4  Telnet用户的RADIUS用户角色授权计费配置举例

4.1  组网需求

如图2所示，Telnet用户主机与设备相连，设备与一台RADIUS服务器相连，需要实现RADIUS服务器对登录设备的Telnet用户进行认证、授权和计费，使得Telnet用户具有如下用户权限：

·     允许用户执行ISP视图下的所有命令；

·     允许用户执行ARP和RADIUS特性中读和写类型的命令；

·     允许用户执行创建VLAN以及进入VLAN视图后的相关命令，并只具有操作VLAN 10～VLAN 20的权限；

·     允许用户执行进入接口视图以及接口视图下的相关命令，并具有操作接口GigabitEthernet1/0/1～GigabitEthernet1/0/3的权限。

图2 Telnet用户RADIUS认证/授权/计费配置组网图

 

4.2  配置思路

·     为了使Telnet用户可以执行ARP和RADIUS特性的读写类型命令，可创建特性组feature-group1，配置包含ARP和RADIUS特性。

·     为了授权Telnet用户可以执行所要求权限的命令，需要配置对应的用户角色规则和资源控制策略。

·     为了使Telnet用户能够具备以上权限，需要在RADIUS服务器上对Telnet用户授权用户角色role1。

4.3  配置注意事项

·     一个ISP域被配置为缺省的ISP域后将不能够被删除，必须首先使用命令undo domain default enable将其修改为非缺省ISP域，然后才可以被删除。

·     由于RADIUS服务器的授权信息是随认证应答报文发给RADIUS客户端的，所以必须保证认证和授权方法相同。

·     一个用户角色中允许创建多条规则，各规则以创建时指定的编号为唯一标识，被授权该角色的用户可以执行的命令为这些规则定义的可执行命令的并集。若这些规则定义的权限内容有冲突，则规则编号大的有效。例如，规则1允许执行命令A，规则2允许执行命令B，规则3禁止执行命令A，则最终规则2和规则3生效，即禁止执行命令A，允许执行命令B。

4.4  配置步骤

4.4.1  设备配置

(1)     创建VLAN 2并将Switch连接Telnet user的端口划分到VLAN 2中。

<Sysname> system-view

[Sysname] vlan 2

[Sysname-vlan2] quit

[Sysname] interface GigabitEthernet1/0/1

[Sysname-GigabitEthernet1/0/1] port access vlan 2

[Sysname-GigabitEthernet1/0/1] quit

(2)     创建VLAN接口2并配置IP地址。

[Sysname] interface Vlan-interface 2

[Sysname-Vlan-interface2] ip address 192.168.1.50 24

[Sysname-Vlan-interface2] quit

(3)     创建VLAN 3并将Switch连接RADIUS server的端口划分到VLAN 3中。

[Sysname] vlan 3

[Sysname-vlan3] quit

[Sysname] interface GigabitEthernet1/0/2

[Sysname-GigabitEthernet1/0/2] port access vlan 3

[Sysname-GigabitEthernet1/0/2] quit

(4)     创建VLAN接口3并配置IP地址。

[Sysname] interface Vlan-interface 3

[Sysname-Vlan-interface3] ip address 10.1.1.2 24

[Sysname-Vlan-interface3] quit

(5)     配置Telnet用户登录Switch的认证方式

[Sysname] telnet server enable

# 配置Telnet用户登录采用AAA认证方式。

[Sysname] line vty 0 63

[Sysname-line-vty0-63] authentication-mode scheme

[Sysname-line-vty0-63] quit

(6)     配置RADIUS方案和认证服务器

# 创建RADIUS方案rad。

[Sysname] radius scheme rad

# 配置主认证/授权服务器的IP地址为10.1.1.1，主计费服务器的IP地址为10.1.1.1。

[Sysname-radius-rad] primary authentication 10.1.1.1

[Sysname-radius-rad] primary accounting 10.1.1.1

# 配置与认证/授权服务器、主计费服务器交互报文时的共享密钥为明文aabbcc。

[Sysname-radius-rad] key authentication simple aabbcc

[Sysname-radius-rad] key accounting simple aabbcc

[Sysname-radius-rad] quit

(7)     配置ISP域bbb的AAA方法

# 创建ISP域bbb，为login用户配置的AAA认证方法为RADIUS认证、RADIUS授权、RADIUS计费。

[Sysname] domain bbb

[Sysname-isp-bbb] authentication login radius-scheme rad

[Sysname-isp-bbb] authorization login radius-scheme rad

[Sysname-isp-bbb] accounting login radius-scheme rad

[Sysname-isp-bbb] quit

(8)     配置特性组

# 创建特性组fgroup1。

[Sysname] role feature-group name fgroup1

# 配置特性组fgroup1中包含特性ARP和RADIUS。

[Sysname-featuregrp-fgroup1] feature arp

[Sysname-featuregrp-fgroup1] feature radius

[Sysname-featuregrp-fgroup1] quit

(9)     在设备上创建用户角色role1，并配置用户角色规则和资源控制策略

# 创建用户角色role1。

[Sysname] role name role1

# 配置用户角色规则1，允许用户执行ISP视图下的所有命令。

[Sysname-role-role1] rule 1 permit command system-view ; domain *

# 配置用户角色规则2，允许用户执行特性组fgroup1中所有特性的读和写类型的命令。

[Sysname-role-role1] rule 2 permit read write feature-group fgroup1

# 配置用户角色规则3，允许用户执行创建VLAN的命令。

[Sysname-role-role1] rule 3 permit command system-view ; vlan *

# 配置用户角色规则4，允许用户执行进入接口视图以及接口视图下的相关命令。

[Sysname-role-role1] rule 4 permit command system-view ; interface *

# 进入VLAN策略视图，允许用户具有操作VLAN 10～VLAN 20的权限。

[Sysname-role-role1] vlan policy deny

[Sysname-role-role1-vlanpolicy] permit vlan 10 to 20

[Sysname-role-role1-vlanpolicy] quit

# 进入接口策略视图，允许用户具有操作接口GigabitEthernet1/0/1～GigabitEthernet1/0/3的权限。

[Sysname-role-role1] interface policy deny

[Sysname-role-role1-ifpolicy] permit interface GigabitEthernet 1/0/1 to GigabitEthernet 1/0/3

[Sysname-role-role1-ifpolicy] quit

[Sysname-role-role1] quit

4.4.2  RADIUS服务器配置

下面以iMC为例（使用iMC版本为：iMC PLAT 7.0(E0202)、iMC UAM 7.0(E0202)），说明RADIUS服务器的基本配置。

 

# 增加接入设备。

登录进入iMC管理平台，选择“用户”页签，单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项，进入接入设备配置页面，在该页面中单击<增加>按钮，进入增加接入设备页面。

·     设置认证及计费的端口号分别为“1812”和“1813”；

·     设置与AC交互报文时使用的认证、计费共享密钥和确认共享密钥为“aabbcc”；

·     选择业务类型为“设备管理业务”；

·     选择接入设备类型；

·     选择或手工增加接入设备，添加IP地址为10.1.1.2的接入设备；

·     其它参数采用缺省值，并单击<确定>按钮完成操作。

# 增加设备管理用户。

选择“用户”页签，单击导航树中的[接入用户管理/设备管理用户]菜单项，进入设备管理用户列表页面，在该页面中单击<增加>按钮，进入增加设备管理用户页面。

·     创建用户名，这里输入“telnetuser@bbb”，并配置密码和确认密码；

·     选择服务类型为“Telnet”；

·     添加用户角色名“role1”；

·     添加所管理设备的IP地址，IP地址范围为“10.1.1.0～10.1.1.10”；

·     单击<确定>按钮完成操作。

图3 增加设备管理用户

 

4.5  验证配置

(1)     查看用户角色和特性组信息

通过display role命令查看用户角色role1的信息。

# 显示用户角色role1的信息。

<Sysname> display role name role1

Role: role1

  Description:

  VLAN policy: deny

  Permitted VLANs: 10 to 20

  Interface policy: deny

  Permitted interfaces: GigabitEthernet1/0/1 to GigabitEthernet1/0/3

  -------------------------------------------------------------------

  Rule    Perm   Type  Scope         Entity

  -------------------------------------------------------------------

  1       permit       command       system-view ; domain *

  2       permit RW-   feature-group fgroup1

  3       permit       command       system-view ; vlan *

  4       permit       command       system-view ; interface *

  R:Read W:Write X:Execute

(2)     用户登录设备

用户向设备发起Telnet连接，在Telnet客户端按照提示输入用户名telnetuser@bbb及正确的密码后，成功登录设备。

C:\Documents and Settings\user> telnet 192.168.1.50

 

****************************************************************************** 

* Copyright (c) 2004-2020 New H3C Technologies Co., Ltd. All rights reserved.* 

* Without the owner"s prior written consent,                                 * 

* no decompiling or reverse-engineering shall be allowed.                    * 

******************************************************************************

 

login: telnetuser@bbb

Password:

<Sysname>

(3)     验证用户权限

Telnet用户成功登录设备后，可通过如下步骤验证用户的权限：

¡     可执行ISP视图下所有的命令。

<Sysname> system-view

[Sysname] domain abc

[Sysname-isp-abc] authentication login radius-scheme abc

[Sysname-isp-abc] quit

¡     可执行RADIUS特性中读和写类型的命令。（ARP特性同，此处不再举例）

[Sysname] radius scheme rad

[Sysname-radius-rad] primary authentication 2.2.2.2

[Sysname-radius-rad] display radius scheme rad

[Sysname-radius-rad] quit

¡     可操作VLAN 10～VLAN 20。（以创建VLAN 10、VLAN 30为例）

[Sysname] vlan 10

[Sysname-vlan10] quit

[Sysname] vlan 30

Permission denied.

¡     可操作接口GigabitEthernet1/0/1～GigabitEthernet1/0/3。

[Sysname] interface GigabitEthernet 1/0/1

[Sysname-GigabitEthernet1/0/1] speed auto

[Sysname-Ten-GigabitEthernet1/0/125] quit

¡     不能操作其它接口。（以进入GigabitEthernet1/0/4接口视图为例）

[Sysname] interface GigabitEthernet 1/0/4

Permission denied.

通过显示信息可以确认配置生效。