《H3C配置AAA文档Word版.doc》由会员分享,可在线阅读,更多相关《H3C配置AAA文档Word版.doc(15页珍藏版)》请在三一文库上搜索。
1、传播优秀Word版文档 ,希望对您有帮助,可双击去除!AAA认证配置方法:Telnet 用户通过HWTACACS 服务器认证、授权、计费的应用配置1. 组网需求通过配置 Switch 实现HWTACACS 服务器对登录Switch 的用户进行认证、授权、计费。 一台 HWTACACS 服务器(担当认证、授权、计费服务器的职责)与Switch 相连,服务器IP地址为10.1.1.1。 Switch 与认证、授权、计费HWTACACS 服务器交互报文时的共享密钥均为expert,发送给HWTACACS 服务器的用户名中不带域名。 在 HWTACACS 服务器上设置与Switch 交互报文时的共享密
2、钥为expert。2. 组网图图1-7 Telnet 用户远端HWTACACS 认证、授权和计费配置组网图InternetTelnet user SwitchHWTACACS server传播优秀Word版文档 ,希望对您有帮助,可双击去除!10.1.1.1/243. 配置步骤# 配置各接口的IP 地址(略)。# 开启Switch 的Telnet 服务器功能。 system-viewSwitch telnet server enable# 配置Telnet 用户登录采用AAA 认证方式。Switch user-interface vty 0 4Switch-ui-vty0-4 authenti
3、cation-mode schemeSwitch-ui-vty0-4 quit# 配置HWTACACS 方案。1-32Switch hwtacacs scheme hwtacSwitch-hwtacacs-hwtac primary authentication 10.1.1.1 49Switch-hwtacacs-hwtac primary authorization 10.1.1.1 49Switch-hwtacacs-hwtac primary accounting 10.1.1.1 49Switch-hwtacacs-hwtac key authentication expertSwi
4、tch-hwtacacs-hwtac key authorization expertSwitch-hwtacacs-hwtac key accounting expertSwitch-hwtacacs-hwtac user-name-format without-domain传播优秀Word版文档 ,希望对您有帮助,可双击去除!Switch-hwtacacs-hwtac quit# 配置ISP 域的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication login hwtacacs-scheme hwtacSwitch-isp-bbb au
5、thorization login hwtacacs-scheme hwtacSwitch-isp-bbb accounting login hwtacacs-scheme hwtacSwitch-isp-bbb quit# 或者不区分用户类型,配置缺省的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication default hwtacacs-scheme hwtacSwitch-isp-bbb authorization default hwtacacs-scheme hwtacSwitch-isp-bbb accounting defau
6、lt hwtacacs-scheme hwtac使用Telnet 登录时输入用户名为useridbbb,以使用域bbb 进行认证。传播优秀Word版文档 ,希望对您有帮助,可双击去除!Telnet 用户通过local 认证、HWTACACS 授权、RADIUS 计费的应用配置1. 组网需求通过配置 Switch 实现local 认证,HWTACACS 授权和RADIUS 计费。Telnet 用户的用户名和密码为hello。 一台 HWTACACS服务器(担当授权服务器的职责)与Switch 相连,服务器IP 地址为10.1.1.2。Switch 与授权HWTACACS 服务器交互报文时的共享密
7、钥均为expert,发送给HWTACACS服务器的用户名中不带域名。 一台 RADIUS 服务器(担当计费服务器的职责)与Switch 相连,服务器IP 地址为10.1.1.1。Switch 与计费RADIUS 服务器交互报文时的共享密钥为expert。其它接入如果需要此类 AAA 应用,和Telnet 接入在域的AAA 配置上类似,只有接入的区分。1-332. 组网图传播优秀Word版文档 ,希望对您有帮助,可双击去除!图1-8 Telnet 用户local 认证、HWTACACS 授权和RADIUS 计费配置组网图3. 配置步骤# 配置各接口的IP 地址(略)。# 开启Switch 的Te
8、lnet 服务器功能。 system-viewSwitch telnet server enable# 配置Telnet 用户登录采用AAA 认证方式。Switch user-interface vty 0 4Switch-ui-vty0-4 authentication-mode schemeSwitch-ui-vty0-4 quit# 配置HWTACACS 方案。Switch hwtacacs scheme hwtacSwitch-hwtacacs-hwtac primary authorization 10.1.1.2 49Switch-hwtacacs-hwtac key author
9、ization expertSwitch-hwtacacs-hwtac user-name-format without-domainSwitch-hwtacacs-hwtac quit# 配置RADIUS 方案。Switch radius scheme rdSwitch-radius-rd primary accounting 10.1.1.1 1813传播优秀Word版文档 ,希望对您有帮助,可双击去除!Switch-radius-rd key accounting expertSwitch-radius-rd server-type extendedSwitch-radius-rd us
10、er-name-format without-domainSwitch-radius-rd quit# 创建本地用户hello。Switch local-user helloSwitch-luser-hello service-type telnetSwitch-luser-hello password simple helloSwitch-luser-hello quit# 配置ISP 域的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication login local1-34Switch-isp-bbb authorization logi
11、n hwtacacs-scheme hwtacSwitch-isp-bbb accounting login radius-scheme rdSwitch-isp-bbb quit# 或者不区分用户类型,配置缺省的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication default local传播优秀Word版文档 ,希望对您有帮助,可双击去除!Switch-isp-bbb authorization default hwtacacs-scheme hwtacSwitch-isp-bbb accounting default radius-
12、scheme imc使用Telnet 登录时输入用户名为hellobbb,以使用域bbb 进行认证。SSH 用户通过RADIUS 服务器认证、授权、计费的应用配置1. 组网需求如 图1-9所示,配置Switch实现RADIUS服务器对登录Switch的SSH用户进行认证、授权和计费。 由一台 iMC 服务器担当认证/授权、计费RADIUS 服务器的职责,服务器IP 地址为10.1.1.1/24。 Switch 与认证/授权、计费RADIUS 服务器交互报文时的共享密钥均为expert,向RADIUS服务器发送的用户名带域名。服务器根据用户名携带的域名来区分提供给用户的服务。2. 组网图传播优秀
13、Word版文档 ,希望对您有帮助,可双击去除!图1-9 SSH 用户RADIUS 认证、授权和计费配置组网图InternetSSH user SwitchRADIUS server10.1.1.1/24Vlan-int2192.168.1.70/243. 配置步骤(1) 配置RADIUS server (iMC)下面以 iMC 为例(使用iMC 版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUSserver 的基本配置。# 增加接入设备。登录进入 iMC 管理平台,选择“业务”页签,单击导航树中的接入业务/接入设备配置菜单项,进入接入设备配
14、置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。 设置与 Switch 交互报文时的认证、计费共享密钥为expert; 设置认证及计费的端口号分别为 1812 和1813;1-35 选择业务类型为设备管理业务; 选择接入设备类型为 H3C; 选择或手工增加接入设备,添加 IP 地址为10.1.1.2 的接入设备。传播优秀Word版文档 ,希望对您有帮助,可双击去除!图1-10 增加接入设备# 增加设备管理用户。选择“用户”页签,单击导航树中的接入用户视图/设备管理用户菜单项,进入设备管理用户列表页面,在该页面中单击按钮,进入增加设备管理页面。 添加用户名 hellobbb 和密码;
15、选择服务类型为 SSH; 增加所管理设备的 IP 地址,IP 地址范围为“192.168.1.0192.168.1.255”。1-36图1-11 增加设备管理用户(2) 配置Switch# 配置VLAN 接口2 的IP 地址,SSH 客户端将通过该地址连接SSH 服务器。 system-viewSwitch interface vlan-interface 2Switch-Vlan-interface2 ip address 192.168.1.70 255.255.255.0Switch-Vlan-interface2 quit# 配置VLAN 接口3 的IP 地址,Switch 将通过该地
16、址与服务器通信。传播优秀Word版文档 ,希望对您有帮助,可双击去除!Switch interface vlan-interface 3Switch-Vlan-interface3 ip address 10.1.1.2 255.255.255.0Switch-Vlan-interface3 quit# 生成RSA 及DSA 密钥对,并启动SSH 服务器。Switch public-key local create rsaSwitch public-key local create dsaSwitch ssh server enable# 配置SSH 用户登录采用AAA 认证方式。Switch
17、 user-interface vty 0 4Switch-ui-vty0-4 authentication-mode scheme1-37# 配置用户远程登录Switch 的协议为SSH。Switch-ui-vty0-4 protocol inbound sshSwitch-ui-vty0-4 quit# 配置RADIUS 方案。Switch radius scheme radSwitch-radius-rad primary authentication 10.1.1.1 1812Switch-radius-rad primary accounting 10.1.1.1 1813传播优秀W
18、ord版文档 ,希望对您有帮助,可双击去除!Switch-radius-rad key authentication expertSwitch-radius-rad key accounting expertSwitch-radius-rad user-name-format with-domainSwitch-radius-rad quit# 配置ISP 域的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication login radius-scheme radSwitch-isp-bbb authorization login radius-scheme radSwitch-isp-bbb accounting login radius-scheme radSwitch-isp-bbb quit使用SSH 登录时输入用户名为useridbbb,以使用域bbb 进行认证。(3) SSH 用户建立与Switch 的连接在 SSH 客户端按照提示输入用户名hellobbb 及密码,即可进入Switch 的用户界面。用户登录系统后所能访问的命令级别由iMC 服务器授权,可通过设备管理用户界面的EXEC 权限级别来设置