[网络协议]华为路由器AAA配置与管理

链接：https://pan.baidu.com/s/1aCnEQLhYbpvFiLZY_bV92g?
提取码：d9dd

RADIUS协议

RADIUS最初是针对拨号用户的AAA协议，后来随着用户接入方式的多样化发展，RADIUS也适应多种用户接入方式，如以太网接入、ADSL接入。它通过认证授权来提供接入服务，通过计费来收集、记录用户对网络资源的使用。该协议定义了基于UDP的RADIUS帧格式及其消息传输机制，并规定UDP端口1812、1813分别作为认证（包括授权）、计费端口。

实验背景

交换机aaa理解，配置。

拓扑图

Ata1允当Radius客户端，云后面有一台winserver 2003虚拟机，当Radius服务器。Ata2当难客户端。?

radius服务器

在win server 2003上配置radius

将系统设置为域控制器，参见(121条消息) Windows Server 2003域环境搭建_weixin_34007020的博客-CSDN博客

增加Internet验证服务

增加RADIUS客户端

增加远程访问策略

?

?增加认证用户?

?

华为路由器配置

super password level 3 cipher %$%$zhlNE:e"M05vmqPGOto5,..{%$%$

#radius 服务模板oklabserver
radius-server template oklabserver
 radius-server shared-key cipher %$%$>]*5"xDAZ+\2#mX"Z]sDRTLy%$%$
 radius-server authentication 202.100.1.200 1812
 radius-server accounting 202.100.1.200 1813


aaa 
 authentication-scheme default
 authentication-scheme oklab-authen  #认证方案 oklab-authen
  authentication-mode radius         #认证模式 radius
 authorization-scheme default
 accounting-scheme default
 accounting-scheme oklab-account     #计费方案oklab-account       
  accounting-mode radius             #计费模式 radius             
 domain default 
 domain default_admin 
 domain oklab                         #创建自定义域 oklab
  authentication-scheme oklab-authen  #在域中绑定认证方案 oklab-authen
  accounting-scheme oklab-account     #在域中绑定计费方案 oklab-account
  radius-server oklabserver           #在域中绑定radius 服务模板
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http
 local-user localuser password cipher %$%$f>Xt@Ip*`D%5cm79"7:OQW9X%$%$ #增加本地用户密码为cisco
 local-user localuser privilege level 15
 local-user localuser service-type telnet
interface GigabitEthernet0/0/0
 ip address 202.100.1.10 255.255.255.0 


user-interface con 0
 authentication-mode password
user-interface vty 0 4
 authentication-mode aaa
user-interface vty 16 20

配置验证

在Sta1上进行验证

#第一种用户名登录方式
<Sta1>test-aaa test 1.cisco radius-template oklabserver pap
<Sta1>
Info: Account test succeed.  #验证通过

#第二种用户名登录方式
<Sta1>test-aaa test@oklab 1.cisco radius-template oklabserver pap
<Sta1>
Info: Account test succeed.

#第三种用户名登录方式
<Sta1>test-aaa oklab\test 1.cisco radius-template oklabserver pap
<Sta1>
Info: Account test succeed.

在Sta2上验证

<Sta2>telnet 202.100.1.10
  Press CTRL_] to quit telnet mode
  Trying 202.100.1.10 ...
  Connected to 202.100.1.10 ...

Login authentication


Username:localuser #输入本地用户名验证
Password:           #cisco
<Sta1>


<Sta2>telnet 202.100.1.10
  Press CTRL_] to quit telnet mode
  Trying 202.100.1.10 ...
  Connected to 202.100.1.10 ...

Login authentication


Username:test@oklab #输入输入Radius服务器上的用户
Password:           #密码为1.cisco
<Sta1>

配置业务方案

不配置业务方案，不能进入system视图。

aaa                                       
 authentication-scheme default
 authentication-scheme oklab-authen
  authentication-mode radius
 authorization-scheme default
 accounting-scheme default
 accounting-scheme oklab-account 
  accounting-mode radius
 service-scheme oklab-service      #配置业务方案
  admin-user privilege level 15    #配置用户级别为15
 domain default 
 domain default_admin 
 domain oklab  
  authentication-scheme oklab-authen 
  accounting-scheme oklab-account 
  service-scheme oklab-service 
  radius-server oklabserver     #授权服务，radius有授权就用radius，radius没有用使用本地配置的授权

授权后就可以进入system-view视图

<Sta2>telnet 202.100.1.10
  Press CTRL_] to quit telnet mode
  Trying 202.100.1.10 ...
  Connected to 202.100.1.10 ...

Login authentication


Username:test@oklab
Password:
<Sta1>syste
<Sta1>system-view 
Enter system view, return user view with Ctrl+Z.

其它配置指令

radius-server模板

radius-server template oklabserver
 radius-server shared-key cipher %$%$>]*5"xDAZ+\2#mX"Z]sDRTLy%$%$
 radius-server authentication 202.100.1.200 1812
 radius-server accounting 202.100.1.200 1813
 undo radius-server user-name domain-included  #在客户使用使用test@oklab登录时，发送给radius服务器去年@oklab，发送给radius服务用户名只有test
#

域名分隔符?

[Sta1-aaa]domain-name-delimiter ?
  STRING<1-1>  Identifier character \ / : < > | @ ' %  #定义域名分隔符，默认为@