配置采用RADIUS协议进行认证

('配置采用RADIUS协议进行认证、计费和授权示例组网需求如图1所示，用户通过RouterA访问网络，用户同处于huawei域。RouterB作为目的网络接入服务器。用户首先需要穿越RouterA和RouterB所在的网络，然后通过服务器的远端认证才能通过RouterB访问目的网络。在RouterB上的远端认证方式如下：•用RADIUS服务器对接入用户进行认证、计费。•RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器，RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器，认证端口号缺省为1812，计费端口号缺省为1813。图1采用RADIUS协议对用户进行认证和计费组网图配置思路用如下的思路配置采用RADIUS协议对用户进行认证和计费。1.配置RADIUS服务器模板。2.配置认证方案、计费方案。3.在域下应用RADIUS服务器模板、认证方案和计费方案。数据准备为完成此配置举例，需要准备如下数据：•用户所属的域名•RADIUS服务器模板名•认证方案名、认证模式、计费方案名、计费模式•主用和备用RADIUS服务器的IP地址、认证端口号、计费端口号•RADIUS服务器密钥和重传次数说明：以下配置均在RouterB上进行。操作步骤1.配置接口的IP地址和路由，使用户和服务器之间路由可达。2.配置RADIUS服务器模板#配置RADIUS服务器模板shiva。system-view[Huawei]radius-servertemplateshiva#配置RADIUS主用认证服务器和计费服务器的IP地址、端口。[Huawei-radius-shiva]radius-serverauthentication129.7.66.661812[Huawei-radius-shiva]radius-serveraccounting129.7.66.661813#配置RADIUS备用认证服务器和计费服务器的IP地址、端口。[Huawei-radius-shiva]radius-serverauthentication129.7.66.671812secondary[Huawei-radius-shiva]radius-serveraccounting129.7.66.671813secondary#配置RADIUS服务器密钥、重传次数。[Huawei-radius-shiva]radius-servershared-keycipherhello[Huawei-radius-shiva]radius-serverretransmit2[Huawei-radius-shiva]quit3.配置认证方案、计费方案#配置认证方案1，认证模式为RADIUS。[Huawei]aaa[Huawei-aaa]authentication-scheme1[Huawei-aaa-authen-1]authentication-moderadius[Huawei-aaa-authen-1]quit#配置计费方案1，计费模式为RADIUS。[Huawei-aaa]accounting-scheme1[Huawei-aaa-accounting-1]accounting-moderadius[Huawei-aaa-accounting-1]quit4.配置huawei域，在域下应用认证方案1、计费方案1、RADIUS模板shiva5.[Huawei-aaa]domainhuawei6.[Huawei-aaa-domain-huawei]authentication-scheme17.[Huawei-aaa-domain-huawei]accounting-scheme1[Huawei-aaa-domain-huawei]radius-servershiva8.检查配置结果在RouterB上执行命令displayradius-serverconfigurationtemplate，可以观察到该RADIUS服务器模板的配置与要求一致。displayradius-serverconfigurationtemplateshiva--------------------------------------------------------------------Server-template-name:shivaProtocol-version:standardTraffic-unit:BShared-secret-key:3MQTZ,O3KCQ=^Q`MAF4<1!!Timeout-interval(insecond):5Primary-authentication-server:129.7.66.66;1812;LoopBack:NULLPrimary-accounting-server:129.7.66.66;1813;LoopBack:NULLSecondary-authentication-server:129.7.66.67;1812;LoopBack:NULLSecondary-accounting-server:129.7.66.67;1813;LoopBack:NULLRetransmission:2Domain-included:YES-------------------------------------------------------------------配置文件#radius-servertemplateshivaradius-servershared-keycipher3MQTZ,O3KCQ=^Q`MAF4<1!!radius-serverauthentication129.7.66.661812radius-serverauthentication129.7.66.671812secondaryradius-serveraccounting129.7.66.661813radius-serveraccounting129.7.66.671813secondaryradius-serverretransmit2#aaaauthentication-schemedefaultauthentication-scheme1authentication-moderadiusauthorization-schemedefaultaccounting-schemedefaultaccounting-scheme1accounting-moderadiusdomaindefaultdomaindefault_admindomainhuaweiauthentication-scheme1accounting-scheme1radius-servershiva#return配置Web认证示例通过配置Web认证，未认证用户在接入网络前必须通过指定的网页完成Web认证才能访问网络资源，从而保证网络的安全。组网需求如图1所示，用户通过Router访问网络。为了保证网络的安全性，要求在用户接入网络时进行Web认证。用户在通过认证前，只能访问指定的网络地址。图1配置Web认证组网图配置思路用如下的思路配置Web认证。1.配置AAA认证，用来用户名和密码发送到RADIUS服务器进行认证。2.配置Web认证，用来对接口Ethernet2/0/1下的用户进行认证。3.配置Freerule，保证用户在通过认证前可以访问指定的网络地址。数据准备为完成此配置举例，需要准备如下数据：•接口加入的VLAN和VLANIF接口的IP地址（具体数据如图1所示）。•RADIUS服务器IP地址为192.168.2.30/24，认证端口号为1812。•RADIUS服务器密钥为web-isp，重传次数为3。•AAA认证方案scheme1。•RADIUS服务器模版temp1。•Web认证服务器模板isp-server。•Web认证服务器地址为192.168.2.20/24。•Web认证服务器URL为http://isp.web-authen.com。•用户属于域的名称为isp。说明：本案例只包括Router的配置，RADIUS服务器的配置这里不做相关说明。操作步骤1.配置接口的IP地址2.system-view3.[Huawei]vlanbatch10204.[Huawei-vlan10]quit5.[Huawei]interfaceethernet2/0/16.[Huawei-Ethernet2/0/1]portlink-typeaccess7.[Huawei-Ethernet2/0/1]portdefaultvlan108.[Huawei-Ethernet2/0/1]quit9.[Huawei]interfacevlanif1010.[Huawei-Vlanif10]ipaddress192.168.1.102411.[Huawei-Vlanif10]quit12.[Huawei]interfaceethernet2/0/213.[Huawei-Ethernet2/0/2]porthybridpvidvlan2014.[Huawei-2/0/2]quit15.[Huawei]interfacevlanif2016.[Huawei-Vlanif20]ipaddress192.168.2.102417.[Huawei-Vlanif20]quit18.配置RADIUS服务器模板#配置RADIUS服务器模板temp1。[Huawei]radius-servertemplatetemp1#配置RADIUS主用认证服务器的IP地址、端口。[Huawei-radius-temp1]radius-serverauthentication192.168.2.301812#配置RADIUS服务器密钥、重传次数。[Huawei-radius-temp1]radius-servershared-keycipherweb-isp[Huawei-radius-temp1]radius-serverretransmit3[Huawei-radius-temp1]quit19.配置认证方案，认证方案scheme1，认证方法为RADIUS20.[Huawei]aaa21.[Huawei–aaa]authentication-schemescheme122.[Huawei-aaa-scheme1]authentication-moderadius[Huawei-aaa-scheme1]quit23.配置isp域，绑定认证方式和RADIUS服务器模板24.[Huawei-aaa]domainisp25.[Huawei-aaa-domain-isp]authentication-schemescheme126.[Huawei-aaa-domain-isp]radius-servertemp127.[Huawei-aaa-domain-isp]quit[Huawei-aaa-domain]quit28.配置Web认证#配置Web认证服务器模板。[Huawei]web-auth-serverisp-server[Huawei-web-auth-server-isp-server]server-ip192.168.2.20[Huawei-web-auth-server-isp-server]urlhttp://isp.web-authen.com[Huawei-web-auth-server-isp-server]quit#配置免认证规则。[Huawei]portalfree-rule1destinationip192.168.2.20mask24#在接口下绑定Web认证服务器。[Huawei]interfacevlanif10[Huawei-Vlanif10]web-auth-serverisp-server[Huawei-Vlanif10]quit29.检查配置结果执行命令displayweb-auth-serverconfiguration，可以看到Web服务器的详细配置信息。displayweb-auth-serverconfigurationWeb-auth-serverName:isp-serverIP-address:192.168.2.20Shared-key:Port/PortFlag:50100/NOURL:http://isp.web-authen.comBoundedVlanif:20执行命令displayweb-auth-serverconfiguration，可以看到Web服务器的详细配置信息。displayportalfree-rule1Rule-Number1:Source:IP:Mask:Vlan:Destination:IP:192.168.2.20Mask:255.255.255.0------------------------------------------------------------------------1Portalfree-ruleintotal配置文件#vlanbatch110#portalfree-rule1destinationip192.168.2.20mask255.255.255.0#radius-servertemplatetemp1radius-servershared-keycipher3MQTZ,O3KCQ=^Q`MAF4<1!!radius-serverauthentication192.168.2.301812#web-auth-serverisp-serverserver-ip192.168.2.20port50100urlhttp://isp.web-authen.com#aaaauthentication-schemescheme1authentication-moderadiusdomainispauthentication-schemescheme1radius-servertemp1#interfaceVlanif10ipaddress192.168.1.10255.255.255.0web-auth-serverisp-server#interfaceVlanif20ipaddress192.168.2.10255.255.255.0#interfaceEthernet2/0/1portlink-typeaccessportdefaultvlan10#interfaceEthernet2/0/2portlink-typeaccessporthybridpvidvlan20#return',)