radius认证

配置

RADIUS客户端配置：

思科设备例子：

交换机和路由器的配置：

aaanew-model

aaaauthenticationloginauthgroupradiuslocal//配置登陆认证的优先级

radius-serverhost139.123.252.245auth-port1812acct-port1813

//配置RADIUS服务器IP地址和端口。

radius-serverhost139.123.252.244auth-port1812acct-port1813

radius-serverretransmit3

radius-serverkeyZDBF%51//配置密码

linevty04

loginauthenticationauth

防火墙PIX的配置：

aaa-serverradius-authport1812

aaa-serverradius-acctport1813

aaa-serverTACACS+protocoltacacs+

aaa-serverRADIUSprotocolradius

aaa-serverrsa_radiusprotocolradius

aaa-serverauthprotocolradius

aaa-serverauth(inside)host192.168.41.226ZDBF%51timeout10

aaa-serverLOCALprotocoltacacs+

aaa-serverradiusprotocolradius

aaaauthenticationtelnetconsoleauth

华为设备例子：

VRP3.X版本的配置：

radiusschemeauth

primaryauthentication192.168.41.2261812//配置主用服务器IP地址和端口

primaryaccounting192.168.41.2261813

secondaryauthentication192.168.41.2271812//配置备用服务器IP地址和端口

secondaryaccounting192.168.41.2271813

keyauthenticationZDBF%51//配置密码

keyaccountingZDBF%51

user-name-formatwithout-domain

domainauth

schemeradius-schemeauthlocal

accountingoptional

domaindefaultenableauth

user-interfacevty04

authentication-modescheme

VRP5.X版本的配置：

radiusschemeauth

primaryauthentication192.168.41.2261812//配置主用服务器IP地址和端口

primaryaccounting192.168.41.2261813

secondaryauthentication192.168.41.2271812//配置备用服务器IP地址和端口

secondaryaccounting192.168.41.2271813

keyauthenticationZDBF%51//配置密码

keyaccountingZDBF%51

domainauth

authenticationdefaultradius-schemeauthlocal//配置AAA中的认验模式

authorizationdefaultradius-schemeauthlocal//配置AAA中的授权模式

accountingoptional

domaindefaultenableauth

user-interfacevty04

authentication-modescheme

华为E100、E200和E500的配置：

radius-servertemplateauth

radius-servershared-keyZDBF%51

radius-serverauthentication192.168.41.2261812

radius-serverauthentication192.168.41.2271812secondary23

radius-serveraccounting192.168.41.2261813

radius-serveraccounting192.168.41.2271813secondary

aaa

local-userhuaweipasswordcipherN`C55QK<`=/Q=^Q`MAF4<1!!

authentication-schemedefault

authentication-moderadiuslocal

#authorization-schemedefault

#accounting-schemedefault

#domaindefault

radius-serverauth

NETSCREEN设备例子：

setauth-server"Local"id0

setauth-server"Local"server-name"Local"

setauth-server"radius"id1

setauth-server"radius"server-name"192.168.41.226"

setauth-server"radius"backup1"192.168.41.227"

setauth-server"radius"account-typeauth

setauth-server"radius"radiusport1812

setauth-server"radius"radiussecret"ZDBF%51"

setauthdefaultauthserver"radius"

setadminauthserver"radius"

setadminprivilegeread-write

RADIUS服务器配置:

我们需要对以下红框指出的三个文件进行配置。

：添加需要通过RADIUS服务器认证的设备IP地址和密码。

：数据字典。定义RADIUS协议的属性。

：定义用户属性和设置用户权限。

步骤1：

打开文件，

输入：

ATTRIBUTELevel-Privilege107integer

//定义华为扩展RADIUS类型。

VALUELevel-PrivilegeGuest0

VALUELevel-PrivilegeOperator1

VALUELevel-PrivilegeAdmin2

//定议该类型的属性值和属性。

可能对于不同的厂商的设备会有不同的扩展属性。对于我们现网维护的华为设备，以上类型

的配置就已经足够了。

步骤2：

也在同一个文件中，刚才设定了扩展属性还不起效果，还需要再设定厂商

类型（上图中红色框中所示）。现在就OK了。

步骤3：

打开文件，对应于不同的帐户设定刚才新建立的扩展类型的属性值。例如：

yezhichong2这个帐户，增加Level-Privilege=Admin这个新属性，当通过这个帐户登陆入华

为网络设备的时候，就拥有访问的最高权限。Service-Type是RADIUS协议的标准属性。不

同的厂商的网络设备不一定都会检验这个属性值，思科设备不检查，但华为设备就必须检验

这个属性。如果属性不匹配，就拒绝登陆。在yezhichong2这个例子中，Service-Type属性

值为Framed。不同华为设备的Service-Type属性值也不尽相同。可以通过打800电话查询。

步骤4：

客户端IP地址

密码

把需要配置RADIUS认证的设备IP地址和KEY输入文件中。如果设备有多

个IP地址，那么只需要添加路由到RADIUS服务器的出口IP地址就可以了。也就是说，需

要认证的路由器连接RADIUS服务器的时候，如果数据包从172.22.251.4本地接口转发出去

的，就在文件输入172.22.251.4。

到这里为止RADIUS配置已经完成。