配置采用RADIUS协议进行认证和计费示例

组网需求

如图1所示，用户通过SwitchA访问网络，用户同处于huawei域。SwitchB作为目的网络接入服务器。用户首先需要穿越SwitchA和SwitchB所在的网络，然后通过服务器的远端认证才能通过SwitchB访问目的网络。在SwitchB上的远端认证方式如下：

SwitchB对接入用户先用RADIUS服务器进行认证，如果认证没有响应，再使用本地认证。

RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器，RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器，认证端口号缺省为1812，计费端口号缺省为1813。

图1 采用RADIUS协议对用户进行认证和计费组网图

配置思路

用如下的思路配置采用RADIUS协议对用户进行认证和计费。

配置RADIUS服务器模板。

配置认证方案、计费方案。

在域下应用RADIUS服务器模板、认证方案和计费方案。

说明：

以下配置均在SwitchB上进行。

操作步骤

配置RADIUS服务器模板

# 配置RADIUS服务器模板shiva。

system-view

[HUAWEI] radius-server template shiva# 配置RADIUS主用认证服务器和计费服务器的IP地址、端口。

[HUAWEI-radius-shiva] radius-server authentication 129.7.66.66 1812 weight 80

[HUAWEI-radius-shiva] radius-server accounting 129.7.66.66 1813 weight 80# 配置RADIUS备用认证服务器和计费服务器的IP地址、端口。

[HUAWEI-radius-shiva] radius-server authentication 129.7.66.67 1812 weight 40

[HUAWEI-radius-shiva] radius-server accounting 129.7.66.67 1813 weight 40# 配置RADIUS服务器密钥、重传次数，以及设备向RADIUS服务器发送的报文中的用户名不包含域名。

[HUAWEI-radius-shiva] radius-server shared-key cipher hello

[HUAWEI-radius-shiva] radius-server retransmit 2

[HUAWEI-radius-shiva] undo radius-server user-name domain-included

[HUAWEI-radius-shiva] quit

配置认证方案、计费方案

# 配置认证方案auth，。

[HUAWEI] aaa

[HUAWEI-aaa] authentication-scheme auth

[HUAWEI-aaa-authen-auth] authentication-mode radius local

[HUAWEI-aaa-authen-auth] quit# 配置计费方案abc，计费模式为RADIUS，并配置当开始计费失败时，允许用户上线。

[HUAWEI-aaa] accounting-scheme abc

[HUAWEI-aaa-accounting-abc] accounting-mode radius

[HUAWEI-aaa-accounting-abc] accounting start-fail online

[HUAWEI-aaa-accounting-abc] quit

配置huawei域，在域下应用认证方案auth、计费方案abc、RADIUS模板shiva

[HUAWEI-aaa] domain huawei

[HUAWEI-aaa-domain-huawei] authentication-scheme auth

[HUAWEI-aaa-domain-huawei] accounting-scheme abc

[HUAWEI-aaa-domain-huawei] radius-server shiva

[HUAWEI-aaa-domain-huawei] quit

[HUAWEI-aaa] quit

[HUAWEI] quit 说明：

在huawei域配置完成后，用户进行接入认证时，以格式“user@huawei”输入用户名即可在huawei域下进行aaa认证。如果用户名中不携带域名或携带的域名不存在，用户将会在默认域进行认证。

用户所属认证域是由接入设备(RADIUS客户端)而非RADIUS Server决定。在SwitchB上执行命令undo radius-server user-name domain-included后，当SwitchB接收到格式为“user@huawei”的用户名时，虽然SwitchB会把不带域名的用户名发送到RADIUS Server，但SwitchB仍会将用户置于huawei域中进行认证。

检查配置结果

在SwitchB上执行命令display radius-server configuration template template-name，可以观察到该RADIUS服务器模板的配置与要求一致。

display radius-server configuration template shiva

------------------------------------------------------------------------------

Server-template-name          :  shiva

Protocol-version              :  standard

Traffic-unit                  :  B

Shared-secret-key             :  %$%$1"y;E[c;<.>

Timeout-interval(in second)   :  5

Retransmission                :  2

EndPacketSendTime             :  0

Dead time(in minute)          :  5

Domain-included               :  NO

NAS-IP-Address                :  0.0.0.0

Calling-station-id MAC-format :  xxxx-xxxx-xxxx

Server algorithm              :  master-backup

Authentication Server 1       :  129.7.66.66     Port:1812  Weight:80

Vrf:- LoopBack:NULL

Source IP: ::

Authentication Server 2       :  129.7.66.67     Port:1812  Weight:40

Vrf:- LoopBack:NULL

Source IP: ::

Accounting Server     1       :  129.7.66.66     Port:1813  Weight:80

Vrf:- LoopBack:NULL

Source IP: ::

Accounting Server     2       :  129.7.66.67     Port:1813  Weight:40

Vrf:- LoopBack:NULL

Source IP: ::

------------------------------------------------------------------------------

配置文件

SwitchB的配置文件

#

radius-server template shiva

radius-server shared-key cipher %$%$1"y;E[c;<.>

radius-server authentication 129.7.66.66 1812 weight 80

radius-server authentication 129.7.66.67 1812 weight 40

radius-server accounting 129.7.66.66 1813 weight 80

radius-server accounting 129.7.66.67 1813 weight 40

radius-server retransmit 2

undo radius-server user-name domain-included

#

aaa

authentication-scheme auth

authentication-mode radius local

accounting-scheme abc

accounting-mode radius

accounting start-fail online

domain huawei

authentication-scheme auth

accounting-scheme abc

radius-server shiva

#

return