H3C配置AAA文档.doc_第1页
H3C配置AAA文档.doc_第2页
H3C配置AAA文档.doc_第3页
H3C配置AAA文档.doc_第4页
H3C配置AAA文档.doc_第5页
已阅读5页,还剩7页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

AAA认证配置方法:Telnet 用户通过HWTACACS 服务器认证、授权、计费的应用配置1. 组网需求通过配置 Switch 实现HWTACACS 服务器对登录Switch 的用户进行认证、授权、计费。 一台 HWTACACS 服务器(担当认证、授权、计费服务器的职责)与Switch 相连,服务器IP地址为10.1.1.1。 Switch 与认证、授权、计费HWTACACS 服务器交互报文时的共享密钥均为expert,发送给HWTACACS 服务器的用户名中不带域名。 在 HWTACACS 服务器上设置与Switch 交互报文时的共享密钥为expert。2. 组网图图1-7 Telnet 用户远端HWTACACS 认证、授权和计费配置组网图InternetTelnet user SwitchHWTACACS server10.1.1.1/243. 配置步骤# 配置各接口的IP 地址(略)。# 开启Switch 的Telnet 服务器功能。 system-viewSwitch telnet server enable# 配置Telnet 用户登录采用AAA 认证方式。Switch user-interface vty 0 4Switch-ui-vty0-4 authentication-mode schemeSwitch-ui-vty0-4 quit# 配置HWTACACS 方案。1-32Switch hwtacacs scheme hwtacSwitch-hwtacacs-hwtac primary authentication 10.1.1.1 49Switch-hwtacacs-hwtac primary authorization 10.1.1.1 49Switch-hwtacacs-hwtac primary accounting 10.1.1.1 49Switch-hwtacacs-hwtac key authentication expertSwitch-hwtacacs-hwtac key authorization expertSwitch-hwtacacs-hwtac key accounting expertSwitch-hwtacacs-hwtac user-name-format without-domainSwitch-hwtacacs-hwtac quit# 配置ISP 域的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication login hwtacacs-scheme hwtacSwitch-isp-bbb authorization login hwtacacs-scheme hwtacSwitch-isp-bbb accounting login hwtacacs-scheme hwtacSwitch-isp-bbb quit# 或者不区分用户类型,配置缺省的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication default hwtacacs-scheme hwtacSwitch-isp-bbb authorization default hwtacacs-scheme hwtacSwitch-isp-bbb accounting default hwtacacs-scheme hwtac使用Telnet 登录时输入用户名为useridbbb,以使用域bbb 进行认证。Telnet 用户通过local 认证、HWTACACS 授权、RADIUS 计费的应用配置1. 组网需求通过配置 Switch 实现local 认证,HWTACACS 授权和RADIUS 计费。Telnet 用户的用户名和密码为hello。 一台 HWTACACS服务器(担当授权服务器的职责)与Switch 相连,服务器IP 地址为10.1.1.2。Switch 与授权HWTACACS 服务器交互报文时的共享密钥均为expert,发送给HWTACACS服务器的用户名中不带域名。 一台 RADIUS 服务器(担当计费服务器的职责)与Switch 相连,服务器IP 地址为10.1.1.1。Switch 与计费RADIUS 服务器交互报文时的共享密钥为expert。其它接入如果需要此类 AAA 应用,和Telnet 接入在域的AAA 配置上类似,只有接入的区分。1-332. 组网图图1-8 Telnet 用户local 认证、HWTACACS 授权和RADIUS 计费配置组网图3. 配置步骤# 配置各接口的IP 地址(略)。# 开启Switch 的Telnet 服务器功能。 system-viewSwitch telnet server enable# 配置Telnet 用户登录采用AAA 认证方式。Switch user-interface vty 0 4Switch-ui-vty0-4 authentication-mode schemeSwitch-ui-vty0-4 quit# 配置HWTACACS 方案。Switch hwtacacs scheme hwtacSwitch-hwtacacs-hwtac primary authorization 10.1.1.2 49Switch-hwtacacs-hwtac key authorization expertSwitch-hwtacacs-hwtac user-name-format without-domainSwitch-hwtacacs-hwtac quit# 配置RADIUS 方案。Switch radius scheme rdSwitch-radius-rd primary accounting 10.1.1.1 1813Switch-radius-rd key accounting expertSwitch-radius-rd server-type extendedSwitch-radius-rd user-name-format without-domainSwitch-radius-rd quit# 创建本地用户hello。Switch local-user helloSwitch-luser-hello service-type telnetSwitch-luser-hello password simple helloSwitch-luser-hello quit# 配置ISP 域的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication login local1-34Switch-isp-bbb authorization login hwtacacs-scheme hwtacSwitch-isp-bbb accounting login radius-scheme rdSwitch-isp-bbb quit# 或者不区分用户类型,配置缺省的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication default localSwitch-isp-bbb authorization default hwtacacs-scheme hwtacSwitch-isp-bbb accounting default radius-scheme imc使用Telnet 登录时输入用户名为hellobbb,以使用域bbb 进行认证。SSH 用户通过RADIUS 服务器认证、授权、计费的应用配置1. 组网需求如 图1-9所示,配置Switch实现RADIUS服务器对登录Switch的SSH用户进行认证、授权和计费。 由一台 iMC 服务器担当认证/授权、计费RADIUS 服务器的职责,服务器IP 地址为10.1.1.1/24。 Switch 与认证/授权、计费RADIUS 服务器交互报文时的共享密钥均为expert,向RADIUS服务器发送的用户名带域名。服务器根据用户名携带的域名来区分提供给用户的服务。2. 组网图图1-9 SSH 用户RADIUS 认证、授权和计费配置组网图InternetSSH user SwitchRADIUS server10.1.1.1/24Vlan-int2192.168.1.70/243. 配置步骤(1) 配置RADIUS server (iMC)下面以 iMC 为例(使用iMC 版本为:iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102),说明RADIUSserver 的基本配置。# 增加接入设备。登录进入 iMC 管理平台,选择“业务”页签,单击导航树中的接入业务/接入设备配置菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。 设置与 Switch 交互报文时的认证、计费共享密钥为expert; 设置认证及计费的端口号分别为 1812 和1813;1-35 选择业务类型为设备管理业务; 选择接入设备类型为 H3C; 选择或手工增加接入设备,添加 IP 地址为10.1.1.2 的接入设备。图1-10 增加接入设备# 增加设备管理用户。选择“用户”页签,单击导航树中的接入用户视图/设备管理用户菜单项,进入设备管理用户列表页面,在该页面中单击按钮,进入增加设备管理页面。 添加用户名 hellobbb 和密码; 选择服务类型为 SSH; 增加所管理设备的 IP 地址,IP 地址范围为“192.168.1.0192.168.1.255”。1-36图1-11 增加设备管理用户(2) 配置Switch# 配置VLAN 接口2 的IP 地址,SSH 客户端将通过该地址连接SSH 服务器。 system-viewSwitch interface vlan-interface 2Switch-Vlan-interface2 ip address 192.168.1.70 255.255.255.0Switch-Vlan-interface2 quit# 配置VLAN 接口3 的IP 地址,Switch 将通过该地址与服务器通信。Switch interface vlan-interface 3Switch-Vlan-interface3 ip address 10.1.1.2 255.255.255.0Switch-Vlan-interface3 quit# 生成RSA 及DSA 密钥对,并启动SSH 服务器。Switch public-key local create rsaSwitch public-key local create dsaSwitch ssh server enable# 配置SSH 用户登录采用AAA 认证方式。Switch user-interface vty 0 4Switch-ui-vty0-4 authentication-mode scheme1-37# 配置用户远程登录Switch 的协议为SSH。Switch-ui-vty0-4 protocol inbound sshSwitch-ui-vty0-4 quit# 配置RADIUS 方案。Switch radius scheme radSwitch-radius-rad primary authentication 10.1.1.1 1812Switch-radius-rad primary accounting 10.1.1.1 1813Switch-radius-rad key authentication expertSwitch-radius-rad key accounting expertSwitch-radius-rad user-name-format with-domainSwitch-radius-rad quit# 配置ISP 域的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication login radius-scheme radSwitch-isp-bb
人人文库> 全部分类> 教育资料 > 幼儿教育

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论