以一个学生宿舍区为例,解析华为交换机AAA的配置


   从上面的拓扑图中可以看出,用户处于xsss域中,通过出口设备BAS再经由FireWall去访问Internet,BAS作为校园网的核心设备负责对用户访问Internet的权限进行控制,执行AAA认证,认证模式采用Radius服务器认证和计费,现在需要实现ISP对xsss域内的用户进行Radius认证,必须在BAS上配置AAA认证和Radius模板来完成对接入用户的控制与管理。

在LSW2上的配置如下:

一、配置AAA认证方案
[Huawei]aaa
[Huawei-aaa]authentication-scheme xsss_aut                          配置AAA认证方案名为xsss_aut
[Huawei-aaa-authen-aaa]authentication-mode radius local             配置AAA认证模式为先Radius,如无响应则本地认证
[Huawei-aaa-authen-aaa]quit
[Huawei-aaa]accounting-scheme xsss_acc                              配置AAA计费方案名为xsss_acc
[Huawei-aaa-accounting-xsss_acc]accounting-mode radius              配置AAA计费模式为Radius服务器计费
[Huawei-aaa-accounting-xsss_acc]accounting start-fail offline       配置当开始计费失败时,将用户离线
[Huawei-aaa-accounting-xsss_acc]quit

二、配置Radius模板

[Huawei]radius-server template xsss_tpl                                            配置Raduis模板名为xsss_tpl
[Huawei-radius-xsss_tpl]radius-server authentication 172.17.16.254 1812            主radius认证服务地址和端口
[Huawei-radius-xsss_tpl]radius-server authentication 172.17.16.253 1812 secondary  备用认证服务器
[Huawei-radius-xsss_tpl]radius-server accounting 172.17.16.253 1812                主radius计费服务地址和端口
[Huawei-radius-xsss_tpl]radius-server accounting 172.17.16.253 1813 secondary      备用计费服务器
[Huawei-radius-xsss_tpl]radius-server shared-key cipher mykey      配置设备与Radius通信的共享秘钥为mykey
[Huawei-radius-xsss_tpl]radius-server retransmit 2 timeout 5       配置发送请求报文的超时重传次数为2s,间隔为5s
[Huawei-radius-xsss_tpl]quit

三、在AAA用户域绑定要使用的AAA认证和Radius模板

[Huawei]aaa
[Huawei-aaa]domain xsss                   配置AAA域,名称xsss
[Huawei-aaa-domain-xsss]authentication-scheme xsss_aut     在域中绑定AAA认证方案
[Huawei-aaa-domain-xsss]accounting-scheme xsss_acc                   在域中绑定AAA计费方案
[Huawei-aaa-domain-xsss]radius-server xsss_tpl                   在域中绑定Radius模板
[Huawei-aaa-domain-xsss]quit

检查命令:
[Huawei]display radius-server configuration template xsss_tpl
  ------------------------------------------------------------------------------
  Server-template-name             :  xsss_tpl
  Protocol-version                 :  standard
  Traffic-unit                     :  B
  Shared-secret-key                :  aaYOZ$V^P35NZPO3JBXBHA!!
  Timeout-interval(in second)      :  5
  Primary-authentication-server    :  172.17.16.254  :1812 :-LoopBack:NULL   Source-IP:0.0.0.0
  Primary-accounting-server        :  172.17.16.254  :1813 :-LoopBack:NULL   Source-IP:0.0.0.0
  Secondary-authentication-server  :  172.17.16.253  :1812 :-LoopBack:NULL   Source-IP:0.0.0.0
  Secondary-accounting-server      :  172.17.16.253  :1813 :-LoopBack:NULL   Source-IP:0.0.0.0
  Retransmission                   :  2
  Domain-included                  :  YES
  NAS-IP-Address                   :  0.0.0.0
  Calling-station-id MAC-format    :  xxxx-xxxx-xxxx
  ------------------------------------------------------------------------------
[Huawei]

[Huawei]display domain name xsss
  Domain-name                     : xsss                          
  Domain-state                    : Active
  Authentication-scheme-name      : xsss_aut
  Accounting-scheme-name          : xsss_acc
  Authorization-scheme-name       : -
  Service-scheme-name             : -
  RADIUS-server-template          : xsss_tpl
  HWTACACS-server-template        : -
[Huawei]



Session 2 AAA+HWTACACS进行认证、授权、计费(默认所有使用TCP端口49),拓扑不变

HWTACACS(Huawei Terminal Access Controller Access Control System)协议是华为对TACACS进行了扩展的协议
HWTACACS是在TACACS(RFC1492)基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似,主要是通过“客户端—服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。
HWTACACS与RADIUS的不同在于:
l RADIUS基于UDP协议,而HWTACACS基于TCP协议。
l RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。
l RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。

[Huawei]aaa
[Huawei-aaa]authentication-scheme xsss_aut                      配置AAA认证方案名为xsss_aut
[Huawei-aaa-authen-aaa]authentication-mode hwtacacs local       配置AAA认证模式为先hwtacacs,如无响应则本地认证
[Huawei-aaa-authen-aaa]authentication-super hwtacacs super      接入用户进行提权时,先进行hwtacacs认证,如无响应再本地认证
[Huawei-aaa-authen-aaa]quit

[Huawei]aaa
[Huawei-aaa]authorization-scheme shou_quan                      配置AAA授权方案名为xsss_aut
[Huawei-aaa-author-aaa]authorization-mode hwtacacs local        配置AAA授权模式为先hwtacacs,如无响应则本地授权
[Huawei-aaa-author-aaa]quit

[Huawei-aaa]accounting-scheme xsss_acc                          配置AAA计费方案名为xsss_acc
[Huawei-aaa-accounting-xsss_acc]accounting-mode hwtacacs        配置AAA计费模式为hwtacacs服务器计费
[Huawei-aaa-accounting-xsss_acc]accounting start-fail offline   配置当开始计费失败时,将用户离线
[Huawei-aaa-accounting-xsss_acc]accounting relaltime 3          配置对用户进行实时计费,计费间隔为3min
[Huawei-aaa-accounting-xsss_acc]quit

二、配置hwtacacs模板

[Huawei]hwtacacs-server template xsss_tpl                       配置hwtacacs模板名为xsss_tpl
[Huawei-hwtacacs-xsss_tpl]hwtacacs-server authentication 172.17.16.254 49    主hwtacacs认证服务地址和端口
[Huawei-hwtacacs-xsss_tpl]hwtacacs-server authentication 172.17.16.253 49 secondary     备用认证服务器
[Huawei-hwtacacs-xsss_tpl]hwtacacs-server authorization 172.17.16.253 49      主hwtacacs授权服务地址和端口
[Huawei-hwtacacs-xsss_tpl]hwtacacs-server authorization 172.17.16.253 49 secondary       备用授权服务器
[Huawei-hwtacacs-xsss_tpl]hwtacacs-server accounting 172.17.16.253 49         主hwtacacs计费服务地址和端口
[Huawei-hwtacacs-xsss_tpl]hwtacacs-server accounting 172.17.16.253 49 secondary          备用计费服务器
[Huawei-hwtacacs-xsss_tpl]hwtacacs-server shared-key cipher mykey      配置设备与hwtacacs通信的共享秘钥为mykey
[Huawei-hwtacacs-xsss_tpl]quit

三、在AAA用户域绑定要使用的AAA认证和hwtacacs模板

[Huawei]aaa
[Huawei-aaa]domain xsss                                   配置AAA域,名称xsss
[Huawei-aaa-domain-xsss]authentication-scheme xsss_aut    在域中绑定AAA认证方案
[Huawei-aaa-domain-xsss]authorization-scheme shou_quan    在域中绑定AAA认证方案
[Huawei-aaa-domain-xsss]accounting-scheme xsss_acc        在域中绑定AAA计费方案
[Huawei-aaa-domain-xsss]hwtacacs-server xsss_tpl          在域中绑定hwtacacs模板
[Huawei-aaa-domain-xsss]quit

检查命令:
[Huawei]display hwtacacs-server template xsss_tpl
  ---------------------------------------------------------------------------
  HWTACACS-server template name   : xsss_tpl
  Primary-authentication-server  : 172.17.16.254:49:-
  Primary-authorization-server    : 172.17.16.254:49-
  Primary-accounting-server       : 172.17.16.254:49:-
  Secondary-authentication-server : 172.17.16.253:49:-
  Secondary-authorization-server   : 172.17.16.253:49:-
  Secondary-accounting-server      : 172.17.16.253:49:-
  Current-authentication-server   : 172.17.16.254:49:-
  Current-authorization-server     : 172.17.16.254:49:-
  Current-accounting-server        : 172.17.16.254:49:-
  Source-IP-address               : 0.0.0.0
  Shared-key                      : mykey
  Quiet-interval(min)             : 5
  Response-timeout-Interval(sec)  : 5
  Domain-included                 : Yes
  Traffic-unit                    : B
  ---------------------------------------------------------------------------
  Total 1,1 printed
[Huawei]

[Huawei]display domain name xsss
  Domain-name                     : xsss                          
  Domain-state                      : Active
  Authentication-scheme-name     : xsss_aut
  Accounting-scheme-name          : xsss_acc
  Authorization-scheme-name       : shou_quan
  Service-scheme-name              : -
  RADIUS-server-template          : -
  HWTACACS-server-template        : xsss_tpl
[Huawei]


posted @ 2018-05-13 22:48  小宇飞刀  阅读(1079)  评论(0编辑  收藏  举报