ComwareV7平台交换机结合CiscoACS5.2进行Radius认证配置及经验总结

ComwareV7平台交换机结合Cisco ACS 5.2进行Radius认证配置及经验总结

 

一、  组网需求：

PC直连S5820V2，S5820V2直连Cisco ACS 5.2服务器。

1.      PC

PC使用Windows 7操作系统；

IP address：10.1.1.1/24。

2.      S5820V2

S5820V2使用软件版本Release 2208P01；

VLAN 10 address：10.1.1.254/24与PC互联接口属VLAN10；

VLAN 192 address：192.168.1.254/24与Server互连接口属VLAN192。

3.      Cisco ACS 5.2

IP address：192.168.1.253。

二、  组网图：

三、  配置步骤：

1.      PC

配置IP地址：

2.       S5820V2配置

S5820V2配置

telnet server enable # vlan 10 # vlan 192 # interface Vlan-interface10  ip address 10.1.1.254 255.255.255.0 # interface Vlan-interface192  ip address 192.168.1.254 255.255.255.0 # interface Ten-GigabitEthernet1/0/1  port access vlan 10 # interface Ten-GigabitEthernet1/0/2  port access vlan 192 # user-interface vty 0 15  authentication-mode scheme user-role network-admin # radius scheme login primary authentication 192.168.1.253  primary accounting 192.168.1.253  key authentication cipher 123  key accounting cipher 123  user-name-format without-domain nas-ip 192.168.1.254 # domain system  authentication login radius-scheme login  authorization login radius-scheme login  accounting login radius-scheme login #

3.      Cisco ACS5.2配置

3.1命令行配置

Cisco ACS配置

interface GigabitEthernet 0  ip address 192.168.1.253 255.255.255.0  no shutdown ! ip default-gateway 192.168.1.254

3.2 Web页面配置

1）通过GUI登录ACS

通过IE浏览器键入https://192.168.1.253登录ACS WEB页面。

2）配置网络资源

需要预先规划好网络设备组NDG的分配方式，比如按照设备所处位置Location或者设备所属类型Device Type进行规划。

网络资源组>网络设备组NDG下配置位置（Location）：

网络资源组>网络设备组NDG下配置设备类型（Device Type）：

网络资源组>网络设备组NDG下配置网络设备和AAA客户端（Network Devices and AAA Clients）：

将S5820V2分配到指定站点、设备类型组，指定设备的IP地址，选择Radius协议，配置共享密钥，必须保证此密钥与设备上设置的共享密钥完全一致。

3）配置用户组和用户

创建身份组（Identity Groups），并分配到All Groups组中：

创建用户（Users），设置用户密码，并将用户分配到特定组：

4）配置策略元素

创建授权策略：

添加Radius属性，主要包含三个属性：RADIUS-IEIF下的Login-Service，Enum Name选择Telnet；RADIUS-IEIF下的Service-Type，Enum Name选择Login；RADIUS-Cisco下的cisco-av-pair，属性填写为shell:roles*\"network-admin\"，或者shell:roles=\"network-admin\"。

5）配置接入访问策略

缺省情况下存在设备管理和网络接入控制两个默认访问策略。

创建接入服务，可以基于已存在的服务进行配置：

勾选认证协议，这里只需勾选PAP、CHAP即可：

在接入服务中配置授权操作，创建授权规则，选择NDG位置以及授权策略：

配置服务选择规则，选择已创建的接入服务：

4.        验证

认证时对设备抓包，在获取的Radius Access-Accept报文中可以看到Service-Type、Login-Service、cisco-av-pair等属性。

在监控与报告中可以获取详细的日志信息，以便认证失败时进行排查。

四、  配置关键点：

1.      配置ACS时必须使用扩展属性cisco-av-pair为用户下发role；

2.      在设备侧配置Radius Scheme时，需要将设备支持的RADIUS服务器类型设置为extended类型；

3.      配置服务选择规则，注意调整准则的先后顺序，按照从上到下的顺序对协议类型进行匹配；

4.      配置cisco-av-pair属性时注意Attribute Value文本框中下发role的格式：
shell:roles*\"network-admin\"或shell:roles=\"network-admin\"，注意角色名一定要有双引号，否则设备不识别；

5.      设备支持使用H3C私有属性Exec_Privilege为用户下发登录系统所能访问的命令级别，范围是0-15。通过在RADIUS VSA中添加H3C私有属性，Vendor ID：25506，添加Attribute：H3C-Exec-Privilege，Vendor Attribute ID：29，Attribute Type：Unsigned Integer 32，然后在已创建的授权策略中添加这一属性，并填写授权级别即可实现。