Agile Controller实现AAA示例

简介: 本文介绍了通过RADIUS服务器实现设备管理的组网需求与配置方法。在网络中部署RADIUS服务器后,可通过其统一管理和认证用户信息,确保安全性。具体步骤包括:配置交换机的VLAN和IP地址、启用Telnet服务并设置VTY用户界面AAA认证、创建RADIUS认证模板与计费方案,并在默认管理域中引用这些配置。此外,还涉及Agile Controller的安装与图形化配置,如新增设备、认证用户、规则及授权结果等。最后通过Telnet验证配置是否成功。此方案适用于对安全性要求较高的网络环境。

组网需求

当网络中部署了RADIUS服务器,可以配置RADIUS认证,由 RADIUS 服务器统一创建和维护用户信息,当用户输入的账号和密码与RADIUS服务器上配置的一致时,才可以登录设备,登录设备后的权限级别也是通过RADIUS服务器下发。RADIUS认证常应用在对安全性要求较高的网络环境中。

如图所示,某企业中AC-Campus作为RADIUS服务器,对Telnet登录设备的管理员做认证和授权,只有认证通过的用户才能登录设备并获得相应权限。

配置思路

  1. 交换机
  1. 配置相关vlan及ip
  2. 使能Telnet服务
  3. 配置用户通过Telnet登录的认证方式为AAA
  4. 配置RADIUS认证:创建RADIUS服务器模板、认证计费方案并在域下引用
  5. 将管理员所属域设置为默认管理域,使管理员登录设备时可以不需要输入域名
  1. AC-Campus
  1. 将需要在AC-Campus认证授权管理的设备添加到AC-Campus
  2. 配置”设备管理业务”认证授权
  1. 验证

操作步骤

配置路由器接口及IP地址

client

<Huawei>sys
[Huawei]sys client
[client]vlan b 10 20
[client]int g6/0/1
[client-GigabitEthernet6/0/1]port link-type access 
[client-GigabitEthernet6/0/1]port default vlan 20
[client-GigabitEthernet6/0/1]q
[client]int g6/0/0
[client-GigabitEthernet6/0/0]port link-type access 
[client-GigabitEthernet6/0/0]port default vlan 10
[client-GigabitEthernet6/0/0]q
[client]int Vlanif 10
[client-Vlanif10]ip add 10.10.10.1 24
[client-Vlanif10]q
[client-Vlanif10]int Vlanif 20
[client-Vlanif20]ip add 192.168.42.100 24
[client-Vlanif20]q

AR

<Huawei>sys
[Huawei]sys AR
[AR]vlan b 10
[ARint g6/0/0
[AR-GigabitEthernet6/0/0]port link-type access 
[AR-GigabitEthernet6/0/0]port default vlan 10
[AR-GigabitEthernet6/0/0]q
[AR]int vl10
[AR-Vlanif10]ip add 10.10.10.2 24
[AR-Vlanif10]q

启用telnet服务,并配置VTY用户界面AAA认证

client

[client]telnet server enable
[client]user-interface maximum-vty 15
[client]user-interface vty 0 14
[client-ui-vty0-4]authentication-mode aaa
[client-ui-vty0-4]protocol inbound telnet 
[client-ui-vty0-4]q

配置RADIUS认证模板和认证计费方案

client

[client]radius-server template ac #创建RADIUS服务器模板ac
[client-radius-ac]radius-server authentication 192.168.42.145 1812 #配置RADIUS认证服务器的IP地址和端口
[client-radius-ac]radius-server accounting 192.168.42.145 1813 #配置RADIUS计费服务器的IP地址和端口
[client-radius-ac]radius-server shared-key cipher Admin-00 #配置认证密钥和计费密钥为Admin-00
[client]radius-server authorization 192.168.42.145 shared-key cipher Admin-00  #配置RADIUS授权服务器的IP地址、共享密钥等参数
[client]aaa #进入AAA视图
[client-aaa]authentication-scheme ac #配置认证方案ac
[client-aaa-authen-ac]authentication-mode radius #配置认证方式为RADIUS
[client-aaa-authen-ac]q
[client-aaa]accounting-scheme ac #配置计费方案ac
[client-aaa-accounting-ac]accounting-mode radius #配置计费方案为RADIUS方式
[client-aaa-accounting-ac]accounting realtime 5 #配置实时计费周期为5分钟
[client-aaa-accounting-ac]q

在默认管理域中引用RADIUS服务器模板和认证计费方案

client

[client]aaa 
[client-aaa] domain default_admin #配置域
[client-aaa-domain-default_admin] authentication-scheme ac #配置域下绑定认证方案ac
[client-aaa-domain-default_admin] accounting-scheme ac #配置域下绑定计费方案ac
[client-aaa-domain-default_admin] radius-server ac #配置域下绑定RADIUS服务器模板ac
[client-aaa-domain-default_admin] quit
[client-aaa] quit
[client] domain default_admin  #配置全局默认普通域为“default”。普通用户进行接入认证时,以格式“user@default”输入用户名即可在default域下进行AAA认证。如果用户名中不携带域名或携带的域名不存在,普通用户也将会在默认普通域中进行认证

安装配置Agile Controller,公众号同名

安装后检查

检查项

操作

SM组件是否正常

在浏览器打开https://SM服务器IP:8443,输入帐号admin和缺省密码Changeme123,如果登录成功说明SM组件正常。

SC组件是否正常

  1. 登录SM后选择资源 > 用户 > 用户管理,新建一个普通帐号。
  2. 在浏览器打开https://SC服务器IP:8447/newauth,使用上一步创建的帐号如果能成功登录说明SC组件正常。

图形化配置

新增设备

资源-设备-设置管理

配置设备管理业务认证授权

新增认证用户

资源-用户-用户管理

新增认证规则

策略-准入控制-认证授权-认证规则

新增授权结果

策略-准入控制-认证授权-授权结果

新增授权规则

策略-准入控制-认证授权-授权规则

验证

在AR上进行telnet验证

<AR>telnet 192.168.42.100
Username:client
Password: Admin-00
目录
打赏
0
6
6
0
41
分享
相关文章
从 o11y 2.0 说起,大数据 Pipeline 的「多快好省」之道
SLS 是阿里云可观测家族的核心产品之一,提供全托管的可观测数据服务。本文以 o11y 2.0 为引子,整理了可观测数据 Pipeline 的演进和一些思考。
259 34
DeepSeek‑R1-0528 重磅升级:蚂蚁百宝箱免费、无限量调用
DeepSeek-R1-0528 版本重磅升级,推理能力显著增强,在数学、编程和通用逻辑等基准测评中表现卓越,媲美国际顶尖模型。此次更新提供免费、无限量调用通道——蚂蚁百宝箱,用户可通过简单五步构建智能体并发布至多端平台。模型基于 DeepSeek V3 Base,参数规模达 685B,上下文长度最高支持 128K,助力开发者快速嵌入顶尖推理能力,打造创新应用。立即访问蚂蚁百宝箱体验!
209 11
Higress MCP Server 安全再升级:API 认证为 AI 连接保驾护航
Higress MCP Server 新增了 API 认证功能,为 AI 连接提供安全保障。主要更新包括:1) 客户端到 MCP Server 的认证,支持 Key Auth、JWT Auth 和 OAuth2;2) MCP Server 到后端 API 的认证,增强第二阶段的安全性。新增功能如可重用认证方案、工具特定后端认证、透明凭证透传及灵活凭证管理,确保安全集成更多后端服务。通过 openapi-to-mcp 工具简化配置,减少手动工作量。企业版提供更高可用性保障,详情参见文档链接。
437 42
解决CentOS启动时挂载/sysroot失败
总的来说,解决/sysroot挂载失败的问题就像解开一串连环谜题,需要耐心和技巧。通过以上步骤,大多数时候我们可以找到问题的答案,打开系统启动的大门,让它顺利运行起来。
184 66
在centos7.x上安装配置nginx
本文介绍了两种安装和配置Nginx的方法。第一种方法通过Yum源安装,包括安装`yum-utils`工具、添加Nginx源、安装Nginx并启动服务,最后部署了一个JavaScript飞机大战项目进行测试。第二种方法为源码编译安装,涵盖依赖包安装、创建用户、下载与解压Nginx源码、配置编译参数、编译安装及启动服务等步骤,并验证了Nginx的访问功能。两种方法各有优劣,可根据实际需求选择适合的方式。
JDK1.8 新特性详解及具体使用方法
本文详细介绍了JDK 1.8的新特性及其组件封装方法,涵盖Lambda表达式、Stream API、接口默认与静态方法、Optional类、日期时间API、方法引用、Nashorn JavaScript引擎及类型注解等内容。通过具体代码示例,展示了如何利用这些特性简化代码、提高开发效率。例如,Lambda表达式可替代匿名内部类,Stream API支持集合的函数式操作,Optional类避免空指针异常,新日期时间API提供更强大的时间处理能力。合理运用这些特性,能够显著提升Java代码的简洁性、可读性和可维护性。
247 50
配置DHCP Snooping的攻击防范功能示例
本文介绍了通过配置DHCP Snooping功能来防范DHCP攻击的组网需求与实现方法。网络中存在多种针对DHCP的攻击,如仿冒DHCP Server、报文泛洪、仿冒报文及服务拒绝等,这些攻击可能严重影响网络正常运行。为保障DHCP用户服务质量,需在DHCP Relay上配置DHCP Snooping功能。具体包括:配置DHCP转发、启用基本防护功能、限制报文速率、绑定表匹配检查及接入用户数限制等步骤。最后通过命令验证配置结果,确保功能正常运行。
配置DHCP Snooping的攻击防范功能示例
当无人机遇上Agentic AI:新的应用场景及挑战
本文简介了Agentic AI与AI Agents的不同、Agentic无人机的概念、应用场景、以及所面临的挑战
136 5
当无人机遇上Agentic AI:新的应用场景及挑战
浙江大学联合阿里云举办的全国高校人工智能师资素养提升交流活动圆满结束丨云工开物
为推动人工智能与教育深度融合,浙江大学联合阿里云举办“2025年全国高校人工智能师资素养提升交流活动”。活动吸引121所高校及单位的579名教师参与,通过项目实例讲解、平台实践训练等方式,助力教师掌握AI技术并融入教学。活动中,浙江大学与阿里云专家分享了前沿技术和应用案例,参访浙大艺博馆与阿里云展厅,并完成AIGC辅助设计实训。未来,双方将持续推进数字化技能培训,支持高校AI人才培养。
AI 零成本搭建个人网站,小白 3 步搞定!通义灵码智能体+MCP 新玩法
通过AI技术,即使不编写代码也能高效开发项目。从生成诗朗诵网页到3D游戏创建,这些令人惊叹的操作如今触手可及。经过摸索,我利用AI成功上线了个人站点:https://koi0101-max.github.io/web。无需一行代码,借助强大的工具即可实现创意,让开发变得简单快捷!
1108 70
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等

登录插画

登录以查看您的控制台资源

管理云资源
状态一览
快捷访问