华为 | AAA结合WinRadius服务器认证
因公司人员变动比较频繁,经常需要对公司网络设备登陆用户名和密码进行变更。然而公司设备又比较多,一次更改密码非常浪费时间,故打算对所有网络设备进行统一认证管理。
本实验是对实际环境的模拟,配置相对实际应用当中更丰富,也利于学习。
一、实验前提:
1、本拓扑中已具备Radius认证服务器,也就是ACS 5.2作为Radius服务器,服务器的地址是192.168.157.200。
2、本实验是简单网络环境,和实际网络可能有所差距,但原理是一样的:所有网络设备到Radius服务器的路由是通的。
3、本实验当中的Radius认证服务器是ACS 5.2。认证服务器有很多,原理是一样的,根据各人习惯和擅长选择使用。
二、实验拓扑:
三、华为AAA配置原则:
1、先进入aaa视图,创建authentication-scheme模板;
2、创建authorization-scheme授权模板(可选)和accounting-scheme计费模板(可选);
3、aaa视图下,创建服务模板service-scheme;
4、全局视图下,创建radius-server template模板并配置相应规则;
5、aaa视图下,创建域:fishyoung(可改,或者使用default_admin默认域),并调用authentication-scheme模板、authorization-scheme模板(可选)、accounting-scheme模板(可选)、radius-server template模板、service-scheme模板(根据自己需要选择调用);
6、在user-interface 下选择认证的方式。
四、核心交换机上的实验配置:
1、核心交换机的配置
[Core Switch]aaa
[Core Switch-aaa]authentication-scheme acsvty
//创建一个模板,命名为acsvty
[Core Switch-aaa-authen-acsvty]authentication-mode radius local
//此模板下的认证方式为首先用radius服务器认证,如果无法连接radius服务器,则其次调用本地认证(如果能够和radius服务器通信,但用户名密码不对,是不会调用备份的本地认证的,切记切记!!)
[Core Switch-aaa-authen-acsvty]quit
2、本实验没有做授权和审计(略过)
3、创建service-scheme服务模板
[Core Switch]aaa
[Core Switch-aaa]service-scheme admin
//创建service-scheme模板,命名为admin//
[Core Switch-aaa-service-admin]admin-user privilege level 15
//配置admin-user的权限为15级//
4、创建radius-server template模板
[Core Switch-aaa-authen-acsvty]authentication-mode radius local
建议在vty接口下使用authentication-mode radius local,备份认证是本地认证;但在con口下,使用authentication-mode radius none,备份认证是none,也就是不认证。因为,如果交换机备份认证是本地,而本地没有用户的话,就没有办法认证了,这台设备也就无法登陆了。
您阅读这篇文章共花了: