组网需求
当网络中部署了RADIUS服务器,可以配置RADIUS认证,由 RADIUS 服务器统一创建和维护用户信息,当用户输入的账号和密码与RADIUS服务器上配置的一致时,才可以登录设备,登录设备后的权限级别也是通过RADIUS服务器下发。RADIUS认证常应用在对安全性要求较高的网络环境中。
如图所示,某企业中AC-Campus作为RADIUS服务器,对Telnet登录设备的管理员做认证和授权,只有认证通过的用户才能登录设备并获得相应权限。
配置思路
- 交换机
- 配置相关vlan及ip
- 使能Telnet服务
- 配置用户通过Telnet登录的认证方式为AAA
- 配置RADIUS认证:创建RADIUS服务器模板、认证计费方案并在域下引用
- 将管理员所属域设置为默认管理域,使管理员登录设备时可以不需要输入域名
- AC-Campus
- 将需要在AC-Campus认证授权管理的设备添加到AC-Campus
- 配置"设备管理业务"认证授权
- 验证
操作步骤
配置路由器接口及IP地址
client
powershell
<Huawei>sys
[Huawei]sys client
[client]vlan b 10 20
[client]int g6/0/1
[client-GigabitEthernet6/0/1]port link-type access
[client-GigabitEthernet6/0/1]port default vlan 20
[client-GigabitEthernet6/0/1]q
[client]int g6/0/0
[client-GigabitEthernet6/0/0]port link-type access
[client-GigabitEthernet6/0/0]port default vlan 10
[client-GigabitEthernet6/0/0]q
[client]int Vlanif 10
[client-Vlanif10]ip add 10.10.10.1 24
[client-Vlanif10]q
[client-Vlanif10]int Vlanif 20
[client-Vlanif20]ip add 192.168.42.100 24
[client-Vlanif20]qAR
powershell
<Huawei>sys
[Huawei]sys AR
[AR]vlan b 10
[ARint g6/0/0
[AR-GigabitEthernet6/0/0]port link-type access
[AR-GigabitEthernet6/0/0]port default vlan 10
[AR-GigabitEthernet6/0/0]q
[AR]int vl10
[AR-Vlanif10]ip add 10.10.10.2 24
[AR-Vlanif10]q启用telnet服务,并配置VTY用户界面AAA认证
client
powershell
[client]telnet server enable
[client]user-interface maximum-vty 15
[client]user-interface vty 0 14
[client-ui-vty0-4]authentication-mode aaa
[client-ui-vty0-4]protocol inbound telnet
[client-ui-vty0-4]q配置RADIUS认证模板和认证计费方案
client
powershell
[client]radius-server template ac #创建RADIUS服务器模板ac
[client-radius-ac]radius-server authentication 192.168.42.145 1812 #配置RADIUS认证服务器的IP地址和端口
[client-radius-ac]radius-server accounting 192.168.42.145 1813 #配置RADIUS计费服务器的IP地址和端口
[client-radius-ac]radius-server shared-key cipher Admin-00 #配置认证密钥和计费密钥为Admin-00
[client]radius-server authorization 192.168.42.145 shared-key cipher Admin-00 #配置RADIUS授权服务器的IP地址、共享密钥等参数
[client]aaa #进入AAA视图
[client-aaa]authentication-scheme ac #配置认证方案ac
[client-aaa-authen-ac]authentication-mode radius #配置认证方式为RADIUS
[client-aaa-authen-ac]q
[client-aaa]accounting-scheme ac #配置计费方案ac
[client-aaa-accounting-ac]accounting-mode radius #配置计费方案为RADIUS方式
[client-aaa-accounting-ac]accounting realtime 5 #配置实时计费周期为5分钟
[client-aaa-accounting-ac]q在默认管理域中引用RADIUS服务器模板和认证计费方案
client
powershell
[client]aaa
[client-aaa] domain default_admin #配置域
[client-aaa-domain-default_admin] authentication-scheme ac #配置域下绑定认证方案ac
[client-aaa-domain-default_admin] accounting-scheme ac #配置域下绑定计费方案ac
[client-aaa-domain-default_admin] radius-server ac #配置域下绑定RADIUS服务器模板ac
[client-aaa-domain-default_admin] quit
[client-aaa] quit
[client] domain default_admin #配置全局默认普通域为"default"。普通用户进行接入认证时,以格式"user@default"输入用户名即可在default域下进行AAA认证。如果用户名中不携带域名或携带的域名不存在,普通用户也将会在默认普通域中进行认证安装配置Agile Controller
安装Agile Controller
安装后检查
| 检查项 | 操作 |
|---|---|
| SM组件是否正常 | 在浏览器打开https:// SM服务器IP :8443,输入帐号admin和缺省密码Changeme123,如果登录成功说明SM组件正常。 |
| SC组件是否正常 | 1. 登录SM后选择"资源 > 用户 > 用户管理",新建一个普通帐号。 2. 在浏览器打开https:// SC服务器IP :8447/newauth,使用上一步创建的帐号如果能成功登录说明SC组件正常。 |
图形化配置
新增设备
资源-设备-设置管理
配置设备管理业务认证授权
新增认证用户
资源-用户-用户管理
新增认证规则
策略-准入控制-认证授权-认证规则
新增授权结果
策略-准入控制-认证授权-授权结果
新增授权规则
策略-准入控制-认证授权-授权规则
验证
在AR上进行telnet验证
powershell
<AR>telnet 192.168.42.100
Username:client
Password: Admin-00