AAA认证配置方法.docx

AAA认证配置方法：Telnet用户通过HWTACACS服务器认证'授权、计费的应用配置1 .组网需求通过配置SWitCh实现HWTACACS服务器对登录SW计Ch的用户进展认证、授权、计费。:一台HWTACACS服务器（担当认证、授权、计费服务器的职责）与SWiteh相连，服务器IP地址为10.1.1.1oSwitch与认证、授权、计费HWTACACS服务器交互报文时的共享密钥均为expert,发送给Hwtacacs服务器的用户名中不带域名。在HWTACACS服务器上设置与SW让Ch交互报文时的共享密钥为expert。2 .组网图图1-7TeInet用户远端HWTACACS认证、授权和计费配置组网图TelnetuserSwitchHwtacacsserver10.1.1.1/243 .配置步骤# 配置各接口的IP地址略）。# 开启SWitCh的TeInet服务器功能。<Switch>system-viewSwitchtelnetserverenable# 配置Telnet用户登录采用AAA认证方式。Switchuser-interfacevtyO4Switch-i-vtyO-4authentication-modeschemeSwitch-Ui-VtyO-4quit# 配置HWTACACS方案。1-32SwitchhwtacacsschemehwtacSwitch-hwtacacs-hwtac10.1.1.1 49Switch-hwtacacs-hwtac10.1.1.1 49Switch-hwtacacs-hwtac10.1.1.1 49Switch-hwtacacs-hwtacSwitch-hwtacacs-hwtacSwitch-hwtacacs-hwtacSwitch-hwtacacs-hwtacwithout-domainprimary authenticationprimary authorizationprimary accountingkey authentication expert key authorization expert key accounting expert user-name-formatSwitch-hwtacacs-hwtacquit# 配置ISP域的AAA方案。SwitchdomainbbbSwitch-isp-bbbauthenticationloginhwtacacs-schemehwtacSwitch-isp-bbbauthorizationloginhwtacacs-schemehwtacSwitch-isp-bbbaccountingloginhwtacacs-schemehwtacSwitch-isp-bbbquit# 或者不区分用户类型，配置缺省的AAA方案。SwitchdomainbbbSwitch-isp-bbbauthenticationdefaulthwtacacs-schemehwtacSwitch-isp-bbbauthorizationdefaulthwtacacs-schemehwtacSwitch-isp-bbbaccountingdefaulthwtacacs-schemehwtac使用Telnet登录时输入用户名为usedlDbb,以使用域bbb进展认证。Telnet用户通过IOCal认证、HWTACACS授权、RADIUS计费的应用配置1 .组网需求通过配置SWitCh实现IOCal认证，HWTACACS授权和RADIUS计费。Telnet用户的用户名和密码为hello。口一台HWTACACS服务器担当授权服务器的职责）与Switch相连，服务器IP地址为10.1.1.2。Switch与授权HWTACACS服务器交互报文时的共享密钥均为expert,发送给HWTACACS服务器的用户名中不带域名。，一台RADlUS服务器（担当计费服务器的职责）与SWitCh相连，服务器IP地址为10.1.1.1。Switch与计费RADiUS服务器交互报文时的共享密钥为experto其它接入如果需要此类AAA应用，和Telnet接入在域的AAA配置上类似，只有接入的区分。1-332 .组网图图1-8Telnet用户IoCal认证、HWTACACS授权和RADIUS计费配置组网图3 .配置步骤# 配置各接口的IP地址略）。# 开启SWitCh的TeInet服务器功能。<Switch>system-viewSwitchtelnetserverenable# 配置Telnet用户登录采用AAA认证方式。Switchuser-interfacevtyO4Switch-i-vtyO-4authentication-modeschemeSwitch-i-vtyO-4quit# 配置HWTACACS方案。SwitchhwtacacsschemehwtacSwitch-hwtacacs-hwtacprimary authorizationSwitch-hwtacacs-hwtackey authorization expertSwitch-hwtacacs-hwtacuser-name-formatWithOUt-domainSwitch-hwtacacs-hwtacquit# 配置RADlUS方案。SwitchradiusschemerdSwitch-radius-rdprimaryaccounting10.1.1.11813without-domainSwitch-radius-rdquitSwitch-radius-rdkey accounting expertSwitch-radius-rdserver-type extendedSwitch-radius-rduser-name-format# 创立本地用户hello。Switchlocal-userhelloSwitch-luser-helloservice-typetelnetSwitch-Iuser-helIopasswordsimplehelloSwitch-luser-helloquit# 配置ISP域的AAA方案。SwitchdomainbbbSwitch-isp-bbbauthenticationloginlocal1-34Switch-isp-bbbauthorizationloginhwtacacs-schemehwtacSwitch-isp-bbbaccountingloginradius-schemerdSwitch-isp-bbbquit# 或者不区分用户类型，配置缺省的AAA方案。SwitchdomainbbbSwitch-isp-bbbauthenticationdefaultlocalSwitch-isp-bbbauthorizationdefaulthwtacacs-schemehwtacSwitch-isp-bbbaccountingdefaultradius-schemeimc使用Telnet登录时输入用户名为hellolDbb,以使用域bbb进展认证。SSH用户通过RADlUS服务器认证、授权、计费的应用配置1 .组网需求如图1-9所示，配置SW计Ch实现RADIUS服务器对登录SWitCh的SSH用户进展认证、授权和计费。由一台iMC服务器担当认证/授权、计费RADIUS服务器的职责，服务器IP地址为10.111/24。Switch与认证/授权、计费RADIUS服务器交互报文时的共享密钥均为expert,向RADlUS服务器发送的用户名带域名。服务器根据用户名携带的域名来区分提供给用户的服务。2 .组网图图1-9SSH用户RADIUS认证、授权和计费配置组网图SSHuserSwitchRADIUSserver10.1.1.1/24Vlan-int2192.168.1.70/243 .配置步骤(1)酉己置RADlUSSerVeriMC)下面以iMC为例使用iMC版本为：iMCPLAT3.20- R2602、iMCUAM3.60-E6102,说明RADIUSserver的基本配置。#增加接入设备。登录进入iMC管理平台，选择“业务页签，单击导航树中的接入业务/接入设备配置菜单项，进入接入设备配置页面，在该页面中单击“增加按钮，进入增加接入设备页面。口设置与SWitCh交互报文时的认证、计费共享密钥为expert；口设置认证及计费的端口号分别为1812和1813；1-35口选择业务类型为设备管理业务；选择接入设备类型为H3C；选择或手工增加接入设备，添加IP地址为10112的接入设备。图110增加接入设备#增加设备管理用户。选择“用户页签，单击导航树中的接入用户视图/设备管理用户菜单项，进入设备管理用户列表页面，在该页面中单击V增加按钮，进入增加设备管理页面。口添加用户名hellolDbb和密码；选择服务类型为SSH；口增加所管理设备的IP地址，IP地址范围为“192.168.1.0192.168.1.255”。1-36图1-11增加设备管理用户(2)配置SWitCh#配置VLAN接口2的IP地址，SSH客户端将通过该地址连接SSH服务器。<Switch>system-viewSwitchinterfacevlan-interface2Switch-Vlan-interface2ipaddress192.168.1.70255.255.255.0Switch-Vlan-interface2quit# 配置VLAN接口3的IP地址，Switch将通过该地址与服务器通信。Switchinterfacevlan-interface3Switch-Vlan-interface3ipaddress10.1.1.2255.255.255.0Switch-Vlan-interface3quit# 生成RSA及DSA密钥对，并启动SSH服务器。Switchpublic-keylocalcreatersaSwitchpublic-keylocalcreatedsaSwitchsshserverenable# 配置SSH用户登录采用AAA认证方式。Switchuser-interfacevtyO4Switch-ui-vtyO-4authentication-modescheme1-37# 配置用户远程登录SWitCh的协议为SSH。Switch-i-vty0-4protocolinboundsshSwitch-ui-vtyO-4quit# 配置RADIUS方案。SwitchradiusschemeradSwitch-radius-radprimaryauthentication10.1.1.11812Switch-radius-radprimaryaccounting10.1.1.11813Switch-radius-radkeyauthenticationexpertSwitch-radius-radkey accounting expertSwitch-radius-raduser-name-formatwith-domainSwitch-radius-radquit# 配置ISP域的AAA方案。SwitchdomainbbbSwitch-isp-bbbauthenticationloginradius-schemeradSwitch-isp-bbbauthorizationloginSwitch-isp-bbbaccountingloginradius-schemeradSwitch-isp-bbbquit使用SSH登录时输入用户名为Dbb,以使用域bbb进展认证。SSH用户建设与SWitCh的连接在SSH客户端按照提示输入用户名hellobbb及密码，即可进入SW让Ch的用户界面。用户登录系统后所能访问的命令级别由iMC服务器授权，可通过设备管理用户界面的EXEC权限级别来设置