华为ac配置radius认证服务器_华为AAA结合Radius服务器认证学习

因公司人员变动比较频繁，经常需要对公司网络设备登陆用户名和密码进行变更。然而公司设备又比较多，一次更改密码非常浪费时间，故打算对所有网络设备进行统一认证管理。

本实验是对实际环境的模拟，配置相对实际应用当中更丰富，也利于学习。

实验前提：

1、本拓扑中已具备Radius认证服务器，也就是ACS5.2作为Radius服务器，服务器的地址是192.168.157.200。

2、本实验是简单网络环境，和实际网络可能有所差距，但原理是一样的：所有网络设备到Radius服务器的路由是通的。

3、本实验当中的Radius认证服务器是ACS5.2。认证服务器有很多，原理是一样的，根据各人习惯和擅长选择使用。

实验拓扑：

华为AAA配置原则：

1、先进入aaa视图，创建authentication-scheme模板；

2、创建authorization-scheme和accounting-scheme模板(可选)；

3、全局视图下，创建radius-servertemplate模板并配置相应规则；

4、aaa视图下，创建服务模板service-scheme；

5、创建domain(或者使用default_admin域)，并调用authentication-scheme模板、authorization-scheme模板、accounting-scheme模板、radius-servertemplate模板、service-scheme模板(根据自己需要选择调用)；

6、在user-interface下选择认证的方式。

实验配置：

1、[CoreSwitch]aaa

[CoreSwitch-aaa]authentication-schemeacsvty//在创建一个模板，命名为acsvty//

[CoreSwitch-aaa-authen-acsvty]authentication-moderadiuslocal//此模板下的认证方式为首先用radius服务器认证，如果无法连接radius服务器，则其次调用本地认证(如果能够和radius服务器通信，但用户名密码不对，是不会调用备份的本地认证的)//

[CoreSwitch-aaa-authen-acsvty]qui

2、本实验没有做授权和审计(略过)

3、

[CoreSwitch]radius-servertemplateacs5.2//创建radius-server模板，名为acs5.2//

Info:Createanewservertemplate.

[CoreSwitch-radius-acs5.2]radius-serverauthentication192.168.157.2001812

//在模板中指定认证服务器的IP地址为157.200，端口号为1812(radius认证端口号一般为1812，审计为1813)//

[CoreSwitch-radius-acs5.2]radius-serverauthentication1.1.1.11812secondary

//指定模板中的备份服务器IP地址和端口号//

[CoreSwitch-radius-acs5.2]radius-servershared-keysimplehuawei

//配置交换机和radius服务器通信的密钥为huawei，防止非法radius服务器或者非法网络设备接入//

[CoreSwitch-radius-acs5.2]radius-servertimeout3retransmit2

//指定radius服务器的超时时间为3秒，重传次数为2次//

[CoreSwitch-radius-acs5.2]undoradius-serveruser-namedomain-included

//此命令的作用是当输入用户名带有域名时，交换机自动把域名去掉然后把用户名发送给radius服务器.例：用户名输入vtyuser1@wangrx，交换机只会把vtyuser1当作用户名发送给radius服务器进行认证，把域名去掉了。至于域名用什么作为分隔符、从左往右还是从右往左识别，都可以在模板中配置，在此不多说了，查文档就有//

4、

[CoreSwitch]aaa

[CoreSwitch-aaa]service-schemeadmin

//创建service-scheme模板，命名为admin//

[CoreSwitch-aaa-service-admin]admin-userprivilegelevel15

//配置admin-user的权限为15级//

5、

[CoreSwitch-aaa]domainwangrx

//创建wangrx域，域内的用户认证时用户名需要带域名。如：vtyuser@wangrx为用户名//

[CoreSwitch-aaa-domain-wangrx]authentication-schemeacs5.2

//调用认证模板。如果需要，调用授权和审计模板.此处没配置审计模板，不作调用//

[CoreSwitch-aaa-domain-wangrx]service-schemeadmin

//调用服务模板//

[CoreSwitch-aaa-domain-wangrx]radius-serveracs

//调用radius服务器模板//

6、

[CoreSwitch]telnetserverenable

[CoreSwitch]user-interfacevty04

[CoreSwitch-ui-vty0-4]authentication-modeaaa

[CoreSwitch-ui-vty0-4]protocolinboundtelnet

[CoreSwitch]user-interfaceconsole0

[CoreSwitch-ui-console0]authentication-modeaaa

radius服务器配置相关配置：

上面是用户账号:vtyuser1vtyuser2

验证：

认证在wangrx域中，成功。

用户认证在default_admin域中，也就是不在任何域中，在默认的域中。

【华为有两个默认域，就是domaindefault和domaindefault_admin。这两个域是不同的

default域为接入用户(通过NAC进行认证的用户)的缺省域。

default_admin为管理员(通过HTTP，SSH，Telnet，Terminal或FTP方式登录设备的用户)的缺省域

】

此处，vtylocal1用户是本地用户，当radius服务器好用的时候，本地用户是不能通过认证的，也就是不会启用本地认证。当radius服务器挂了的时候，才会调用本地认证(或不认证none)。

[CoreSwitch-aaa-authen-acsvty]authentication-moderadiuslocal

建议在vty接口下使用authentication-moderadiuslocal,备份认证是本地认证；但在con口下，使用authentication-moderadiusnone，备份认证是none，也就是不认证。因为，如果交换机备份认证是本地，而本地没有用户的话，就没有办法认证了，这台设备也就无法登陆了。

交换机的全部配置如下：

dis cur

#

sysname Core Switch

#

vlan batch 10 20 30 157

#

cluster enable

ntdp enable

ndp enable

#

drop illegal-mac alarm

#

dhcp enable

#

diffserv domain default

#

radius-server template acs

radius-server authentication 192.168.157.200 1812

radius-server retransmit 2 timeout 6

undo radius-server user-name domain-included

#

#

drop-profile default

#

aaa

authentication-scheme default

authentication-scheme acsvty

authentication-mode radius local

authentication-scheme acscon

authentication-mode radius none

authorization-scheme default

accounting-scheme default

service-scheme admin

admin-user privilege level 15

domain default

domain default_admin

authentication-scheme acsvty

service-scheme admin

radius-server acs

domain wangrx

authentication-scheme acscon

service-scheme admin

radius-server acs

local-user admin password simple admin

local-user admin service-type http

local-user vtylocal1 password simple huawei123

local-user vtylocal1 privilege level 15

local-user vtylocal1 service-type telnet

#

interface Vlanif1

#

interface Vlanif10

ip address 10.1.1.1 255.255.255.0

dhcp select interface

#

interface Vlanif20

ip address 20.1.1.1 255.255.255.0

dhcp select interface

#

interface Vlanif30

ip address 30.1.1.1 255.255.255.0

dhcp select interface

#

interface Vlanif157

ip address 192.168.157.111 255.255.255.0

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 20

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 30

#

interface GigabitEthernet0/0/4

#

interface GigabitEthernet0/0/5

#

interface GigabitEthernet0/0/6

#

interface GigabitEthernet0/0/7

#

interface GigabitEthernet0/0/8

#

interface GigabitEthernet0/0/9

#

interface GigabitEthernet0/0/10

#

interface GigabitEthernet0/0/11

#

interface GigabitEthernet0/0/12

#

interface GigabitEthernet0/0/13

#

interface GigabitEthernet0/0/14

#

interface GigabitEthernet0/0/15

#

interface GigabitEthernet0/0/16

#

interface GigabitEthernet0/0/17

#

interface GigabitEthernet0/0/18

#

interface GigabitEthernet0/0/19

#

interface GigabitEthernet0/0/20

#

interface GigabitEthernet0/0/21

#

interface GigabitEthernet0/0/22

#

interface GigabitEthernet0/0/23

#

interface GigabitEthernet0/0/24

port link-type access

port default vlan 157

#

interface NULL0

#

user-interface con 0

authentication-mode aaa

user-interface vty 0 4

authentication-mode aaa

#

return