配置采用RADIUS协议进行认证和计费示例
组网需求
如图1所示,用户通过SwitchA访问网络,用户同处于huawei域。SwitchB作为目的网络接入服务器。用户首先需要穿越SwitchA和SwitchB所在的网络,然后通过服务器的远端认证才能通过SwitchB访问目的网络。在SwitchB上的远端认证方式如下:
SwitchB对接入用户先用RADIUS服务器进行认证,如果认证没有响应,再使用本地认证。
RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器,RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器,认证端口号缺省为1812,计费端口号缺省为1813。
图1 采用RADIUS协议对用户进行认证和计费组网图
配置思路
用如下的思路配置采用RADIUS协议对用户进行认证和计费。
配置RADIUS服务器模板。
配置认证方案、计费方案。
在域下应用RADIUS服务器模板、认证方案和计费方案。
说明:
以下配置均在SwitchB上进行。
操作步骤
配置RADIUS服务器模板
# 配置RADIUS服务器模板shiva。
system-view
[HUAWEI] radius-server template shiva# 配置RADIUS主用认证服务器和计费服务器的IP地址、端口。
[HUAWEI-radius-shiva] radius-server authentication 129.7.66.66 1812 weight 80
[HUAWEI-radius-shiva] radius-server accounting 129.7.66.66 1813 weight 80# 配置RADIUS备用认证服务器和计费服务器的IP地址、端口。
[HUAWEI-radius-shiva] radius-server authentication 129.7.66.67 1812 weight 40
[HUAWEI-radius-shiva] radius-server accounting 129.7.66.67 1813 weight 40# 配置RADIUS服务器密钥、重传次数,以及设备向RADIUS服务器发送的报文中的用户名不包含域名。
[HUAWEI-radius-shiva] radius-server shared-key cipher hello
[HUAWEI-radius-shiva] radius-server retransmit 2
[HUAWEI-radius-shiva] undo radius-server user-name domain-included
[HUAWEI-radius-shiva] quit
配置认证方案、计费方案
# 配置认证方案auth,。
[HUAWEI] aaa
[HUAWEI-aaa] authentication-scheme auth
[HUAWEI-aaa-authen-auth] authentication-mode radius local
[HUAWEI-aaa-authen-auth] quit# 配置计费方案abc,计费模式为RADIUS,并配置当开始计费失败时,允许用户上线。
[HUAWEI-aaa] accounting-scheme abc
[HUAWEI-aaa-accounting-abc] accounting-mode radius
[HUAWEI-aaa-accounting-abc] accounting start-fail online
[HUAWEI-aaa-accounting-abc] quit
配置huawei域,在域下应用认证方案auth、计费方案abc、RADIUS模板shiva
[HUAWEI-aaa] domain huawei
[HUAWEI-aaa-domain-huawei] authentication-scheme auth
[HUAWEI-aaa-domain-huawei] accounting-scheme abc
[HUAWEI-aaa-domain-huawei] radius-server shiva
[HUAWEI-aaa-domain-huawei] quit
[HUAWEI-aaa] quit
[HUAWEI] quit 说明:
在huawei域配置完成后,用户进行接入认证时,以格式“user@huawei”输入用户名即可在huawei域下进行aaa认证。如果用户名中不携带域名或携带的域名不存在,用户将会在默认域进行认证。
用户所属认证域是由接入设备(RADIUS客户端)而非RADIUS Server决定。在SwitchB上执行命令undo radius-server user-name domain-included后,当SwitchB接收到格式为“user@huawei”的用户名时,虽然SwitchB会把不带域名的用户名发送到RADIUS Server,但SwitchB仍会将用户置于huawei域中进行认证。
检查配置结果
在SwitchB上执行命令display radius-server configuration template template-name,可以观察到该RADIUS服务器模板的配置与要求一致。
display radius-server configuration template shiva
------------------------------------------------------------------------------
Server-template-name : shiva
Protocol-version : standard
Traffic-unit : B
Shared-secret-key : %$%$1"y;E[c;<.>
Timeout-interval(in second) : 5
Retransmission : 2
EndPacketSendTime : 0
Dead time(in minute) : 5
Domain-included : NO
NAS-IP-Address : 0.0.0.0
Calling-station-id MAC-format : xxxx-xxxx-xxxx
Server algorithm : master-backup
Authentication Server 1 : 129.7.66.66 Port:1812 Weight:80
Vrf:- LoopBack:NULL
Source IP: ::
Authentication Server 2 : 129.7.66.67 Port:1812 Weight:40
Vrf:- LoopBack:NULL
Source IP: ::
Accounting Server 1 : 129.7.66.66 Port:1813 Weight:80
Vrf:- LoopBack:NULL
Source IP: ::
Accounting Server 2 : 129.7.66.67 Port:1813 Weight:40
Vrf:- LoopBack:NULL
Source IP: ::
------------------------------------------------------------------------------
配置文件
SwitchB的配置文件
#
radius-server template shiva
radius-server shared-key cipher %$%$1"y;E[c;<.>
radius-server authentication 129.7.66.66 1812 weight 80
radius-server authentication 129.7.66.67 1812 weight 40
radius-server accounting 129.7.66.66 1813 weight 80
radius-server accounting 129.7.66.67 1813 weight 40
radius-server retransmit 2
undo radius-server user-name domain-included
#
aaa
authentication-scheme auth
authentication-mode radius local
accounting-scheme abc
accounting-mode radius
accounting start-fail online
domain huawei
authentication-scheme auth
accounting-scheme abc
radius-server shiva
#
return
...)
