H3C配置AAA文档12页word.doc

如有侵权，请联系网站删除，仅供学习与交流H3C配置AAA文档【精品文档】第 12 页AAA认证配置方法：Telnet 用户通过HWTACACS 服务器认证、授权、计费的应用配置1. 组网需求通过配置 Switch 实现HWTACACS 服务器对登录Switch 的用户进行认证、授权、计费。􀁺 一台 HWTACACS 服务器（担当认证、授权、计费服务器的职责）与Switch 相连，服务器IP地址为10.1.1.1。􀁺 Switch 与认证、授权、计费HWTACACS 服务器交互报文时的共享密钥均为expert，发送给HWTACACS 服务器的用户名中不带域名。􀁺 在 HWTACACS 服务器上设置与Switch 交互报文时的共享密钥为expert。2. 组网图图1-7 Telnet 用户远端HWTACACS 认证、授权和计费配置组网图InternetTelnet user SwitchHWTACACS server10.1.1.1/243. 配置步骤# 配置各接口的IP 地址（略）。# 开启Switch 的Telnet 服务器功能。<Switch> system-viewSwitch telnet server enable# 配置Telnet 用户登录采用AAA 认证方式。Switch user-interface vty 0 4Switch-ui-vty0-4 authentication-mode schemeSwitch-ui-vty0-4 quit# 配置HWTACACS 方案。1-32Switch hwtacacs scheme hwtacSwitch-hwtacacs-hwtac primary authentication 10.1.1.1 49Switch-hwtacacs-hwtac primary authorization 10.1.1.1 49Switch-hwtacacs-hwtac primary accounting 10.1.1.1 49Switch-hwtacacs-hwtac key authentication expertSwitch-hwtacacs-hwtac key authorization expertSwitch-hwtacacs-hwtac key accounting expertSwitch-hwtacacs-hwtac user-name-format without-domainSwitch-hwtacacs-hwtac quit# 配置ISP 域的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication login hwtacacs-scheme hwtacSwitch-isp-bbb authorization login hwtacacs-scheme hwtacSwitch-isp-bbb accounting login hwtacacs-scheme hwtacSwitch-isp-bbb quit# 或者不区分用户类型，配置缺省的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication default hwtacacs-scheme hwtacSwitch-isp-bbb authorization default hwtacacs-scheme hwtacSwitch-isp-bbb accounting default hwtacacs-scheme hwtac使用Telnet 登录时输入用户名为useridbbb，以使用域bbb 进行认证。Telnet 用户通过local 认证、HWTACACS 授权、RADIUS 计费的应用配置1. 组网需求通过配置 Switch 实现local 认证，HWTACACS 授权和RADIUS 计费。Telnet 用户的用户名和密码为hello。􀁺 一台 HWTACACS服务器（担当授权服务器的职责）与Switch 相连，服务器IP 地址为10.1.1.2。Switch 与授权HWTACACS 服务器交互报文时的共享密钥均为expert，发送给HWTACACS服务器的用户名中不带域名。􀁺 一台 RADIUS 服务器（担当计费服务器的职责）与Switch 相连，服务器IP 地址为10.1.1.1。Switch 与计费RADIUS 服务器交互报文时的共享密钥为expert。其它接入如果需要此类 AAA 应用，和Telnet 接入在域的AAA 配置上类似，只有接入的区分。1-332. 组网图图1-8 Telnet 用户local 认证、HWTACACS 授权和RADIUS 计费配置组网图3. 配置步骤# 配置各接口的IP 地址（略）。# 开启Switch 的Telnet 服务器功能。<Switch> system-viewSwitch telnet server enable# 配置Telnet 用户登录采用AAA 认证方式。Switch user-interface vty 0 4Switch-ui-vty0-4 authentication-mode schemeSwitch-ui-vty0-4 quit# 配置HWTACACS 方案。Switch hwtacacs scheme hwtacSwitch-hwtacacs-hwtac primary authorization 10.1.1.2 49Switch-hwtacacs-hwtac key authorization expertSwitch-hwtacacs-hwtac user-name-format without-domainSwitch-hwtacacs-hwtac quit# 配置RADIUS 方案。Switch radius scheme rdSwitch-radius-rd primary accounting 10.1.1.1 1813Switch-radius-rd key accounting expertSwitch-radius-rd server-type extendedSwitch-radius-rd user-name-format without-domainSwitch-radius-rd quit# 创建本地用户hello。Switch local-user helloSwitch-luser-hello service-type telnetSwitch-luser-hello password simple helloSwitch-luser-hello quit# 配置ISP 域的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication login local1-34Switch-isp-bbb authorization login hwtacacs-scheme hwtacSwitch-isp-bbb accounting login radius-scheme rdSwitch-isp-bbb quit# 或者不区分用户类型，配置缺省的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication default localSwitch-isp-bbb authorization default hwtacacs-scheme hwtacSwitch-isp-bbb accounting default radius-scheme imc使用Telnet 登录时输入用户名为hellobbb，以使用域bbb 进行认证。SSH 用户通过RADIUS 服务器认证、授权、计费的应用配置1. 组网需求如 图1-9所示，配置Switch实现RADIUS服务器对登录Switch的SSH用户进行认证、授权和计费。􀁺 由一台 iMC 服务器担当认证/授权、计费RADIUS 服务器的职责，服务器IP 地址为10.1.1.1/24。􀁺 Switch 与认证/授权、计费RADIUS 服务器交互报文时的共享密钥均为expert，向RADIUS服务器发送的用户名带域名。服务器根据用户名携带的域名来区分提供给用户的服务。2. 组网图图1-9 SSH 用户RADIUS 认证、授权和计费配置组网图InternetSSH user SwitchRADIUS server10.1.1.1/24Vlan-int2192.168.1.70/243. 配置步骤(1) 配置RADIUS server （iMC）下面以 iMC 为例（使用iMC 版本为：iMC PLAT 3.20-R2602、iMC UAM 3.60-E6102），说明RADIUSserver 的基本配置。# 增加接入设备。登录进入 iMC 管理平台，选择“业务”页签，单击导航树中的接入业务/接入设备配置菜单项，进入接入设备配置页面，在该页面中单击“增加”按钮，进入增加接入设备页面。􀁺 设置与 Switch 交互报文时的认证、计费共享密钥为expert；􀁺 设置认证及计费的端口号分别为 1812 和1813；1-35􀁺 选择业务类型为设备管理业务；􀁺 选择接入设备类型为 H3C；􀁺 选择或手工增加接入设备，添加 IP 地址为10.1.1.2 的接入设备。图1-10 增加接入设备# 增加设备管理用户。选择“用户”页签，单击导航树中的接入用户视图/设备管理用户菜单项，进入设备管理用户列表页面，在该页面中单击<增加>按钮，进入增加设备管理页面。􀁺 添加用户名 hellobbb 和密码；􀁺 选择服务类型为 SSH；􀁺 增加所管理设备的 IP 地址，IP 地址范围为“192.168.1.0192.168.1.255”。1-36图1-11 增加设备管理用户(2) 配置Switch# 配置VLAN 接口2 的IP 地址，SSH 客户端将通过该地址连接SSH 服务器。<Switch> system-viewSwitch interface vlan-interface 2Switch-Vlan-interface2 ip address 192.168.1.70 255.255.255.0Switch-Vlan-interface2 quit# 配置VLAN 接口3 的IP 地址，Switch 将通过该地址与服务器通信。Switch interface vlan-interface 3Switch-Vlan-interface3 ip address 10.1.1.2 255.255.255.0Switch-Vlan-interface3 quit# 生成RSA 及DSA 密钥对，并启动SSH 服务器。Switch public-key local create rsaSwitch public-key local create dsaSwitch ssh server enable# 配置SSH 用户登录采用AAA 认证方式。Switch user-interface vty 0 4Switch-ui-vty0-4 authentication-mode scheme1-37# 配置用户远程登录Switch 的协议为SSH。Switch-ui-vty0-4 protocol inbound sshSwitch-ui-vty0-4 quit# 配置RADIUS 方案。Switch radius scheme radSwitch-radius-rad primary authentication 10.1.1.1 1812Switch-radius-rad primary accounting 10.1.1.1 1813Switch-radius-rad key authentication expertSwitch-radius-rad key accounting expertSwitch-radius-rad user-name-format with-domainSwitch-radius-rad quit# 配置ISP 域的AAA 方案。Switch domain bbbSwitch-isp-bbb authentication login radius-scheme radSwitch-isp-bbb authorization login radius-scheme radSwitch-isp-bbb accounting login radius-scheme radSwitch-isp-bbb quit使用SSH 登录时输入用户名为useridbbb，以使用域bbb 进行认证。(3) SSH 用户建立与Switch 的连接在 SSH 客户端按照提示输入用户名hellobbb 及密码，即可进入Switch 的用户界面。用户登录系统后所能访问的命令级别由iMC 服务器授权，可通过设备管理用户界面的EXEC 权限级别来设置