以一個學生宿舍區爲例,解析華爲交換機AAA的配置

時間  2019-12-08
標籤 一個 學生 宿舍 爲例 解析 華爲 交換機 aaa 配置 简体版
原文   原文鏈接 


   從上面的拓撲圖中能夠看出,用戶處於xsss域中,經過出口設備BAS再經由FireWall去訪問Internet,BAS做爲校園網的核心設備負責對用戶訪問Internet的權限進行控制,執行AAA認證,認證模式採用Radius服務器認證和計費,如今須要實現ISP對xsss域內的用戶進行Radius認證,必須在BAS上配置AAA認證和Radius模板來完成對接入用戶的控制與管理。

在LSW2上的配置以下:

1、配置AAA認證方案
[Huawei]aaa
[Huawei-aaa]authentication-scheme xsss_aut                          配置AAA認證方案名爲xsss_aut
[Huawei-aaa-authen-aaa]authentication-mode radius local             配置AAA認證模式爲先Radius,如無響應則本地認證
[Huawei-aaa-authen-aaa]quit
[Huawei-aaa]accounting-scheme xsss_acc                              配置AAA計費方案名爲xsss_acc
[Huawei-aaa-accounting-xsss_acc]accounting-mode radius              配置AAA計費模式爲Radius服務器計費
[Huawei-aaa-accounting-xsss_acc]accounting start-fail offline       配置當開始計費失敗時,將用戶離線
[Huawei-aaa-accounting-xsss_acc]quit

2、配置Radius模板

[Huawei]radius-server template xsss_tpl                                            配置Raduis模板名爲xsss_tpl
[Huawei-radius-xsss_tpl]radius-server authentication 172.17.16.254 1812            主radius認證服務地址和端口
[Huawei-radius-xsss_tpl]radius-server authentication 172.17.16.253 1812 secondary  備用認證服務器
[Huawei-radius-xsss_tpl]radius-server accounting 172.17.16.253 1812                主radius計費服務地址和端口
[Huawei-radius-xsss_tpl]radius-server accounting 172.17.16.253 1813 secondary      備用計費服務器
[Huawei-radius-xsss_tpl]radius-server shared-key cipher mykey      配置設備與Radius通訊的共享祕鑰爲mykey
[Huawei-radius-xsss_tpl]radius-server retransmit 2 timeout 5       配置發送請求報文的超時重傳次數爲2s,間隔爲5s
[Huawei-radius-xsss_tpl]quit

3、在AAA用戶域綁定要使用的AAA認證和Radius模板

[Huawei]aaa
[Huawei-aaa]domain xsss                   配置AAA域,名稱xsss
[Huawei-aaa-domain-xsss]authentication-scheme xsss_aut     在域中綁定AAA認證方案
[Huawei-aaa-domain-xsss]accounting-scheme xsss_acc                   在域中綁定AAA計費方案
[Huawei-aaa-domain-xsss]radius-server xsss_tpl                   在域中綁定Radius模板
[Huawei-aaa-domain-xsss]quit

檢查命令:
[Huawei]display radius-server configuration template xsss_tpl
  ------------------------------------------------------------------------------
  Server-template-name             :  xsss_tpl
  Protocol-version                 :  standard
  Traffic-unit                     :  B
  Shared-secret-key                :  aaYOZ$V^P35NZPO3JBXBHA!!
  Timeout-interval(in second)      :  5
  Primary-authentication-server    :  172.17.16.254  :1812 :-LoopBack:NULL   Source-IP:0.0.0.0
  Primary-accounting-server        :  172.17.16.254  :1813 :-LoopBack:NULL   Source-IP:0.0.0.0
  Secondary-authentication-server  :  172.17.16.253  :1812 :-LoopBack:NULL   Source-IP:0.0.0.0
  Secondary-accounting-server      :  172.17.16.253  :1813 :-LoopBack:NULL   Source-IP:0.0.0.0
  Retransmission                   :  2
  Domain-included                  :  YES
  NAS-IP-Address                   :  0.0.0.0
  Calling-station-id MAC-format    :  xxxx-xxxx-xxxx
  ------------------------------------------------------------------------------
[Huawei]

[Huawei]display domain name xsss
  Domain-name                     : xsss                          
  Domain-state                    : Active
  Authentication-scheme-name      : xsss_aut
  Accounting-scheme-name          : xsss_acc
  Authorization-scheme-name       : -
  Service-scheme-name             : -
  RADIUS-server-template          : xsss_tpl
  HWTACACS-server-template        : -
[Huawei]



Session 2 AAA+HWTACACS進行認證、受權、計費(默認全部使用TCP端口49),拓撲不變

HWTACACS(Huawei Terminal Access Controller Access Control System)協議是華爲對TACACS進行了擴展的協議
HWTACACS是在TACACS(RFC1492)基礎上進行了功能加強的一種安全協議。該協議與RADIUS協議相似,主要是經過「客戶端—服務器」模式與HWTACACS服務器通訊來實現多種用戶的AAA功能。
HWTACACS與RADIUS的不一樣在於:
l RADIUS基於UDP協議,而HWTACACS基於TCP協議。
l RADIUS的認證和受權綁定在一塊兒,而HWTACACS的認證和受權是獨立的。
l RADIUS只對用戶的密碼進行加密,HWTACACS能夠對整個報文進行加密。

[Huawei]aaa
[Huawei-aaa]authentication-scheme xsss_aut                      配置AAA認證方案名爲xsss_aut
[Huawei-aaa-authen-aaa]authentication-mode hwtacacs local       配置AAA認證模式爲先hwtacacs,如無響應則本地認證
[Huawei-aaa-authen-aaa]authentication-super hwtacacs super      接入用戶進行提權時,先進行hwtacacs認證,如無響應再本地認證
[Huawei-aaa-authen-aaa]quit

[Huawei]aaa
[Huawei-aaa]authorization-scheme shou_quan                      配置AAA受權方案名爲xsss_aut
[Huawei-aaa-author-aaa]authorization-mode hwtacacs local        配置AAA受權模式爲先hwtacacs,如無響應則本地受權
[Huawei-aaa-author-aaa]quit

[Huawei-aaa]accounting-scheme xsss_acc                          配置AAA計費方案名爲xsss_acc
[Huawei-aaa-accounting-xsss_acc]accounting-mode hwtacacs        配置AAA計費模式爲hwtacacs服務器計費
[Huawei-aaa-accounting-xsss_acc]accounting start-fail offline   配置當開始計費失敗時,將用戶離線
[Huawei-aaa-accounting-xsss_acc]accounting relaltime 3          配置對用戶進行實時計費,計費間隔爲3min
[Huawei-aaa-accounting-xsss_acc]quit

2、配置hwtacacs模板

[Huawei]hwtacacs-server template xsss_tpl                       配置hwtacacs模板名爲xsss_tpl
[Huawei-hwtacacs-xsss_tpl]hwtacacs-server authentication 172.17.16.254 49    主hwtacacs認證服務地址和端口
[Huawei-hwtacacs-xsss_tpl]hwtacacs-server authentication 172.17.16.253 49 secondary     備用認證服務器
[Huawei-hwtacacs-xsss_tpl]hwtacacs-server authorization 172.17.16.253 49      主hwtacacs受權服務地址和端口
[Huawei-hwtacacs-xsss_tpl]hwtacacs-server authorization 172.17.16.253 49 secondary       備用受權服務器
[Huawei-hwtacacs-xsss_tpl]hwtacacs-server accounting 172.17.16.253 49         主hwtacacs計費服務地址和端口
[Huawei-hwtacacs-xsss_tpl]hwtacacs-server accounting 172.17.16.253 49 secondary          備用計費服務器
[Huawei-hwtacacs-xsss_tpl]hwtacacs-server shared-key cipher mykey      配置設備與hwtacacs通訊的共享祕鑰爲mykey
[Huawei-hwtacacs-xsss_tpl]quit

3、在AAA用戶域綁定要使用的AAA認證和hwtacacs模板

[Huawei]aaa
[Huawei-aaa]domain xsss                                   配置AAA域,名稱xsss
[Huawei-aaa-domain-xsss]authentication-scheme xsss_aut    在域中綁定AAA認證方案
[Huawei-aaa-domain-xsss]authorization-scheme shou_quan    在域中綁定AAA認證方案
[Huawei-aaa-domain-xsss]accounting-scheme xsss_acc        在域中綁定AAA計費方案
[Huawei-aaa-domain-xsss]hwtacacs-server xsss_tpl          在域中綁定hwtacacs模板
[Huawei-aaa-domain-xsss]quit

檢查命令:
[Huawei]display hwtacacs-server template xsss_tpl
  ---------------------------------------------------------------------------
  HWTACACS-server template name   : xsss_tpl
  Primary-authentication-server  : 172.17.16.254:49:-
  Primary-authorization-server    : 172.17.16.254:49-
  Primary-accounting-server       : 172.17.16.254:49:-
  Secondary-authentication-server : 172.17.16.253:49:-
  Secondary-authorization-server   : 172.17.16.253:49:-
  Secondary-accounting-server      : 172.17.16.253:49:-
  Current-authentication-server   : 172.17.16.254:49:-
  Current-authorization-server     : 172.17.16.254:49:-
  Current-accounting-server        : 172.17.16.254:49:-
  Source-IP-address               : 0.0.0.0
  Shared-key                      : mykey
  Quiet-interval(min)             : 5
  Response-timeout-Interval(sec)  : 5
  Domain-included                 : Yes
  Traffic-unit                    : B
  ---------------------------------------------------------------------------
  Total 1,1 printed
[Huawei]

[Huawei]display domain name xsss
  Domain-name                     : xsss                          
  Domain-state                      : Active
  Authentication-scheme-name     : xsss_aut
  Accounting-scheme-name          : xsss_acc
  Authorization-scheme-name       : shou_quan
  Service-scheme-name              : -
  RADIUS-server-template          : -
  HWTACACS-server-template        : xsss_tpl
[Huawei]
相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程