所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-用户接入与认证

本文档介绍了用户接入与认证的配置,具体包括AAA配置、NAC配置和策略联动配置。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置基于默认域的用户管理示例

配置基于默认域的用户管理示例

组网需求

图1-33所示,企业用户通过Switch接入网络,用户名不带任何域名。

企业希望普通用户需要经过RADIUS认证后才能接入网络,并获取对应权限,管理用户需要经过Switch的本地认证后才能登录设备进行管理。

图1-33  配置基于默认域的用户管理组网图

配置思路

采用如下的思路配置基于默认域的用户管理:

  1. 创建VLAN、VLANIF,并配置各接口,使Switch与RADIUS服务器网络互通。
  2. 配置普通用户的认证计费方案并应用到缺省的“default”域下,实现对不带域名的普通接入用户(例如,采用802.1X或Portal进行认证的用户)的RADIUS身份验证。
  3. 配置管理用户的认证和授权方案并应用到缺省的“default_admin”域下,实现对不带域名的管理用户(例如,采用Telnet、SSH或FTP方式登录的用户)的本地身份验证。
说明:

请确保已在RADIUS服务器上配置了用户,本例中假设RADIUS服务器上已配置了用户名为test1,密码为123456的用户。

本案例只包括Switch的配置,RADIUS服务器的配置这里不做相关说明。

操作步骤

  1. 创建VLAN并配置各接口。

    # 在Switch上创建VLAN 11。

    <HUAWEI> system-view
    [HUAWEI] sysname Switch
    [Switch] vlan batch 11
    

    # 配置Switch连接RADIUS服务器的接口GE0/0/2为Access类型端口,并将GE0/0/2加入VLAN11。

    [Switch] interface gigabitethernet 0/0/2
    [Switch-GigabitEthernet0/0/2] port link-type access
    [Switch-GigabitEthernet0/0/2] port default vlan 11
    [Switch-GigabitEthernet0/0/2] quit

    # 创建VLANIF11,并为VLANIF11配置IP地址192.168.2.29/24。

    [Switch] interface vlanif 11
    [Switch-Vlanif11] ip address 192.168.2.29 24
    [Switch-Vlanif11] quit
    

  2. 配置802.1X普通用户采用RADIUS方式进行认证、授权和计费。

    说明:

    请确保RADIUS服务器模板内的共享密钥和RADIUS服务器上的配置保持一致。

    # 创建并配置RADIUS服务器模板“rd1”。

    [Switch] radius-server template rd1
    [Switch-radius-rd1] radius-server authentication 192.168.2.30 1812
    [Switch-radius-rd1] radius-server accounting 192.168.2.30 1813
    [Switch-radius-rd1] radius-server shared-key cipher Huawei@2012
    [Switch-radius-rd1] radius-server retransmit 2
    [Switch-radius-rd1] quit

    # 分别创建AAA认证和计费方案“abc”并配置认证和计费方式为RADIUS。

    [Switch] aaa
    [Switch-aaa] authentication-scheme abc
    [Switch-aaa-authen-abc] authentication-mode radius
    [Switch-aaa-authen-abc] quit
    [Switch-aaa] accounting-scheme abc
    [Switch-aaa-accounting-abc] accounting-mode radius
    [Switch-aaa-accounting-abc] quit

    # 测试Switch与RADIUS服务器之间的连接状态。(已在RADIUS服务器上配置了测试用户test1,用户密码为123456)

    [Switch-aaa] test-aaa test1 123456 radius-template rd1

    # 在缺省的“default”域上绑定AAA认证方案“abc”、AAA计费方案“abc”和RADIUS服务器模板“rd1”。

    [Switch-aaa] domain default
    [Switch-aaa-domain-default] authentication-scheme abc
    [Switch-aaa-domain-default] accounting-scheme abc
    [Switch-aaa-domain-default] radius-server rd1
    [Switch-aaa-domain-default] quit
    [Switch-aaa] quit

    # 将NAC配置模式切换成统一模式。

    [Switch] authentication unified-mode
    
    说明:
    传统模式与统一模式相互切换后,设备会自动重启。缺省情况下,NAC配置模式为统一模式。

    # 在接口下使能802.1X认证。

    [Switch] dot1x-access-profile name d1
    [Switch-dot1x-access-profile-d1] quit
    [Switch] authentication-profile name p1
    [Switch-authen-profile-p1] dot1x-access-profile d1
    [Switch-authen-profile-p1] authentication mode multi-authen max-user 100
    [Switch-authen-profile-p1] quit
    [Switch] vlan batch 10
    [Switch] interface gigabitethernet 0/0/1
    [Switch-GigabitEthernet0/0/1] port link-type access
    [Switch-GigabitEthernet0/0/1] port default vlan 10 
    [Switch-GigabitEthernet0/0/1] authentication-profile p1
    [Switch-GigabitEthernet0/0/1] quit

    # 配置全局默认普通域为“default”。普通用户进行接入认证时,以格式“user@default”输入用户名即可在default域下进行AAA认证。如果用户名中不携带域名或携带的域名不存在,普通用户也将会在默认普通域中进行认证。

    [Switch] domain default
    

  3. 配置管理用户“test”采用本地认证方式进行认证和授权。

    # 配置当Telnet用户通过VTY用户界面登录设备时,采用“AAA”的授权验证方式。

    [Switch] telnet server enable
    [Switch] user-interface vty 0 14
    [Switch-ui-vty0-14] authentication-mode aaa 
    [Switch-ui-vty0-14] protocol inbound telnet    
    [Switch-ui-vty0-14] quit
    

    # 创建一个名为test的本地用户,用户口令为“admin@12345”,用户级别为3。

    [Switch] aaa
    [Switch-aaa] local-user test password irreversible-cipher admin@12345 privilege level 3

    # 配置用户test的接入类型为Telnet。

    [Switch-aaa] local-user test service-type telnet

    # 使能本地账号锁定功能并配置用户的重试时间间隔为5分钟、连续认证失败的限制次数为3次以及账号锁定时间为5分钟。

    [Switch-aaa] local-aaa-user wrong-password retry-interval 5 retry-time 3 block-time 5

    # 配置认证方案auth,认证模式为Local。

    [Switch-aaa] authentication-scheme auth
    [Switch-aaa-authen-auth] authentication-mode local
    [Switch-aaa-authen-auth] quit

    # 配置授权方案autho,授权模式为Local。

    [Switch-aaa] authorization-scheme autho
    [Switch-aaa-author-autho] authorization-mode local
    [Switch-aaa-author-autho] quit

    # 配置default_admin域,在域下应用认证方案auth、授权方案autho。

    [Switch-aaa] domain default_admin
    [Switch-aaa-domain-default_admin] authentication-scheme auth
    [Switch-aaa-domain-default_admin] authorization-scheme autho
    [Switch-aaa-domain-default_admin] quit
    [Switch-aaa] quit
    

    # 配置全局默认管理域为“default_admin”。管理用户进行认证时,以格式“user@default_admin”输入用户名即可在default_admin域下进行AAA认证。如果用户名中不携带域名或携带的域名不存在,管理用户也将会在默认管理域中进行认证。

    [Switch] domain default_admin admin
    [Switch] quit
    

  4. 验证配置结果。

    # 在Switch上执行命令display dot1x interface,可以查看到802.1X认证的相关信息。

    # 当普通用户上线时,在802.1X客户端输入用户名test1和密码123456后,在设备上可以通过display access-user domaindisplay access-user user-id命令查看用户所属的域和接入类型。

    <Switch> display access-user domain default
     ------------------------------------------------------------------------------
     UserID Username             IP address             MAC               Status
     ------------------------------------------------------------------------------
     16040  test1                -                      00e0-4c97-31f6    Success
     ------------------------------------------------------------------------------
     Total: 1, printed: 1
    <Switch> display access-user user-id 16040
    Basic:
      User id                         : 16040
      User name                       : test1
      Domain-name                     : default
      User MAC                        : 00e0-4c97-31f6
      User IP address                 : -
      User IPv6 address               : -
      User access time                : 2009/02/15 19:10:52
      User accounting session ID      : huawei255255000000000f****2016040
      Option82 information            : -
      User access type                : 802.1x
    
    AAA:
      User authentication type        : 802.1x authentication
      Current authentication method   : RADIUS
      Current authorization method    : -
      Current accounting method       : RADIUS

    # 当用户使用Telnet方式登录设备时,输入用户名test和密码admin@12345后,在设备上可以通过display access-user domaindisplay access-user user-id命令查看用户所属的域和接入类型。

    <Switch> display access-user domain default_admin
     ------------------------------------------------------------------------------
     UserID Username             IP address             MAC               Status
     ------------------------------------------------------------------------------
     16009  test                 10.135.18.217          -                 Success
     ------------------------------------------------------------------------------
     Total: 1, printed: 1
    <Switch> display access-user user-id 16009
    Basic:
      User id                         : 16009
      User name                       : test
      Domain-name                     : default_admin
      User MAC                        : -
      User IP address                 : 10.135.18.217
      User IPv6 address               : -
      User access time                : 2009/02/15 05:10:52
      User accounting session ID      : huawei255255000000000f****2016009
      Option82 information            : -
      User access type                : Telnet
    
    AAA:
      User authentication type        : Administrator authentication
      Current authentication method   : Local
      Current authorization method    : Local
      Current accounting method       : None

配置文件

Switch的配置文件

#
sysname Switch
#
vlan batch 10 to 11
#
telnet server enable
#
authentication-profile name p1
 dot1x-access-profile d1
 authentication mode multi-authen max-user 100
#
radius-server template rd1
 radius-server shared-key cipher %^%#Q75cNQ6IF(e#L4WMxP~%^7'u17,]D87GO{"[o]`D%^%#
 radius-server authentication 192.168.2.30 1812 weight 80
 radius-server accounting 192.168.2.30 1813 weight 80
 radius-server retransmit 2
#
aaa
 authentication-scheme abc
  authentication-mode radius
 authentication-scheme auth
 authorization-scheme autho
 accounting-scheme abc
  accounting-mode radius
 domain default
  authentication-scheme abc
  accounting-scheme abc
  radius-server rd1
 domain default_admin
  authentication-scheme auth
  authorization-scheme autho
 local-user test password irreversible-cipher $1a$|^<)!}4$IN$9BrKBRY#L:pEc{P#HQ=OI#p["6tY%94gGg2#@FzP$
 local-user test privilege level 3
 local-user test service-type telnet
#
interface Vlanif11
 ip address 192.168.2.29 255.255.255.0
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
 authentication-profile p1
# 
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 11
#
user-interface vty 0 14
 authentication-mode aaa
 protocol inbound telnet    
# 
dot1x-access-profile name d1
#  
return
翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038441

浏览量:29608

下载量:1206

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页