这个radius配置了啥哪位大佬解释一下
- 0关注
- 1收藏,2608浏览
您好,参考链接
1.5 配置RADIUS
1.5.1 RADIUS配置任务简介
RADIUS配置任务如下:
(1) 配置RADIUS服务器探测模板
若要对RADIUS认证服务器进行可达性探测,则需要配置RADIUS服务器探测模板,并在RADIUS认证服务器配置中引用该模板。
(2) 创建RADIUS方案
(3) 配置RADIUS认证服务器
(4) 配置RADIUS计费服务器
(5) 配置RADIUS报文的共享密钥
若配置RADIUS认证/计费服务器时未指定共享密钥,则可以通过本任务统一指定对所有认证/计费RADIUS服务器生效的共享密钥。
(6) 配置RADIUS方案所属的VPN
若配置RADIUS认证/计费服务器时未指定所属的VPN,则可以通过本任务统一指定所有认证/计费RADIUS服务器所属的VPN。
(7) (可选)配置RADIUS服务器的状态
(8) (可选)配置RADIUS服务器的定时器
(9) (可选)配置RADIUS报文交互参数
(10) (可选)配置RADIUS属性参数
¡ 开启使用RADIUS Attribute 17支持在线修改用户密码功能
¡ 配置RADIUS Attribute 25的CAR参数解析功能
¡ 配置RADIUS Attribute 31中的MAC地址格式
¡ 配置Vendor ID为2011的RADIUS服务器版本号
¡ 配置RADIUS Remanent_Volume属性的流量单位
(11) (可选)配置RADIUS扩展功能
1.5.2 RADIUS配置限制和指导
采用设备作为RADIUS服务器时,创建的RADIUS方案中,仅RADIUS认证服务器、RADIUS报文的共享密钥和发送给RADIUS服务器的用户名格式需要配置,其它配置无需关注。
1.5.3 配置RADIUS服务器探测模板
1. 功能简介
RADIUS服务器探测功能是指,设备周期性发送探测报文探测RADIUS服务器是否可达:如果服务器不可达,则置服务器状态为block,如果服务器可达,则置服务器状态为active。该探测功能不依赖于实际用户的认证过程,无论是否有用户向RADIUS服务器发起认证,无论是否有用户在线,设备都会自动对指定的RADIUS服务器进行探测,便于及时获得该服务器的可达状态。
RADIUS服务器探测模板用于配置探测参数,并且可以被RADIUS方案视图下的RADIUS服务器配置引用。
当一个RADIUS服务器配置中成功引用了一个已经存在的服务器探测模板后,设备会启动对该RADIUS服务器的探测功能。设备采用测模板中配置的探测用户名构造一个认证请求报文,并在探测周期内选择随机时间点向引用了探测模板的RADIUS服务器发送该报文。如果在本次探测周期内收到服务器的认证响应报文,则认为当前探测周期内该服务器可达。
2. 配置限制和指导
系统支持同时存在多个RADIUS服务器探测模板。
服务器探测功能启动后,以下情况发生将会导致探测过程中止:
· 删除该RADIUS服务器配置;
· 取消对服务器探测模板的引用;
· 删除对应的服务器探测模板;
· 将该RADIUS服务器的状态手工置为block;
· 删除当前RADIUS方案。
3. 配置步骤
(1) 进入系统视图。
system-view
(2) 配置RADIUS服务器探测模板。
radius-server test-profile profile-name username name [ interval interval ]
1.5.4 创建RADIUS方案
1. 配置限制和指导
系统最多支持配置16个RADIUS方案。一个RADIUS方案可以同时被多个ISP域引用。
2. 配置步骤
(1) 进入系统视图。
system-view
(2) 创建RADIUS方案,并进入RADIUS方案视图。
radius scheme radius-scheme-name
1.5.5 配置RADIUS认证服务器
1. 功能简介
由于RADIUS服务器的授权信息是随认证应答报文发送给RADIUS客户端的,RADIUS的认证和授权功能由同一台服务器实现,因此RADIUS认证服务器相当于RADIUS认证/授权服务器。通过在RADIUS方案中配置RADIUS认证服务器,指定设备对用户进行RADIUS认证时与哪些服务器进行通信。
一个RADIUS方案中最多允许配置一个主认证服务器和16个从认证服务器。缺省情况下,当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
2. 配置限制和指导
建议在不需要备份的情况下,只配置主RADIUS认证服务器即可。
在实际组网环境中,可以指定一台服务器既作为某个RADIUS方案的主认证服务器,又作为另一个RADIUS方案的从认证服务器。
在同一个方案中指定的主认证服务器和从认证服务器的VPN、IP地址、端口号不能完全相同,并且各从认证服务器的VPN、IP地址、端口号也不能完全相同。
3. 配置步骤
(1) 进入系统视图。
system-view
(2) 进入RADIUS方案视图。
radius scheme radius-scheme-name
(3) 配置主RADIUS认证服务器。
primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name ] *
缺省情况下,未配置主RADIUS认证服务器。
(4) (可选)配置从RADIUS认证服务器。
secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | test-profile profile-name | vpn-instance vpn-instance-name ] *
缺省情况下,未配置从RADIUS认证服务器。
1.5.6 配置RADIUS计费服务器
1. 功能简介
通过在RADIUS方案中配置RADIUS计费服务器,指定设备对用户进行RADIUS计费时与哪些服务器进行通信。
一个RADIUS方案中最多允许配置一个主计费服务器和16个从计费服务器。缺省情况下,当主服务器不可达时,设备根据从服务器的配置顺序由先到后查找状态为active的从服务器并与之交互。
2. 配置限制和指导
建议在不需要备份的情况下,只配置主RADIUS计费服务器即可。
在实际组网环境中,可以指定一台服务器既作为某个RADIUS方案的主计费服务器,又作为另一个RADIUS方案的从计费服务器。
在同一个方案中指定的主计费服务器和从计费服务器的VPN、IP地址、端口号不能完全相同,并且各从计费服务器的VPN、IP地址、端口号也不能完全相同。
目前RADIUS不支持对FTP/SFTP/SCP用户进行计费。
3. 配置步骤
(1) 进入系统视图。
system-view
(2) 进入RADIUS方案视图。
radius scheme radius-scheme-name
(3) 配置主RADIUS计费服务器。
primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *
缺省情况下,未配置主RADIUS计费服务器。
(4) (可选)配置从RADIUS计费服务器。
secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key { cipher | simple } string | vpn-instance vpn-instance-name ] *
缺省情况下,未配置从RADIUS计费服务器。
1.5.7 配置RADIUS报文的共享密钥
1. 功能简介
RADIUS客户端与RADIUS服务器使用MD5算法并在共享密钥的参与下生成验证字,接受方根据收到报文中的验证字来判断对方报文的合法性。只有在共享密钥一致的情况下,彼此才能接收对方发来的报文并作出响应。
由于设备优先采用配置RADIUS认证/计费服务器时指定的报文共享密钥,因此,本配置中指定的RADIUS报文共享密钥仅在配置RADIUS认证/计费服务器时未指定相应密钥的情况下使用。
2. 配置限制和指导
必须保证设备上设置的共享密钥与RADIUS服务器上的完全一致。
3. 配置步骤
(1) 进入系统视图。
system-view
(2) 进入RADIUS方案视图。
radius scheme radius-scheme-name
(3) 配置RADIUS报文的共享密钥。
key { accounting | authentication } { cipher | simple } string
缺省情况下,未配置RADIUS报文的共享密钥。
1.5.8 配置RADIUS方案所属的VPN
1. 功能简介
该配置用于为RADIUS方案下的所有RADIUS服务器统一指定所属的VPN。RADIUS服务器所属的VPN也可以在配置RADIUS服务器的时候单独指定,且被优先使用。未单独指定所属VPN的服务器,则属于所在RADIUS方案所属的VPN。
2. 配置步骤
(1) 进入系统视图。
system-view
(2) 进入RADIUS方案视图。
radius scheme radius-scheme-name
(3) 配置RADIUS方案所属的VPN。
vpn-instance vpn-instance-name
缺省情况下,RADIUS方案属于公网。
- 2021-08-10回答
- 评论(0)
- 举报
-
(1)
[H3C]dis cu
#
version 5.20, Release 2220P02
#
sysname H3C
#
irf mac-address persistent timer
irf auto-update enable
undo irf link-delay
#
domain default enable system
#
undo ip http enable
#
password-recovery enable
#
vlan 1
#
vlan 2 to 3000
#
radius scheme system
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
user-group syste
group-attribute allow-guest
#
interface NULL0
#
interface Vlan-interface1
ip address dhcp-alloc client-identifier mac Vlan-interface1
#
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/3
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/4
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/5
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/6
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/7
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/8
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/9
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/10
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/11
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/12
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/13
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/14
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/15
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/16
port link-mode bridge
port link-type trunk
port trunk permit vlan all
speed 100
duplex full
#
interface GigabitEthernet1/0/17
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/18
port link-mode bridge
port link-type trunk
port trunk permit vlan all
duplex full
#
interface GigabitEthernet1/0/19
port link-mode bridge
port link-type trunk
port trunk permit vlan all
shutdown
#
interface GigabitEthernet1/0/20
port link-mode br
port link-type trunk
port trunk permit vlan all
shutdown
#
interface GigabitEthernet1/0/21
port link-mode bridge
port link-type trunk
port trunk permit vlan all
shutdown
#
interface GigabitEthernet1/0/22
port link-mode bridge
port link-type trunk
port trunk permit vlan all
shutdown
#
interface GigabitEthernet1/0/23
port link-mode bridge
port link-type trunk
port trunk permit vlan all
shutdown
#
interface GigabitEthernet1/0/24
port link-mode bridge
port link-type trunk
port trunk permit vlan all
shutdo
#
interface GigabitEthernet1/0/25
port link-mode bridge
port link-type trunk
port trunk permit vlan all
shutdown
#
interface GigabitEthernet1/0/26
port link-mode bridge
port link-type trunk
port trunk permit vlan all
shutdown
#
interface GigabitEthernet1/0/27
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/28
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/29
port link-mode bridge
port link-type trun
port trunk permit vlan all
#
interface GigabitEthernet1/0/30
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/31
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#
interface GigabitEthernet1/0/32
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#
load xml-configuration
#
load tr069-configuration
#
user-interface aux 0
user-interface vty 0 15
#
return
- 2021-08-10回答
- 评论(0)
- 举报
-
(0)
radius scheme system
你这radius 没启用 就创建了一个方案模板
- 2021-08-10回答
- 评论(3)
- 举报
-
(1)
那就是没用的radius吗
关键是我不会配
没用的radius
以下是配置举例,请参考:
https://www.h3c.com/cn/d_202001/1268379_30005_0.htm#_Toc29921498
1.15 802.1X典型配置举例
1.15.1 802.1X认证配置举例
1. 组网需求
用户通过Device的端口GigabitEthernet1/0/1接入网络,设备对该端口接入的用户进行802.1X认证以控制其访问Internet,具体要求如下:
· 由两台RADIUS服务器组成的服务器组与Device相连,其IP地址分别为10.1.1.1/24和10.1.1.2/24,使用前者作为主认证/计费服务器,使用后者作为备份认证/计费服务器。
· 端口GigabitEthernet1/0/1下的所有接入用户均需要单独认证,当某个用户下线时,也只有该用户无法使用网络。
· 认证时,首先进行RADIUS认证,如果RADIUS服务器没有响应则进行本地认证。
· 所有接入用户都属于同一个ISP域bbb。
· Device与RADIUS认证服务器交互报文时的共享密钥为name、与RADIUS计费服务器交互报文时的共享密钥为money。
2. 组网图
图1-12 802.1X认证组网图
3. 配置步骤
下述配置步骤中包含了若干AAA/RADIUS协议的配置命令,关于这些命令的详细介绍请参见“安全命令参考”中的“AAA”。
(1) 配置RADIUS服务器,添加用户账户,保证用户的认证/授权/计费功能正常运行(略)
(2) 配置各接口的IP地址(略)
(3) 配置本地用户
# 添加网络接入类本地用户,用户名为localuser,密码为明文输入的localpass。(此处添加的本地用户的用户名和密码需要与服务器端配置的用户名和密码保持一致,本例中的localuser仅为示例,请根据实际情况配置)
<Device> system-view
[Device] local-user localuser class network
[Device-luser-network-localuser] password simple localpass
# 配置本地用户的服务类型为lan-access。
[Device-luser-network-localuser] service-type lan-access
[Device-luser-network-localuser] quit
(4) 配置RADIUS方案
# 创建RADIUS方案radius1并进入其视图。
[Device] radius scheme radius1
# 配置主认证/计费RADIUS服务器的IP地址。
[Device-radius-radius1] primary authentication 10.1.1.1
[Device-radius-radius1] primary accounting 10.1.1.1
# 配置备份认证/计费RADIUS服务器的IP地址。
[Device-radius-radius1] secondary authentication 10.1.1.2
[Device-radius-radius1] secondary accounting 10.1.1.2
# 配置Device与认证/计费RADIUS服务器交互报文时的共享密钥。
[Device-radius-radius1] key authentication simple name
[Device-radius-radius1] key accounting simple money
# 配置发送给RADIUS服务器的用户名不携带域名。
[Device-radius-radius1] user-name-format without-domain
[Device-radius-radius1] quit
发送给服务器的用户名是否携带域名与服务器端是否接受携带域名的用户名以及服务器端的配置有关:
· 若服务器端不接受携带域名的用户名,或者服务器上配置的用户认证所使用的服务不携带域名后缀,则Device上指定不携带用户名(without-domain);
· 若服务器端可接受携带域名的用户名,且服务器上配置的用户认证所使用的服务携带域名后缀,则Device上指定携带用户名(with-domain)。
(5) 配置ISP域
# 创建域bbb并进入其视图。
[Device] domain bbb
# 配置802.1X用户使用RADIUS方案radius1进行认证、授权、计费,并采用local作为备选方法。
[Device-isp-bbb] authentication lan-access radius-scheme radius1 local
[Device-isp-bbb] authorization lan-access radius-scheme radius1 local
[Device-isp-bbb] accounting lan-access radius-scheme radius1 local
[Device-isp-bbb] quit
# 开启端口GigabitEthernet1/0/1的802.1X。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] dot1x
# 配置端口的802.1X接入控制方式为MAC-based(该配置可选,因为端口的接入控制在缺省情况下就是基于MAC地址的)。
[Device-GigabitEthernet1/0/1] dot1x port-method macbased
# 指定端口上接入的802.1X用户使用强制认证域bbb。
[Device-GigabitEthernet1/0/1] dot1x mandatory-domain bbb
[Device-GigabitEthernet1/0/1] quit
# 开启全局802.1X。
[Device] dot1x
(7) 配置802.1X客户端(略)
若使用H3C iNode 802.1X客户端,为保证备选的本地认证可成功进行,请确认802.1X连接属性中的“上传客户端版本号”选项未被选中。
4. 验证配置
使用命令display dot1x interface可以查看端口GigabitEthernet1/0/1上的802.1X的配置情况。当802.1X用户输入正确的用户名和密码成功上线后,可使用命令display dot1x connection查看到上线用户的连接情况。
- 2021-08-10回答
- 评论(0)
- 举报
-
(1)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
我发下面了大佬看一下
这是之前机器上面的radius 配置 我换了一台设备没有配置radius 会导致没有网络嘛
不会
你发的那个是系统默认配置
好的谢谢大佬
因为之前设备就是这个配置但他是V5的我换了V7的之后他那光纤就都连不上网了是什么原因插到原来V5的设备就可以 是光模块的问题吗
你可以把2份配置都发出来我看下