组网需求
当网络中部署了RADIUS服务器,可以配置RADIUS认证,由 RADIUS 服务器统一创建和维护用户信息,当用户输入的账号和密码与RADIUS服务器上配置的一致时,才可以登录设备,登录设备后的权限级别也是通过RADIUS服务器下发。RADIUS认证常应用在对安全性要求较高的网络环境中。
如图所示,某企业中AC-Campus作为RADIUS服务器,对Telnet登录设备的管理员做认证和授权,只有认证通过的用户才能登录设备并获得相应权限。
配置思路
- 交换机
- 配置相关vlan及ip
- 使能Telnet服务
- 配置用户通过Telnet登录的认证方式为AAA
- 配置RADIUS认证:创建RADIUS服务器模板、认证计费方案并在域下引用
- 将管理员所属域设置为默认管理域,使管理员登录设备时可以不需要输入域名
- AC-Campus
- 将需要在AC-Campus认证授权管理的设备添加到AC-Campus
- 配置”设备管理业务”认证授权
- 验证
操作步骤
配置路由器接口及IP地址
client
<Huawei>sys [Huawei]sys client [client]vlan b 10 20 [client]int g6/0/1 [client-GigabitEthernet6/0/1]port link-type access [client-GigabitEthernet6/0/1]port default vlan 20 [client-GigabitEthernet6/0/1]q [client]int g6/0/0 [client-GigabitEthernet6/0/0]port link-type access [client-GigabitEthernet6/0/0]port default vlan 10 [client-GigabitEthernet6/0/0]q [client]int Vlanif 10 [client-Vlanif10]ip add 10.10.10.1 24 [client-Vlanif10]q [client-Vlanif10]int Vlanif 20 [client-Vlanif20]ip add 192.168.42.100 24 [client-Vlanif20]q
AR
<Huawei>sys [Huawei]sys AR [AR]vlan b 10 [ARint g6/0/0 [AR-GigabitEthernet6/0/0]port link-type access [AR-GigabitEthernet6/0/0]port default vlan 10 [AR-GigabitEthernet6/0/0]q [AR]int vl10 [AR-Vlanif10]ip add 10.10.10.2 24 [AR-Vlanif10]q
启用telnet服务,并配置VTY用户界面AAA认证
client
[client]telnet server enable [client]user-interface maximum-vty 15 [client]user-interface vty 0 14 [client-ui-vty0-4]authentication-mode aaa [client-ui-vty0-4]protocol inbound telnet [client-ui-vty0-4]q
配置RADIUS认证模板和认证计费方案
client
[client]radius-server template ac #创建RADIUS服务器模板ac [client-radius-ac]radius-server authentication 192.168.42.145 1812 #配置RADIUS认证服务器的IP地址和端口 [client-radius-ac]radius-server accounting 192.168.42.145 1813 #配置RADIUS计费服务器的IP地址和端口 [client-radius-ac]radius-server shared-key cipher Admin-00 #配置认证密钥和计费密钥为Admin-00 [client]radius-server authorization 192.168.42.145 shared-key cipher Admin-00 #配置RADIUS授权服务器的IP地址、共享密钥等参数 [client]aaa #进入AAA视图 [client-aaa]authentication-scheme ac #配置认证方案ac [client-aaa-authen-ac]authentication-mode radius #配置认证方式为RADIUS [client-aaa-authen-ac]q [client-aaa]accounting-scheme ac #配置计费方案ac [client-aaa-accounting-ac]accounting-mode radius #配置计费方案为RADIUS方式 [client-aaa-accounting-ac]accounting realtime 5 #配置实时计费周期为5分钟 [client-aaa-accounting-ac]q
在默认管理域中引用RADIUS服务器模板和认证计费方案
client
[client]aaa [client-aaa] domain default_admin #配置域 [client-aaa-domain-default_admin] authentication-scheme ac #配置域下绑定认证方案ac [client-aaa-domain-default_admin] accounting-scheme ac #配置域下绑定计费方案ac [client-aaa-domain-default_admin] radius-server ac #配置域下绑定RADIUS服务器模板ac [client-aaa-domain-default_admin] quit [client-aaa] quit [client] domain default_admin #配置全局默认普通域为“default”。普通用户进行接入认证时,以格式“user@default”输入用户名即可在default域下进行AAA认证。如果用户名中不携带域名或携带的域名不存在,普通用户也将会在默认普通域中进行认证
安装配置Agile Controller,公众号同名
安装后检查
检查项 |
操作 |
SM组件是否正常 |
在浏览器打开https://SM服务器IP:8443,输入帐号admin和缺省密码Changeme123,如果登录成功说明SM组件正常。 |
SC组件是否正常 |
|
图形化配置
新增设备
资源-设备-设置管理
配置设备管理业务认证授权
新增认证用户
资源-用户-用户管理
新增认证规则
策略-准入控制-认证授权-认证规则
新增授权结果
策略-准入控制-认证授权-授权结果
新增授权规则
策略-准入控制-认证授权-授权规则
验证
在AR上进行telnet验证
<AR>telnet 192.168.42.100 Username:client Password: Admin-00