发布时间: 2017-03-22 | 浏览次数: 649 | 下载次数: 0 | 作者: SU1001727208 | 文档编号: EKB1000558090
当网络中部署了RADIUS服务器,可以配置RADIUS认证,由RADIUS服务器统一创建和维护用户信息,当用户输入的帐号和密码与RADIUS服务器上配置的一致时,才可以登录设备,登录设备后的权限级别也是通过RADIUS服务器下发。RADIUS认证常应用在对安全性要求较高的网络环境中,例如金融、政府和运营商等行业。
某企业中AC-Campus作为RADIUS服务器,对SSH登录设备的管理员做认证和授权,只有认证通过的用户才能登录设备并获得相应权限。
交换机和agile controller的配置如下所示:
一、交换机基本配置(VLAN、端口、IP地址)
vlan batch 2
interface GigabitEthernet0/0/2
port link-type access
port default vlan 2
interface Vlanif1
ip address 1.1.1.2 255.255.255.0
interface Vlanif2
ip address 192.168.153.200 255.255.255.0
二、配置radius服务器模板、认证计费方案和认证域
radius-server template test
radius-server shared-key cipher Huawei@123
radius-server authentication 192.168.153.130 1812
radius-server accounting 192.168.153.130 1813
radius-server authorization 192.168.153.130 shared-key cipher Huawei@123
#
aaa
authentication-scheme radius
authentication-mode radius
accounting-scheme radius
accounting-mode radius
domain default_admin //登录管理设备的默认域
authentication-scheme radius
accounting-scheme radius
radius-server test
#
三、配置交换机的SSH功能
user-interface vty 0 4
authentication-mode aaa
protocol inbound all
stelnet server enable
ssh authentication-type default password //由于所有的用户信息都在radius服务器上面,设备侧只配置SSH用户默认使用密码认证,不用在设备上面创建SSH用户;
四、在agile controller添加交换机,实现radius对接
资源-设备-设备管理-增加
五、配置认证规则、授权规则
认证规则使用默认的即可;(如果要修改的话在策略-准入控制-认证授权-认证规则修改或者新加)
配置授权规则,先配置授权结果,策略-准入控制-认证授权-授权结果-增加;
配置授权规则:(授权条件根据需求进行配置,基本参数和授权结果必须配置)
所有的配置都完成了,接下来就是验证结果了;
在管理员的终端设备(以交换机模拟终端设备)ssh登录交换机,结果如下:
Agile controller上面在线用户详细信息和radius认证日志和报文处理流程如下:
在线用户详细信息:
radius认证日志详细信息;
radiu认证报文处理步骤: