案例:

利用ACS来搭建一RADIUS服务器,一台华为的交换机作为RADIUS客户端,最后通过一台pc机来实现客户端的认证!!

拓扑图如下:

实验步骤:

步骤一:ACS的安装和配置

第一步:安装

(1)先安装JAVA 虚拟机 如图:

 

 

(2).安装ACS,在本案例中装的4.0版本,其他版本的也是可以的!!)

 

 

 

按照要求安装就成!!

成功后的结果如图所示:

 

 

3导入H3C的用户级别的私有Radius属性到ACS中:    由于ACS技术归cisco所有,因此只能用在cisco设备上,华为设备上是不兼容的,如果RADIUS客户端交换机使用的是华为的,那么就必须要把华为的设备信息导入到ACS中才能使用,不然是无法完成认证的!!! 

 

先编写h3c.ini文件:

 

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Priviliege]

Type=INTEGER

Profile+IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

[Encryption-Type]

1=1

2=2

3=3

[Ftp_Directory]

Type=STRING

Profile=OUT

cmd中导入:如图

 

 

4 AAA 认证服务器配置

 1.添加一个用户:

 

 

2.创建AAA客户端:

network-configuration选项下添加:

 

 

注意:在选择验证服务这一项中显示了(RADIUS(Huawei)这一项)这表明导入成功了,如果没有,那就表示失败!

3.设置本地RADIUS服务器:

4.最终的效果:

步骤二:交换机的配置过程(华为交换机):

   1.  开启802.1x

[sw1]dotx

2.设置服务器的类型:

 [sw1]server-type standard

                                                                                                      

3。指定radius服务器::

[sw1] primary authentication 192.168.1.100

 

4.配置共享密钥:

[sw1] key authentication 123456

 

5.服务器审计类型设为可选

[sw1] accounting optional

6创建域名;

[sw1] domain tec

7.指定最大连接数:

access-limit enable 10

8.认证账号是否添加域名

配置信息:

[sw1]display current-configuration

#

 sysname sw1

#

 dot1x

#

radius scheme system

radius scheme xxx

 server-type standard

 primary authentication 192.168.1.100

 accounting optional

 key authentication 123456

 key authentication 123456

#

domain system

domain tec

 scheme radius-scheme xxx

 access-limit enable 10

 accounting optional

 

 

 

成功!!!!!!!