组网需求
如图1所示,用户同处于huawei域,Router作为目的网络接入服务器。用户需要通过服务器的远端认证才能通过Router访问目的网络。在Router上的远端认证方式如下:
-
Router对接入用户先用RADIUS服务器进行认证,如果认证没有响应,再使用本地认证。
-
RADIUS服务器10.7.66.66/24作为主用认证服务器和计费服务器,RADIUS服务器10.7.66.67/24作为备用认证服务器和计费服务器,认证端口号缺省为1812,计费端口号缺省为1813。
配置思路
用如下的思路配置采用RADIUS协议对用户进行认证和计费。
- 配置RADIUS服务器模板。
- 配置认证方案、计费方案。
- 在域下应用RADIUS服务器模板、认证方案和计费方案。
- 配置RADIUS服务器模板。
# 配置RADIUS服务器模板shiva。
<Huawei> system-view [Huawei] sysname Router [Router] radius-server template shiva# 配置RADIUS主用认证服务器和计费服务器的IP地址、端口。
[Router-radius-shiva] radius-server authentication 10.7.66.66 1812 weight 80 [Router-radius-shiva] radius-server accounting 10.7.66.66 1813 weight 80# 配置RADIUS备用认证服务器和计费服务器的IP地址、端口。
[Router-radius-shiva] radius-server authentication 10.7.66.67 1812 weight 40 [Router-radius-shiva] radius-server accounting 10.7.66.67 1813 weight 40# 配置RADIUS服务器密钥、重传次数,以及设备向RADIUS服务器发送的报文中的用户名不包含域名。
[Router-radius-shiva] radius-server shared-key cipher Huawei@2012 [Router-radius-shiva] radius-server retransmit 2 [Router-radius-shiva] undo radius-server user-name domain-included [Router-radius-shiva] quit - 配置认证方案、计费方案。
# 配置认证方案auth,认证模式为先进行RADIUS认证,后进行本地认证。
[Router] aaa [Router-aaa] authentication-scheme auth [Router-aaa-authen-auth] authentication-mode radius local [Router-aaa-authen-auth] quit# 配置计费方案abc,计费模式为RADIUS,并配置当开始计费失败时,允许用户上线。
[Router-aaa] accounting-scheme abc [Router-aaa-accounting-abc] accounting-mode radius [Router-aaa-accounting-abc] accounting start-fail online [Router-aaa-accounting-abc] quit - 配置huawei域,在域下应用认证方案auth、计费方案abc、RADIUS服务器模板shiva。
[Router-aaa] domain huawei [Router-aaa-domain-huawei] authentication-scheme auth [Router-aaa-domain-huawei] accounting-scheme abc [Router-aaa-domain-huawei] radius-server shiva [Router-aaa-domain-huawei] quit [Router-aaa] quit - 配置huawei域为全局默认域。
[Router] domain huawei [Router] domain huawei admin - 配置AAA本地认证。
[Router] aaa [Router-aaa] local-user user1 password irreversible-cipher Huawei@123 [Router-aaa] local-user user1 service-type http [Router-aaa] local-user user1 privilege level 15 [Router-aaa] quit - 验证配置结果。
# 在Router上执行命令display radius-server configuration template template-name,可以观察到该RADIUS服务器模板的配置与要求一致。
[Router] display radius-server configuration template shiva------------------------------------------------------------------------------Server-template-name : shivaProtocol-version : standardTraffic-unit : BShared-secret-key : %^%#z3#CA>MtbD=>A]Ts;au$;&I!<sN~"B!++2S8'--;%^%#Group-filter : class Timeout-interval(in second) : 5Retransmission : 2EndPacketSendTime : 3 Dead time(in minute) : 5Domain-included : NONAS-IP-Address : - Calling-station-id MAC-format : xxxx-xxxx-xxxxCalled-station-id MAC-format : XX-XX-XX-XX-XX-XXNAS-Port-ID format : New Service-type : - NAS-IPv6-Address : ::Server algorithm : master-backup Detect-interval(in second) : 60 Authentication Server 1 : 10.7.66.66 Port:1812 Weight:80 [UP]Vrf:- LoopBack:NULL Vlanif:NULLSource IP: ::Authentication Server 2 : 10.7.66.67 Port:1812 Weight:40 [UP]Vrf:- LoopBack:NULL Vlanif:NULLSource IP: ::Accounting Server 1 : 10.7.66.66 Port:1813 Weight:80 [UP]Vrf:- LoopBack:NULL Vlanif:NULLSource IP: ::Accounting Server 2 : 10.7.66.67 Port:1813 Weight:40 [UP]Vrf:- LoopBack:NULL Vlanif:NULLSource IP: ::------------------------------------------------------------------------------
