-server-IP                : -
      Portal-URL                      : -
      Portal-force-times              : 2
      Service-policy(Portal)          : -
      PPPoE-user-URL                  : Disable
      AdminUser-priority              : 16
      IPUser-ReAuth-Time              : 300s
      mscg-name-portal-key            : -
      Portal-user-first-url-key       : -
      User-session-limit              : 4294967295
      Ancp auto qos adapt             : Disable
      L2TP-group-name                 : -
      User-lease-time-no-response     : 0s
      RADIUS-server-template          : shiva
      Two-acct-template               : -
      RADIUS-server-pre-template      : -
                                        -
                                        -
      HWTACACS-server-template        : -
      Bill Flow                       : Disable
      Tunnel-acct-2867                : Disable
      Qos-profile-name inbound        : -
      Qos-profile-name outbound       : -
    
      Flow Statistic:
      Flow-Statistic-Up               : Yes
      Flow-Statistic-Down             : Yes
      Source-IP-route                 : Disable
      IP-warning-threshold            : -
      IP-warning-threshold(Low)       : -
      IPv6-warning-threshold          : -
      IPv6-warning-threshold(Low)     : -
      Multicast Forwarding            : Yes
      Multicast Virtual               : No
      Max-multilist num               : 4
      Multicast-profile               : -
      Multicast-profile ipv6          : -
      IP-address-pool-name            : pool1
      Quota-out                       : Offline
      Service-type                    : -
      User-basic-service-ip-type      : -/-/-
      PPP-ipv6-address-protocol       : Ndra
      IPv6-information-protocol       : Stateless dhcpv6
      IPv6-PPP-assign-interfaceid     : Disable
      IPv6-PPP-NDRA-halt              : Disable
      IPv6-PPP-NDRA-unicast           : Disable
      Trigger-packet-wait-delay       : 60s
      Peer-backup                     : Enable
      Reallocate-ip-address           : Disable
      Cui  enable                     : Disable
      Igmp enable                     : Enable
      L2tp-user radius-force          : Disable
      Accounting dual-stack           : Separate
      Radius server domain-annex      : -
      Dhcp-option64-service           : Disable
      Parse-separator                 : -
      Parse-segment-value             : -
      Dhcp-receive-server-packet      : -
      Http-hostcar                    : Disable
      Public-address assign-first     : Disable
      Public-address nat              : Enable
      Dhcp-user auto-save             : Disable
      IP-pool usage-status threshold  : 255 , 255
      Select-Pool-Rule                : gateway + local priority
      AFTR name                       : -
      Traffic-rate-mode               : Separate
      Traffic-statistic-mode          : Separate
      Rate-limit-mode-inbound         : Car
      Rate-limit-mode-outbound        : Car
      Service-change-mode             : Stop-start
      DAA Direction                   : both
      ------------------------------------------------------------------------------
    

    在设备上执行display radius-client configuration命令后,可以查看RADIUS代理的配置。

    [HUAWEI] display radius-client configuration
      -----------------------------------------------------------------------------
      IP-Address       Mask             VPN-instance          Group
      Domain-authorization   Roam-domain      Trigger-web
      -----------------------------------------------------------------------------
      10.1.0.201       255.0.0.0        --                    shiva
      NO                     --               ACCT_TRIGGER         
      -----------------------------------------------------------------------------
      1 Radius client(s) in total   
    

    执行display radius-client statistics命令,查看RADIUS客户端和RADIUS代理之间的RADIUS报文统计信息。

    <HUAWEI> display radius-client statistics client-ip 10.1.123.151
    Authentication packets:
      Access Requests    : 0          Access Accepts     : 0
      Access Challenges  : 0          Access Rejects     : 0
      Bad Authenticators : 0          Packets Dropped    : 0
    Accouting packets:
      Account Requests   : 0          Account Responses  : 0
      Bad Authenticators : 0          Packets Dropped    : 0
    DM packets:
      Author Requests    : 0          Author Acks        : 0
      Author Naks        : 0

配置文件

#
sysname HUAWEI
#
radius-server group shiva
 radius-server authentication 10.1.123.151 1812 weight 0
radius-server accounting 10.1.123.151 1813 weight 0
#
aaa
  authentication-scheme rdp
  authentication-mode radius-proxy
 #
  accounting-scheme rds
  accounting-mode radius
 #
 domain radiusproxy
  authentication-scheme rdp
  accounting-scheme rds
  radius-server group shiva 
  ip-pool pool1
#
radius-client 10.1.0.201 server-group shiva shared-key-cipher !QAZ2wsx
#
interface GigabitEthernet 5/0/3
  undo shutdown
  ip address 10.1.0.197 255.0.0.0
#
interface GigabitEthernet 5/0/4
  undo shutdown
  bas
  #
  access-type layer2-subscriber default-domain authentication radiusproxy
  authentication-method bind
  #
#
ip pool pool1 bas local
 gateway 172.30.0.1 255.255.255.0
 section 0 172.30.0.2 188.0.0.254   
#
return
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028564

浏览量:16050

下载量:205

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页