配置采用RADIUS协议进行认证

1、配置采用RADIUS协议进行认证、计费和授权示例组网需求 如图1所示，用户通过RouterA访问网络，用户同处于huawei域。RouterB作为目的网络接入服务器。用户首先需要穿越RouterA和RouterB所在的网络，然后通过服务器的远端认证才能通过RouterB访问目的网络。在RouterB上的远端认证方式如下： 用RADIUS服务器对接入用户进行认证、计费。 RADIUS服务器6/24作为主用认证服务器和计费服务器，RADIUS服务器7/24作为备用认证服务器和计费服务器，认证端口号缺省为1812，计费端口号缺省为1813。 图1 采用RADI

2、US协议对用户进行认证和计费组网图 配置思路 用如下的思路配置采用RADIUS协议对用户进行认证和计费。 1.配置RADIUS服务器模板。 2.配置认证方案、计费方案。 3.在域下应用RADIUS服务器模板、认证方案和计费方案。 数据准备 为完成此配置举例，需要准备如下数据： 用户所属的域名 RADIUS服务器模板名 认证方案名、认证模式、计费方案名、计费模式 主用和备用RADIUS服务器的IP地址、认证端口号、计费端口号 RADIUS服务器密钥和重传次数 说明： 以下配置均在RouterB上进行。 操作步骤 1.配置接口的IP地址和路由，使用户和服务器之间路由可达。 2.配置RADIUS服务

3、器模板 # 配置RADIUS服务器模板shiva。 <Huawei> system-viewHuawei radius-server template shiva # 配置RADIUS主用认证服务器和计费服务器的IP地址、端口。 Huawei-radius-shiva radius-server authentication 6 1812 Huawei-radius-shiva radius-server accounting 6 1813 # 配置RADIUS备用认证服务器和计费服务器的IP地址、端口。 Huawei-radius-shiv

4、a radius-server authentication 7 1812 secondaryHuawei-radius-shiva radius-server accounting 7 1813 secondary# 配置RADIUS服务器密钥、重传次数。 Huawei-radius-shiva radius-server shared-key cipher hello Huawei-radius-shiva radius-server retransmit 2 Huawei-radius-shiva quit3.配置认证方案、计费方案 # 配置认证方

5、案1，认证模式为RADIUS。 Huawei aaaHuawei-aaa authentication-scheme 1Huawei-aaa-authen-1 authentication-mode radiusHuawei-aaa-authen-1 quit# 配置计费方案1，计费模式为RADIUS。 Huawei-aaa accounting-scheme 1Huawei-aaa-accounting-1 accounting-mode radiusHuawei-aaa-accounting-1 quit 4.配置huawei域，在域下应用认证方案1、计费方案1、RADIUS模板shiva

6、 5. Huawei-aaa domain huawei6. Huawei-aaa-domain-huawei authentication-scheme 17. Huawei-aaa-domain-huawei accounting-scheme 1 Huawei-aaa-domain-huawei radius-server shiva 8.检查配置结果 在RouterB上执行命令display radius-server configuration template，可以观察到该RADIUS服务器模板的配置与要求一致。 <Huawei> display radius-serv

7、er configuration template shiva - Server-template-name: shiva Protocol-version: standard Traffic-unit: B Shared-secret-key: 3MQ*TZ,O3KCQ=QMAF4<1! Timeout-interval(in second): 5 Primary-authentication-server: 6;1812; LoopBack:NULL Primary-accounting-server: 6;1813; LoopBack:NUL

8、L Secondary-authentication-server: 7;1812; LoopBack:NULL Secondary-accounting-server: 7;1813; LoopBack:NULL Retransmission : 2 Domain-included : YES - 配置文件 # radius-server template shiva radius-server shared-key cipher 3MQ*TZ,O3KCQ=QMAF4<1! radius-server authentication 129.7.6

9、6.66 1812 radius-server authentication 7 1812 secondary radius-server accounting 6 1813 radius-server accounting 7 1813 secondary radius-server retransmit 2 # aaa authentication-scheme default authentication-scheme 1 authentication-mode radius authorization-scheme defau

10、lt accounting-scheme default accounting-scheme 1 accounting-mode radius domain default domain default_admin domain huawei authentication-scheme 1 accounting-scheme 1 radius-server shiva # return 配置Web认证示例 通过配置Web认证，未认证用户在接入网络前必须通过指定的网页完成Web认证才能访问网络资源，从而保证网络的安全。 组网需求 如图1所示，用户通过Router访问网络。为了保证网络的安全性，要

11、求在用户接入网络时进行Web认证。用户在通过认证前，只能访问指定的网络地址。 图1 配置Web认证组网图 配置思路 用如下的思路配置Web认证。 1. 配置AAA认证，用来用户名和密码发送到RADIUS服务器进行认证。 2. 配置Web认证，用来对接口Ethernet2/0/1下的用户进行认证。 3. 配置Free rule，保证用户在通过认证前可以访问指定的网络地址。 数据准备 为完成此配置举例，需要准备如下数据： 接口加入的VLAN和VLANIF接口的IP地址（具体数据如图1所示）。 RADIUS服务器IP地址为0/24，认证端口号为1812。 RADIUS服务器密钥

12、为web-isp，重传次数为3。 AAA认证方案scheme1。 RADIUS服务器模版temp1。 Web认证服务器模板isp-server。 Web认证服务器地址为0/24。 Web认证服务器URL为http:/isp.web-。 用户属于域的名称为isp。 说明： 本案例只包括Router的配置，RADIUS服务器的配置这里不做相关说明。 操作步骤 1. 配置接口的IP地址 2. <Huawei> system-view 3. Huawei vlan batch 10 20 4. Huawei-vlan10 quit 5. Huawei interfac

13、e ethernet 2/0/1 6. Huawei-Ethernet2/0/1 port link-type access 7. Huawei-Ethernet2/0/1 port default vlan 10 8. Huawei-Ethernet2/0/1 quit 9. Huawei interface vlanif 10 10. Huawei-Vlanif10 ip address 0 24 11. Huawei-Vlanif10 quit 12. Huawei interface ethernet 2/0/2 13. Huawei-Ethernet2/0/2

14、port hybrid pvid vlan 20 14. Huawei-2/0/2 quit 15. Huawei interface vlanif 20 16. Huawei-Vlanif20 ip address 0 24 17. Huawei-Vlanif20 quit 18.配置RADIUS服务器模板 # 配置RADIUS服务器模板temp1。 Huawei radius-server template temp1 # 配置RADIUS主用认证服务器的IP地址、端口。 Huawei-radius-temp1 radius-server authentication

15、 0 1812 # 配置RADIUS服务器密钥、重传次数。 Huawei-radius-temp1 radius-server shared-key cipher web-isp Huawei-radius-temp1 radius-server retransmit 3 Huawei-radius-temp1 quit 19.配置认证方案，认证方案scheme1，认证方法为RADIUS 20. Huawei aaa 21. Huaweiaaa authentication-scheme scheme1 22. Huawei-aaa-scheme1 authenticat

16、ion-mode radius Huawei-aaa-scheme1 quit 23.配置isp域，绑定认证方式和RADIUS服务器模板 24. Huawei-aaa domain isp 25. Huawei-aaa-domain-isp authentication-scheme scheme1 26. Huawei-aaa-domain-isp radius-server temp1 27. Huawei-aaa-domain-isp quit Huawei-aaa-domain quit 28.配置Web认证 # 配置Web认证服务器模板。 Huawei web-auth-server

17、 isp-server Huawei-web-auth-server-isp-server server-ip 0 Huawei-web-auth-server-isp-server url http:/isp.web- Huawei-web-auth-server-isp-server quit # 配置免认证规则。 Huawei portal free-rule 1 destination ip 0 mask 24 # 在接口下绑定Web认证服务器。 Huawei interface vlanif 10 Huawei-Vlanif10 web-a

18、uth-server isp-server Huawei-Vlanif10 quit 29.检查配置结果 执行命令display web-auth-server configuration，可以看到Web服务器的详细配置信息。 <Huawei> display web-auth-server configuration Web-auth-server Name : isp-server IP-address : 0 Shared-key : Port / PortFlag : 50100 / NO URL : http:/isp.web- Bounded Vl

19、anif : 20 执行命令display web-auth-server configuration，可以看到Web服务器的详细配置信息。 <Huawei> display portal free-rule 1 Rule-Number 1: Source: IP: Mask : Vlan : Destination: IP: 0 Mask : - 1 Portal free-rule in total 配置文件 # vlan batch 1 10 # portal free-rule 1 destination ip 0 mask