评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置采用RADIUS协议进行认证和计费示例
组网需求
如图1-19所示,用户同处于user域,Switch作为目的网络接入服务器。用户需要通过服务器的远端认证才能通过Switch访问目的网络。在Switch上的远端认证方式如下:
用RADIUS服务器对接入用户进行认证、计费。
RADIUS服务器10.7.66.66/24作为主用认证服务器和计费服务器,RADIUS服务器10.7.66.67/24作为备用认证服务器和计费服务器,认证端口号缺省为1812,计费端口号缺省为1813。
配置思路
用如下的思路配置采用RADIUS协议对用户进行认证和计费。
- 配置RADIUS服务器组。
- 配置认证方案、计费方案。
- 在域下应用RADIUS服务器组、认证方案和计费方案。
- 请确保Switch与RADIUS服务器路由可达。
- 如果RADIUS服务器不接受包含域名的用户名,可以在RADIUS服务器模板视图下,配置命令radius server user-name domain-excluded使设备向RADIUS服务器发送的报文中的用户名不包含域名。
- 域被配置成全局默认管理域之后,用户的用户名中携带该域名或者不携带域名时,会使用全局默认管理域下的AAA配置信息。
操作步骤
- 配置RADIUS服务器组
# 配置RADIUS服务器组shiva。
<HUAWEI> system-view [HUAWEI] sysname Switch [*HUAWEI] commit [~Switch] radius enable [*Switch] radius server group shiva
# 配置RADIUS主用认证服务器和计费服务器的IP地址、端口。
[*Switch-radius-shiva] radius server authentication 10.7.66.66 1812 [*Switch-radius-shiva] radius server accounting 10.7.66.66 1813
# 配置RADIUS备用认证服务器和计费服务器的IP地址、端口。
[*Switch-radius-shiva] radius server authentication 10.7.66.67 1812 secondary [*Switch-radius-shiva] radius server accounting 10.7.66.67 1813 secondary
# 配置RADIUS服务器密钥、重传次数以及设备向RADIUS服务器发送的报文中的用户名不包含域名。
请确保RADIUS服务器组内的共享密钥和RADIUS服务器上的配置保持一致。
[*Switch-radius-shiva] radius server shared-key-cipher Huawei@2012 [*Switch-radius-shiva] radius server retransmit 2 [*Switch-radius-shiva] radius server user-name domain-excluded [*Switch-radius-shiva] commit [~Switch-radius-shiva] quit
- 配置认证方案、计费方案
# 配置认证方案auth,认证模式为RADIUS。
[~Switch] aaa [~Switch-aaa] authentication-scheme auth [*Switch-aaa-authen-auth] authentication-mode radius [*Switch-aaa-authen-auth] commit [~Switch-aaa-authen-auth] quit
# 配置计费方案abc,计费模式为RADIUS。
[~Switch-aaa] accounting-scheme abc [*Switch-aaa-accounting-abc] accounting-mode radius [*Switch-aaa-accounting-abc] commit [~Switch-aaa-accounting-abc] quit
- 配置user域,在域下应用认证方案auth、计费方案abc、RADIUS服务器组shiva
[~Switch-aaa] domain user [*Switch-aaa-domain-user] authentication-scheme auth [*Switch-aaa-domain-user] accounting-scheme abc [*Switch-aaa-domain-user] radius server group shiva [*Switch-aaa-domain-user] commit [~Switch-aaa-domain-user] quit
- 配置user域为全局默认管理域
[~Switch-aaa] default-domain admin user [*Switch-aaa] commit [~Switch-aaa] quit [~Switch] quit
- 检查配置结果
# 在Switch上执行命令display radius server configuration group,可以观察到该RADIUS服务器组的配置与要求一致。
<Switch> display radius server configuration group shiva ----------------------------------------------------------------------------- Server group name : shiva Protocol version : standard Shared secret key : **************** Timeout interval(in second) : 5 Primary authentication server : 10.7.66.66-1812:-:-:- Primary accounting server : 10.7.66.66-1813:-:-:- Secondary authentication server : 10.7.66.67-1812:-:-:- Secondary accounting server : 10.7.66.67-1813:-:-:- Retransmission : 2 Domain included : YES Mode : Pri-secondary -----------------------------------------------------------------------------
配置文件
Switch的配置文件
# sysname Switch # radius server group shiva radius server shared-key-cipher %^%#!{{K=Y2lo>*\L5A=e}P%vBhqTJbsQ3$S^9<bb`i8%^%# radius server authentication 10.7.66.66 1812 radius server authentication 10.7.66.67 1812 secondary radius server accounting 10.7.66.66 1813 radius server accounting 10.7.66.67 1813 secondary radius server retransmit 2 radius server user-name domain-excluded # aaa default-domain admin user authentication-scheme auth authentication-mode radius # accounting-scheme abc accounting-mode radius # domain default # domain default_admin # domain user authentication-scheme auth accounting-scheme abc radius server group shiva # return
