• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 全部
  • 全部
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
高级搜索

ComwareV5平台交换机通过CiscoACS5.2 Radius认证配置总结

2013-10-31 发表
  • 2关注
  • 3收藏,2135浏览
秦军 六段
粉丝:12人 关注:4人

ComwareV5平台交换机通过Cisco ACS 5.2认证配置总结

本文主要讲述ComwareV5平台与Cisco ACS 5.2认证服务器通过Radius方式进行Telnet认证的配置方法以及注意事项。

一、组网需求:

PC直连S5500-EIS5500-EI直连Cisco ACS 5.2服务器。

1.      PC

PC使用Windows 7操作系统;

IP address10.1.1.1/24

2.      S5500-EI

S5500-EI使用软件版本Release 2208

Vlan10 address10.1.1.254/2l;

Vlan192 address192.168.1.254/24Server互连接口属vlan192

3.      Cisco ACS 5.2

IP address192.168.1.253

二、组网图:

三、配置步骤:

1.        PC配置

配置IP地址:

2.        S5500-EI配置

S5500-EI配置

telnet server enable

#

vlan 10

#

vlan 192

#

interface Vlan-interface10

 ip address 10.1.1.254 255.255.255.0

#

interface Vlan-interface192

 ip address 192.168.1.254 255.255.255.0

#

interface GigabitEthernet1/0/23

 port access vlan 10

#

interface GigabitEthernet1/0/24

 port access vlan 192

#

user-interface vty 0 15

 authentication-mode scheme

#

radius scheme login

 server-type extended

 primary authentication 192.168.1.253

 primary accounting 192.168.1.253

 key authentication 123

 key accounting 123

 user-name-format without-domain

 nas-ip 192.168.1.254

#

domain system

 authentication login radius-scheme login

 authorization login radius-scheme login

 accounting login radius-scheme login

 #

3.        Cisco ACS5.2配置

3.1命令行配置

Cisco ACS配置

interface GigabitEthernet 0

 ip address 192.168.1.253 255.255.255.0

 no shutdown

!

ip default-gateway 192.168.1.254

3.2 Web页面配置

1)通过GUI登录ACS

通过IE浏览器键入https://192.168.1.253登录ACS WEB页面。

2)配置网络资源

需要预先规划好网络设备组NDG的分配方式,比如按照设备所处位置Location或者设备所属类型Device Type进行规划。

网络资源组>网络设备组NDG下配置位置(Location):

网络资源组>网络设备组NDG下配置设备类型(Device Type):

网络资源组>网络设备组NDG下配置网络设备和AAA客户端(Network Devices and AAA Clients):

S5500-EI分配到指定站点、设备类型组,指定设备的IP地址,选择Radius协议,配置共享密钥,必须保证此密钥与设备上设置的共享密钥完全一致。

3)配置用户组和用户

创建身份组(Identity Groups),并分配到All Groups组中:

创建用户(Users),设置用户密码,并将用户分配到特定组:

4)创建H3C私有属性

导入H3C字典,新建Radius VSAVendor-Specific-Attributes),NameH3CVendor ID25506Attribute PrefixH3C-

定义EXEC用户优先级扩展属性,AttrbuteH3C-Exec-PrivilegeVendor Attribute ID29DirectionBOTHMultiple AllowedTrueAttribute TypeEnumeration,同时添加ID值分别为0123的权限级别属性。

 

5)配置策略元素

创建授权策略:

添加Radius属性,主要包含三个属性:RADIUS-IEIF下的Login-ServiceEnum Name选择TelnetRADIUS-IEIF下的Service-TypeEnum Name选择LoginRADIUS-H3C下的H3C-Exec-PrivilegeEnum Name选择Administrator

6)配置接入访问策略

缺省情况下存在设备管理和网络接入控制两个默认访问策略。

创建接入服务,可以基于已存在的服务进行配置:

勾选认证协议,这里只需勾选PAPCHAP即可:

在接入服务中配置授权操作,创建授权规则,选择NDG位置以及授权策略:

配置服务选择规则,选择已创建的接入服务。

接入策略>接入服务>服务选择规则,创建服务选择策略,选择匹配Radius协议时使用的接入服务:

4. 验证

认证时对设备抓包,在获取的Radius Access-Accept报文中可以看到Service-TypeLogin-ServiceExec-Privilege等属性。

在监控与报告中可以获取详细的日志信息,以便认证失败时进行排查。

四、配置关键点:

1.      配置ACS时必须定义扩展属性H3C-Exec-Privilege为用户下发权限,也可以使用Huawei定义的扩展属性,Vendor ID2011,属性名称hw_Exec_Privilege,定义方法与H3C-Exec-Privilege完全相同

2.      在设备侧配置Radius Scheme时,需要将设备支持的RADIUS服务器类型设置为extended类型;

3.      配置服务选择规则,注意调整准则的先后顺序,按照从上到下的顺序对协议类型进行匹配。


0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
<

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作