配置采用RADIUS協議進行認證和計費示例

組網需求

如圖1所示，用戶通過SwitchA訪問網絡，用戶同處于huawei域。SwitchB作為目的網絡接入服務器。用戶首先需要穿越SwitchA和SwitchB所在的網絡，然后通過服務器的遠端認證才能通過SwitchB訪問目的網絡。在SwitchB上的遠端認證方式如下：

SwitchB對接入用戶先用RADIUS服務器進行認證，如果認證沒有響應，再使用本地認證。

RADIUS服務器129.7.66.66/24作為主用認證服務器和計費服務器，RADIUS服務器129.7.66.67/24作為備用認證服務器和計費服務器，認證端口號缺省為1812，計費端口號缺省為1813。

圖1 采用RADIUS協議對用戶進行認證和計費組網圖

配置思路

用如下的思路配置采用RADIUS協議對用戶進行認證和計費。

配置RADIUS服務器模板。

配置認證方案、計費方案。

在域下應用RADIUS服務器模板、認證方案和計費方案。

說明：

以下配置均在SwitchB上進行。

操作步驟

配置RADIUS服務器模板

# 配置RADIUS服務器模板shiva。

system-view

[HUAWEI] radius-server template shiva# 配置RADIUS主用認證服務器和計費服務器的IP地址、端口。

[HUAWEI-radius-shiva] radius-server authentication 129.7.66.66 1812 weight 80

[HUAWEI-radius-shiva] radius-server accounting 129.7.66.66 1813 weight 80# 配置RADIUS備用認證服務器和計費服務器的IP地址、端口。

[HUAWEI-radius-shiva] radius-server authentication 129.7.66.67 1812 weight 40

[HUAWEI-radius-shiva] radius-server accounting 129.7.66.67 1813 weight 40# 配置RADIUS服務器密鑰、重傳次數，以及設備向RADIUS服務器發送的報文中的用戶名不包含域名。

[HUAWEI-radius-shiva] radius-server shared-key cipher hello

[HUAWEI-radius-shiva] radius-server retransmit 2

[HUAWEI-radius-shiva] undo radius-server user-name domain-included

[HUAWEI-radius-shiva] quit

配置認證方案、計費方案

# 配置認證方案auth，。

[HUAWEI] aaa

[HUAWEI-aaa] authentication-scheme auth

[HUAWEI-aaa-authen-auth] authentication-mode radius local

[HUAWEI-aaa-authen-auth] quit# 配置計費方案abc，計費模式為RADIUS，并配置當開始計費失敗時，允許用戶上線。

[HUAWEI-aaa] accounting-scheme abc

[HUAWEI-aaa-accounting-abc] accounting-mode radius

[HUAWEI-aaa-accounting-abc] accounting start-fail online

[HUAWEI-aaa-accounting-abc] quit

配置huawei域，在域下應用認證方案auth、計費方案abc、RADIUS模板shiva

[HUAWEI-aaa] domain huawei

[HUAWEI-aaa-domain-huawei] authentication-scheme auth

[HUAWEI-aaa-domain-huawei] accounting-scheme abc

[HUAWEI-aaa-domain-huawei] radius-server shiva

[HUAWEI-aaa-domain-huawei] quit

[HUAWEI-aaa] quit

[HUAWEI] quit 說明：

在huawei域配置完成后，用戶進行接入認證時，以格式“user@huawei”輸入用戶名即可在huawei域下進行aaa認證。如果用戶名中不攜帶域名或攜帶的域名不存在，用戶將會在默認域進行認證。

用戶所屬認證域是由接入設備(RADIUS客戶端)而非RADIUS Server決定。在SwitchB上執行命令undo radius-server user-name domain-included后，當SwitchB接收到格式為“user@huawei”的用戶名時，雖然SwitchB會把不帶域名的用戶名發送到RADIUS Server，但SwitchB仍會將用戶置于huawei域中進行認證。

檢查配置結果

在SwitchB上執行命令display radius-server configuration template template-name，可以觀察到該RADIUS服務器模板的配置與要求一致。

display radius-server configuration template shiva

------------------------------------------------------------------------------

Server-template-name????????? :? shiva

Protocol-version????????????? :? standard

Traffic-unit????????????????? :? B

Shared-secret-key???????????? :? %$%$1"y;E[c;<.>

Timeout-interval(in second)?? :? 5

Retransmission??????????????? :? 2

EndPacketSendTime???????????? :? 0

Dead time(in minute)????????? :? 5

Domain-included?????????????? :? NO

NAS-IP-Address??????????????? :? 0.0.0.0

Calling-station-id MAC-format :? xxxx-xxxx-xxxx

Server algorithm????????????? :? master-backup

Authentication Server 1?????? :? 129.7.66.66???? Port:1812? Weight:80

Vrf:- LoopBack:NULL

Source IP: ::

Authentication Server 2?????? :? 129.7.66.67???? Port:1812? Weight:40

Vrf:- LoopBack:NULL

Source IP: ::

Accounting Server???? 1?????? :? 129.7.66.66???? Port:1813? Weight:80

Vrf:- LoopBack:NULL

Source IP: ::

Accounting Server???? 2?????? :? 129.7.66.67???? Port:1813? Weight:40

Vrf:- LoopBack:NULL

Source IP: ::

------------------------------------------------------------------------------

配置文件

SwitchB的配置文件

#

radius-server template shiva

radius-server shared-key cipher %$%$1"y;E[c;<.>

radius-server authentication 129.7.66.66 1812 weight 80

radius-server authentication 129.7.66.67 1812 weight 40

radius-server accounting 129.7.66.66 1813 weight 80

radius-server accounting 129.7.66.67 1813 weight 40

radius-server retransmit 2

undo radius-server user-name domain-included

#

aaa

authentication-scheme auth

authentication-mode radius local

accounting-scheme abc

accounting-mode radius

accounting start-fail online

domain huawei

authentication-scheme auth

accounting-scheme abc

radius-server shiva

#

return