当前位置:文档之家› 配置采用RADIUS协议进行认证

配置采用RADIUS协议进行认证

配置采用RADIUS协议进行认证、计费和授权示例组网需求如图1所示,用户通过RouterA访问网络,用户同处于huawei域。

RouterB作为目的网络接入服务器。

用户首先需要穿越RouterA和RouterB所在的网络,然后通过服务器的远端认证才能通过RouterB访问目的网络。

在RouterB上的远端认证方式如下:•用RADIUS服务器对接入用户进行认证、计费。

•RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器,RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器,认证端口号缺省为1812,计费端口号缺省为1813。

图1 采用RADIUS协议对用户进行认证和计费组网图配置思路用如下的思路配置采用RADIUS协议对用户进行认证和计费。

1.配置RADIUS服务器模板。

2.配置认证方案、计费方案。

3.在域下应用RADIUS服务器模板、认证方案和计费方案。

数据准备为完成此配置举例,需要准备如下数据:•用户所属的域名•RADIUS服务器模板名•认证方案名、认证模式、计费方案名、计费模式•主用和备用RADIUS服务器的IP地址、认证端口号、计费端口号•RADIUS服务器密钥和重传次数说明:以下配置均在RouterB上进行。

操作步骤1.配置接口的IP地址和路由,使用户和服务器之间路由可达。

2.配置RADIUS服务器模板# 配置RADIUS服务器模板shiva。

<Huawei> system-view[Huawei] radius-server template shiva# 配置RADIUS主用认证服务器和计费服务器的IP地址、端口。

[Huawei-radius-shiva] radius-server authentication 129.7.66.66 1812[Huawei-radius-shiva] radius-server accounting 129.7.66.66 1813# 配置RADIUS备用认证服务器和计费服务器的IP地址、端口。

[Huawei-radius-shiva] radius-server authentication 129.7.66.67 1812 secondary [Huawei-radius-shiva] radius-server accounting 129.7.66.67 1813 secondary# 配置RADIUS服务器密钥、重传次数。

[Huawei-radius-shiva] radius-server shared-key cipher hello[Huawei-radius-shiva] radius-server retransmit 2[Huawei-radius-shiva] quit3.配置认证方案、计费方案# 配置认证方案1,认证模式为RADIUS。

[Huawei] aaa[Huawei-aaa] authentication-scheme 1[Huawei-aaa-authen-1] authentication-mode radius[Huawei-aaa-authen-1] quit# 配置计费方案1,计费模式为RADIUS。

[Huawei-aaa] accounting-scheme 1[Huawei-aaa-accounting-1] accounting-mode radius[Huawei-aaa-accounting-1] quit4.配置huawei域,在域下应用认证方案1、计费方案1、RADIUS模板shiva5. [Huawei-aaa] domain huawei6. [Huawei-aaa-domain-huawei] authentication-scheme 17. [Huawei-aaa-domain-huawei] accounting-scheme 1[Huawei-aaa-domain-huawei] radius-server shiva8.检查配置结果在RouterB上执行命令display radius-server configuration template,可以观察到该RADIUS服务器模板的配置与要求一致。

<Huawei> display radius-server configuration template shiva--------------------------------------------------------------------Server-template-name : shivaProtocol-version : standardTraffic-unit : BShared-secret-key : 3MQ*TZ,O3KCQ=^Q`MAF4<1!!Timeout-interval(in second) : 5Primary-authentication-server : 129.7.66.66;1812; LoopBack:NULLPrimary-accounting-server : 129.7.66.66;1813; LoopBack:NULLSecondary-authentication-server : 129.7.66.67;1812; LoopBack:NULLSecondary-accounting-server : 129.7.66.67;1813; LoopBack:NULLRetransmission : 2Domain-included : YES-------------------------------------------------------------------配置文件#radius-server template shivaradius-server shared-key cipher 3MQ*TZ,O3KCQ=^Q`MAF4<1!!radius-server authentication 129.7.66.66 1812radius-server authentication 129.7.66.67 1812 secondaryradius-server accounting 129.7.66.66 1813radius-server accounting 129.7.66.67 1813 secondaryradius-server retransmit 2#aaaauthentication-scheme defaultauthentication-scheme 1authentication-mode radiusauthorization-scheme defaultaccounting-scheme defaultaccounting-scheme 1accounting-mode radiusdomain defaultdomain default_admindomain huaweiauthentication-scheme 1accounting-scheme 1radius-server shiva#return配置Web认证示例通过配置Web认证,未认证用户在接入网络前必须通过指定的网页完成Web认证才能访问网络资源,从而保证网络的安全。

组网需求如图1所示,用户通过Router访问网络。

为了保证网络的安全性,要求在用户接入网络时进行Web认证。

用户在通过认证前,只能访问指定的网络地址。

图1 配置Web认证组网图配置思路用如下的思路配置Web认证。

1. 配置AAA认证,用来用户名和密码发送到RADIUS服务器进行认证。

2. 配置Web认证,用来对接口Ethernet2/0/1下的用户进行认证。

3. 配置Free rule,保证用户在通过认证前可以访问指定的网络地址。

数据准备为完成此配置举例,需要准备如下数据:•接口加入的VLAN和VLANIF接口的IP地址(具体数据如图1所示)。

•RADIUS服务器IP地址为192.168.2.30/24,认证端口号为1812。

•RADIUS服务器密钥为web-isp,重传次数为3。

•AAA认证方案scheme1。

•RADIUS服务器模版temp1。

•Web认证服务器模板isp-server。

•Web认证服务器地址为192.168.2.20/24。

•Web认证服务器URL为。

•用户属于域的名称为isp。

说明:本案例只包括Router的配置,RADIUS服务器的配置这里不做相关说明。

操作步骤1. 配置接口的IP地址2. <Huawei> system-view3. [Huawei] vlan batch 10 204. [Huawei-vlan10] quit5. [Huawei] interface ethernet 2/0/16. [Huawei-Ethernet2/0/1] port link-type access7. [Huawei-Ethernet2/0/1] port default vlan 108. [Huawei-Ethernet2/0/1] quit9. [Huawei] interface vlanif 1010. [Huawei-Vlanif10] ip address 192.168.1.10 2411. [Huawei-Vlanif10] quit12. [Huawei] interface ethernet 2/0/213. [Huawei-Ethernet2/0/2] port hybrid pvid vlan 2014. [Huawei-2/0/2] quit15. [Huawei] interface vlanif 2016. [Huawei-Vlanif20] ip address 192.168.2.10 2417. [Huawei-Vlanif20] quit18.配置RADIUS服务器模板# 配置RADIUS服务器模板temp1。

[Huawei] radius-server template temp1# 配置RADIUS主用认证服务器的IP地址、端口。

[Huawei-radius-temp1] radius-server authentication 192.168.2.30 1812# 配置RADIUS服务器密钥、重传次数。

[Huawei-radius-temp1] radius-server shared-key cipher web-isp[Huawei-radius-temp1] radius-server retransmit 3[Huawei-radius-temp1] quit19.配置认证方案,认证方案scheme1,认证方法为RADIUS20. [Huawei] aaa21. [Huawei–aaa] authentication-scheme scheme122. [Huawei-aaa-scheme1] authentication-mode radius[Huawei-aaa-scheme1] quit23.配置isp域,绑定认证方式和RADIUS服务器模板24. [Huawei-aaa] domain isp25. [Huawei-aaa-domain-isp] authentication-scheme scheme126. [Huawei-aaa-domain-isp] radius-server temp127. [Huawei-aaa-domain-isp] quit[Huawei-aaa-domain] quit28.配置Web认证# 配置Web认证服务器模板。

相关主题

相关文档推荐: