发布时间: 2016-07-18 | 浏览次数: 450 | 下载次数: 1 | 作者: zhengwanwen | 文档编号: EKB1000139298
该局点需要使用一台华为NE40E设备替换一台思科7609路由器,但是按照脚本翻译后,在华为路由器上对ACS服务器认证出现问题,问题现象为登录该华为路由器时必须输入admin@fuk的后缀域名才能登录到设备上,而原思科路由器不需要输入后缀域名就可以登录。
登录该华为路由器时必须输入admin@fuk的后缀域名才能登录到设备上,而原思科路由器不需要输入后缀域名就可以登录。
配置信息如下:
hwtacacs-server template test
hwtacacs-server authentication 1.1.1.1
hwtacacs-server authorization 1.1.1.1
hwtacacs-server accounting 1.1.1.1
hwtacacs-server source-ip 1.1.1.2
hwtacacs-server shared-key simple 1234567
undo hwtacacs-server user-name domain-included
authentication-scheme test
authentication-mode hwtacacs
authorization-scheme test
authorization-mode hwtacacs
accounting-scheme test
accounting-mode hwtacacs
domain fuk
authentication-scheme test
accounting-scheme test
authorization-scheme test
首先思考路由器和ACS服务器的之间是否能通,然后在判断ACS服务器的端口是否正常打开,以上都正常后,将线接回思科路由器上发现思科路由器还是不需要输入后缀域名,而华为路由器需要输入后缀域名才能登录设备,因此判断问题应该在华为路由器配置上。
通过查看产品文档以及联系400分析配置原因,了解到华为路由器在登录时输入后缀域名为选择需要路由器里面需要匹配的DOMAIN,而路由器是否发送域名给ACS服务器进行认证是通过undo hwtacacs-server user-name domain-included这条命令来实现的,而华为路由器默认DOMAIN为(domain default_admin),因此想要实现登录时不输入后缀域名且在路由器发送给ACS服务器时不带域名的话必须要在 domain default_admin下来配置,并且在hwtacacs-server template下使用undo hwtacacs-server user-name domain-included就可以实现原思科路由器的登录方式。
通过查看产品文档以及联系400分析配置原因,了解到华为路由器在登录时输入后缀域名为选择需要路由器里面需要匹配的DOMAIN,而路由器是否发送域名给ACS服务器进行认证是通过undo hwtacacs-server user-name domain-included这条命令来实现的,而华为路由器默认DOMAIN为(domain default_admin),因此想要实现登录时不输入后缀域名且在路由器发送给ACS服务器时不带域名的话必须要在 domain default_admin下来配置,并且在hwtacacs-server template下使用undo hwtacacs-server user-name domain-included就可以实现原思科路由器的登录方式。
1、要充分了解hwtacacs的认证流程。
2、当登录时输入后缀域名是在匹配路由器本地使用哪个DOMAIN域进行认证,如果不输后缀域名默认是domain default_admin
3、路由器和认证服务器间是否携带后缀域名是在hwtacacs-server template下使用undo hwtacacs-server user-name domain-included来实现控制是否需要携带后缀域名。
4、因相关配置涉及局点的国家机密,所有配置名称已经修改为TEST等。