v7版本

您好，請知：

如果是802.1X認證，需要終端通過radius服務器認證後方可訪問網絡資源。

如果是tacacs，通過AAA服務器上的賬號登錄設備進行遠程登錄管理。

以下是用戶手冊鏈接，請參考：

//www.yolosolive.com/cn/d_202001/1267735_30005_0.htm 

//www.yolosolive.com/cn/d_202001/1267734_30005_0.htm 

telnet也是同樣的  看下這個案例

SSH/Telnet用戶的RADIUS認證和授權配置

Telnet用戶與SSH用戶通過RADIUS服務器進行認證/授權的配置方法類似，下麵的描述以SSH用戶的遠端認證為例。

 

1. 組網需求

如圖1-12所示，配置Switch實現RADIUS服務器對登錄Switch的SSH用戶進行認證和授權。

l              由一台iMC服務器擔當認證/授權RADIUS服務器的職責，服務器IP地址為10.1.1.1/24。

l              Switch與RADIUS服務器交互報文時使用的共享密鑰為expert，向RADIUS服務器發送的用戶名帶域名。服務器根據用戶名攜帶的域名來區分提供給用戶的服務。

l              SSH用戶登錄Switch時使用RADIUS服務器上配置的用戶名hello@bbb以及密碼進行認證，認證通過後的用戶級別為3。

2. 組網圖

圖1-12 SSH用戶RADIUS認證/授權配置組網圖

 

3. 配置步驟

(1)        配置RADIUS server （iMC）

下麵以iMC為例（使用iMC版本為：iMC PLAT 3.20- R2606、iMC UAM 3.60-E6206），說明RADIUS server的基本配置。

 

# 增加接入設備。

登錄進入iMC管理平台，選擇“業務”頁簽，單擊導航樹中的[接入業務/接入設備配置]菜單項，進入接入設備配置頁麵，在該頁麵中單擊“增加”按鈕，進入增加接入設備頁麵。

l              設置與Switch交互報文時使用的認證、計費共享密鑰為“expert”；

l              設置認證及計費的端口號分別為“1812”和“1813”；

l              選擇業務類型為“設備管理業務”；

l              選擇接入設備類型為“H3C”；

l              選擇或手工增加接入設備，添加IP地址為10.1.1.2的接入設備；

l              單擊<確定>按鈕完成操作。

添加的接入設備IP地址要與Switch發送RADIUS報文的源地址保持一致。缺省情況下，設備發送RADIUS報文的源地址是發送RADIUS報文的接口IP地址。

l          若設備使用缺省的發送RADIUS報文的源地址，例如，本例中為接口Vlan-interface3的IP地址10.1.1.2，則此處接入設備IP地址就選擇10.1.1.2。

l          若設備上通過命令nas-ip或者radius nas-ip指定了發送RADIUS報文的源地址，則此處的接入設備IP地址就需要修改並與指定源地址保持一致。

 

圖1-13 增加接入設備

 

 

# 增加設備管理用戶。

選擇“用戶”頁簽，單擊導航樹中的[接入用戶視圖/設備管理用戶]菜單項，進入設備管理用戶列表頁麵，在該頁麵中單擊<增加>按鈕，進入增加設備管理頁麵。

l              輸入用戶名“hello@bbb”和密碼；

l              選擇服務類型為“SSH”；

l              設置EXEC權限級別為“3”，該值為SSH用戶登錄係統後的用戶級別（缺省為0）；

l              增加所管理設備的IP地址，IP地址範圍為“10.1.1.0～10.1.1.255”；

l              單擊<確定>按鈕完成操作。

圖1-14 增加設備管理用戶

 

(2)        配置Switch

# 配置VLAN接口2的IP地址，SSH客戶端將通過該地址連接SSH服務器。

<Switch> system-view

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0

[Switch-Vlan-interface2] quit

# 配置VLAN接口3的IP地址，Switch將通過該地址與服務器通信。

[Switch] interface vlan-interface 3

[Switch-Vlan-interface3] ip address 10.1.1.2 255.255.255.0

[Switch-Vlan-interface3] quit

# 生成RSA及DSA密鑰對，並啟動SSH服務器。

[Switch] public-key local create rsa

[Switch] public-key local create dsa

[Switch] ssh server enable

# 配置SSH用戶登錄采用AAA認證方式。

[Switch] user-interface vty 0 4

[Switch-ui-vty0-4] authentication-mode scheme

# 配置用戶遠程登錄Switch的協議為SSH。

[Switch-ui-vty0-4] protocol inbound ssh

[Switch-ui-vty0-4] quit

# 創建RADIUS方案rad。

[Switch] radius scheme rad

# 配置主認證服務器的IP地址為10.1.1.1，認證端口號為1812。

[Switch-radius-rad] primary authentication 10.1.1.1 1812

# 配置與認證服務器交互報文時的共享密鑰為expert。

[Switch-radius-rad] key authentication expert

# 配置向RADIUS服務器發送的用戶名攜帶域名。

[Switch-radius-rad] user-name-format with-domain

# 配置RADIUS服務器的服務類型。使用iMC服務器時，RADIUS服務器類型應選擇extended。

[Switch-radius-rad] server-type extended

[Switch-radius-rad] quit

# 配置ISP域的AAA方法。

[Switch] domain bbb

[Switch-isp-bbb] authentication login radius-scheme rad

[Switch-isp-bbb] authorization login radius-scheme rad

[Switch-isp-bbb] quit

4. 驗證配置結果

用戶向Switch發起SSH連接，在SSH客戶端按照提示輸入用戶名hello@bbb及正確的密碼後，可成功進入Switch的用戶界麵，並可以使用級別為0、1、2、3的命令。

# 可以通過如下命令查看到AAA用戶的連接信息。

[Switch] display connection

 

Index=1   ,Username=hello@bbb

IP=192.168.1.58

IPv6=N/A

 Total 1 connection(s) matched.