因公司人员变动比较频繁，经常需要对公司网络设备登陆用户名和密码进行变更。然而公司设备又比较多，一次更改密码非常浪费时间，故打算对所有网络设备进行统一认证管理。

本实验是对实际环境的模拟，配置相对实际应用当中更丰富，也利于学习。

一、实验前提：

1、本拓扑中已具备Radius认证服务器，也就是ACS 5.2作为Radius服务器，服务器的地址是192.168.157.200。

2、本实验是简单网络环境，和实际网络可能有所差距，但原理是一样的：所有网络设备到Radius服务器的路由是通的。

3、本实验当中的Radius认证服务器是ACS 5.2。认证服务器有很多，原理是一样的，根据各人习惯和擅长选择使用。 

二、实验拓扑：

三、华为AAA配置原则：

1、先进入aaa视图，创建authentication-scheme模板；

2、创建authorization-scheme授权模板（可选）和accounting-scheme计费模板（可选）；

3、aaa视图下，创建服务模板service-scheme；

4、全局视图下，创建radius-server template模板并配置相应规则；

5、aaa视图下，创建域：fishyoung（可改，或者使用default_admin默认域），并调用authentication-scheme模板、authorization-scheme模板（可选）、accounting-scheme模板（可选）、radius-server template模板、service-scheme模板（根据自己需要选择调用）；

6、在user-interface 下选择认证的方式。 

四、核心交换机上的实验配置：

1、核心交换机的配置

[Core Switch]aaa

 [Core Switch-aaa]authentication-scheme acsvty 

//创建一个模板，命名为acsvty

[Core Switch-aaa-authen-acsvty]authentication-mode radius local

//此模板下的认证方式为首先用radius服务器认证，如果无法连接radius服务器，则其次调用本地认证（如果能够和radius服务器通信，但用户名密码不对，是不会调用备份的本地认证的，切记切记！！）

[Core Switch-aaa-authen-acsvty]quit

2、本实验没有做授权和审计（略过）

3、创建service-scheme服务模板

[Core Switch]aaa

[Core Switch-aaa]service-scheme admin

//创建service-scheme模板，命名为admin//

[Core Switch-aaa-service-admin]admin-user privilege level 15

//配置admin-user的权限为15级//

4、创建radius-server template模板

[Core Switch-aaa-authen-acsvty]authentication-mode radius local 

建议在vty接口下使用authentication-mode radius local,备份认证是本地认证；但在con口下，使用authentication-mode radius none，备份认证是none，也就是不认证。因为，如果交换机备份认证是本地，而本地没有用户的话，就没有办法认证了，这台设备也就无法登陆了。