配置采用HWTACACS协议进行认证、计费和授权

1、企业案例计算机网络系统集成项目（工程项目案例及实践）所在系别： 计算机技术系 所属专业： 计算机网络技术 指导教师: 张海峰 专业负责人： 孙志成 配置采用HWTACACS协议进行认证、计费和授权示例一、组网需求如图1所示，· 对接入用户先用HWTACACS服务器进行认证，如果认证没有响应，再使用本地认证。· 接入的用户进行用户等级提升时，要求先使用HWTACACS对其进行认证，如果HWTACACS认证没有响应，再使用本地认证。· 对接入用户采用HWTACACS授权，且对级别为3的用户采用按命令行授权。· 对所有用户都需要计费。· 对用户进行实

2、时计费，计费间隔为3分钟。· 记录用户执行过的命令、连接信息、系统级事件。·图1 采用HWTACACS协议对用户进行认证、计费和授权组网图 二、配置思路采用如下的思路配置对用户使用本地和HWTACACS认证、HWTACACS授权和进行实时计费。1. 配置HWTACACS服务器模板。2. 配置认证方案、授权方案、计费方案、记录方案。3. 在域下应用HWTACACS服务器模板、认证方案、授权方案、计费方案。三、数据准备为完成此配置举例，需要准备如下数据：· 用户所属的域名· HWTACACS服务器模板名· 认证方案名、认证模式、

3、授权方案名、授权模式、计费方案名、计费模式、记录方案名· 主用和备用HWTACACS服务器的IP地址、认证端口号、授权端口号、计费端口号· HWTACACS服务器密钥四、操作步骤1. 配置HWTACACS服务器模板# 配置HWTACACS服务器模板ht。<Quidway> system-viewQuidway hwtacacs-server template ht# 配置HWTACACS主用认证、授权、计费服务器的IP地址和端口。Quidway-hwtacacs-ht Quidway-hwtacacs-ht Quidway-hwtacacs-ht # 配置HWT

4、ACACS备用认证、授权、计费服务器的IP地址和端口。Quidway-hwtacacs-ht Quidway-hwtacacs-ht Quidway-hwtacacs-ht # 配置TACACS服务器密钥。Quidway-hwtacacs-ht hwtacacs-server shared-key cipher helloQuidway-hwtacacs-ht quit2. 配置认证方案、授权方案、计费方案、记录方案# 配置认证方案l-h，认证方法为先进行本地认证，后进行HWTACACS认证。用户级别提升方为先进行HWTACACS认证，后进行本地认证。Quidway aaaQuidway-aa

5、a authentication-scheme l-hQuidway-aaa-authen-l-h authentication-mode hwtacacs localQuidway-aaa-authen-l-h authentication-super hwtacacs superQuidway-aaa-authen-l-h quit# 配置授权方案hwtacacs，授权方法为HWTACACS，并配置级别为3的用户为按命令行授权。Quidway-aaa authorization-scheme hwtacacsQuidway-aaa-author-hwtacacs authorization

6、-mode hwtacacsQuidway-aaa-author-hwtacacs authorization-cmd 3 hwtacacsQuidway-aaa-author-hwtacacs quit# 配置计费方案hwtacacs，计费方法为HWTACACS。Quidway-aaa accounting-scheme hwtacacsQuidway-aaa-accounting-hwtacacs accounting-mode hwtacacsQuidway-aaa-accounting-hwtacacs accounting start-fail online# 配置实时计费间隔为3分

7、钟。Quidwayaaa-accounting-hwtacacs accounting realtime 3Quidwayaaa-accounting-hwtacacs quit# 配置记录方案scheme0，并与HWTACACS服务器模板ht相关联。Quidwayaaa recording-scheme scheme0Quidwayaaa-recording-scheme0 recording-mode hwtacacs htQuidwayaaa-recording-scheme0 quit# 配置记录方案scheme0的记录策略为记录用户在SwitchB上执行过的命令、记录连接信息以及记录

8、系统级事件。Quidwayaaa cmd recording-scheme scheme0Quidwayaaa outbound recording-scheme scheme0Quidwayaaa system recording-scheme scheme03. 配置huawei域，在域下采用l-h认证方案、HWTACACS授权方案、HWTACACS计费方案、ht的HWTACACS模板4. Quidway-aaa domain huawei5. Quidway-aaa-domain-huawei authentication-scheme l-h6. Quidway-aaa-domain-

9、huawei authorization-scheme hwtacacs7. Quidway-aaa-domain-huawei accounting-scheme hwtacacs8. Quidway-aaa-domain-huawei hwtacacs-server ht9. Quidway-aaa-domain-huawei quitQuidway-aaa quit10. 检查配置结果在SwitchB上执行命令display hwtacacs-server template，可以观察到该HWTACACS服务器模板的配置与要求一致。<Quidway> display hwtac

10、acs-server template ht - HWTACACS-server template name : ht Shared-key : 3MQ*TZ,O3KCQ=QMAF4<1! Quiet-interval(min) : 5 Response-timeout-Interval(sec) : 5 Domain-included : Yes Traffic-unit : B -同时在SwitchB上执行命令display domain，可以观察到该域的配置与要求一致。<Quidway> display domain name huawei Domain-name :

11、huawei Domain-state : Active Authentication-scheme-name : l-h Accounting-scheme-name : hwtacacs Authorization-scheme-name : hwtacacs Service-scheme-name : - RADIUS-server-group : - HWTACACS-server-template : ht 五、配置文件#sysname Quidway#hwtacacs-server template ht hwtacacs-server shared-key cipher 3MQ*

12、TZ,O3KCQ=QMAF4<1!#aaa authentication-scheme default authentication-scheme l-h authentication-mode hwtacacs local authentication-super hwtacacs super authorization-scheme default authorization-scheme hwtacacs authorization-mode hwtacacs authorization-cmd 3 hwtacacs accounting-scheme default accounting-scheme hwtacacs accounting-mode hwtacacs accounting start-fail online accounting realtime 3 recording-scheme scheme0 recording-mode hwtacacs ht cmd recording-scheme scheme0 outbound recording-schem