案例:华为S2000-HI交换机与cisco的acs结合做认证一、组网需求:某公司内部网络采用统一式管理,将所有设备的帐号和密码的认证任务统一交给Radius服务器(ACS)。ACS Server和交换机之间只要路由通即可,无特殊要求。二、组网拓扑图:实验设备:Windows (作为acs服务器) 华为二层交换机一台 客户机一台三.实验步骤:1.安装ACS服务器(略)2.在cisco的ACS中导入华为私有Radius属性1. 编写h3c.ini文件(以下即为文件内容) [User Defined Vendor] Name=Huawei IETF Code= VSA 29=hw_Exec_Privilege [hw_Exec_Privilege] Type=INTEGER Profile=IN OUT Enums=hw_Exec_Privilege-Values [hw_Exec_Privilege-Values] 0=Access 1=Monitor 2=Manager 3=Administrator 注:此文件主要用于定义私有属性的值 2. 将上面定义的文件导入到ACS中 ACS提供了命令接口来导入私有属性,此步骤主要将h3c.ini通过命令导入到ACS中去。导入过程如下: (1) 点击ACS Server的windows开始菜单,在运行中输入cmd,打开一个命令行窗口 (2) 进入ACS的bin目录,在默认安装的情况下,该目录为 c:\Program Files\CiscoSecure ACS v4.0\bin (3) 执行导入命令:选择y,继续 3.配置ACS服务器interface configuration设置:radius (HuaWei) 设置interface configuration advanced options全部勾上 networkconfiguration组设置:勾上015,选择对telnet进行设置 勾上最后一行,选择华为的administrator 用户设置:添加用户:名称:test密码:1234564.在华为交换机上配置radius认证:radius scheme xxx primaryauthentication 192.168.100.10 key authentication 123456 accounting optional server-type standard user-name-format without-domain quit domain h3c radius-scheme xxx access-limit enable 10 accounting optional authentication radius-scheme xxx state active quit user-interface vty 0 4 authentication-mode scheme accounting commands scheme quit super password simple 4565.客户端测试:客户端测试登录交换机:(使用用户名:test@h3c密码:123456,并使用super 3提升权限) 实验成功。
此为本人个人实验,最终解释权归作者所有
/3/13 17:00