本文详细介绍了如何配置网络设备的VTY用户界面以支持telnet协议,并启用AAA认证,同时配置RADIUS服务器模板、认证方案和业务方案。此外,还涉及到了WinRadius软件的下载和配置,包括设置NAS密钥、认证端口,以及添加认证账号。最后提到了使用RadiusTest.exe进行测试的步骤和参数说明。
一、直接贴配置
###配置VTY用户界面所支持的协议、验证方式
user-interface vty 0 4
protocol inbound telnet
authentication-mode aaa
quit
###配置RADIUS认证
###(1)配置RADIUS服务器模板,指定服务器的IP地址与端口号、共享密钥
radius-server template r1
radius-server authentication 192.168.0.254 1812
radius-server shared-key cipher xk123
quit
###(2)配置认证方案,指定认证方式依次为RADIUS和本地
aaa
authentication-scheme r1
authentication-mode radius local
quit
###(3)配置业务方案,指定用户级别
service-scheme r1
admin-user privilege level 15
quit
###(4)新建一个域,并在域下引用RADIUS服务器模板、认证方案和业务方案
domain huawei
radius-server r1
authentication-scheme r1
service-scheme r1
quit
###(5) 配置登录用户的本地用户名与密码、级别和接入类型
aaa
local-user yc123 password irreversible-cipher test#123
local-user yc123 privilege level 15
local-user yc123 service-type telnet
quit
###修改全局默认管理域
domain huawei admin
管理员用户的全局默认域为“default_admin”。
如果在此步修改了全局默认管理域,那么登录设备时就不需要输入域名了,建议修改。
若不修改的话,那么管理员登录设备时,输入用户名时需要携带域名才行,格式为“用户名@域名”,例如yc123@huawei,并且在缺省情况下,设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改,如果RADIUS服务器不接受包含域名的用户名,还需要在RADIUS服务器模板下配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名才行。或者也可以在RADIUS服务器和本地创建携带域名的用户名(例如yc123@huawei)。
二、配置WinRadius
1 winradius软件下载
自行百度
2 winraduis搭建raduis server的简单配置
(1)解压WinRadius5000.zip,如下图所示,并使用管理员身份运行打开winradius.exe
(2)[设置]=>[系统],配置NAS密钥、认证端口、计费端口
秘钥和端口涉及到交换机配置,请牢记
(3)[设置]=>[数据库],配置数据库,我这使用的是默认配置
(4)[操作]=>[添加账号],添加认证的账号,此处添加的账号可登陆交换机管理配置。
(5)上述参数配置完毕,重启winradius.exe
3 winradius开启自带客户端RadiusTest.exe进行测试,只支持IPv4
参数说明:
Raduis IP,radius server的IP地址;
Raduis Port,radius server配置的认证端口(按照上述配置,此处应该是1814);
消息,支持radius基本消息请求,按需配置(此处使用默认);
Secret,radius的NAS密钥(按照上述配置,此处应该是xk123);
用户名和密码,即为上述配置的账号test,密码password。
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
