说明
● 本示例只介绍设备的认证相关配置,请同时确保已在RADIUS服务器上做了相关配置,如设备地址、共享密钥、创建用户等配置。
● 通过不同的管理域来实现RADIUS认证与本地认证两种方式同时使用,两个管理机构独立管理。由于设备上默认存在default_admin管理域且认证方式为local(如下所示),所以在这里本地认证方式直接使用此域名,RADIUS认证方式则单独新建一个域名。
#
authentication-scheme default
authentication-mode local
domain default_admin
authentication-scheme default
#

由于设备只有一个默认管理域(缺省管理域名为“default_admin”),所以根据输入用户名时是否要携带域名,可以细分为两个场景,下面分别给出示例。

场景一:本地认证方式用户名不携带域名,RADIUS认证方式用户名携带域名

1. 开启Telnet服务器功能、指定源接口
system-view
[Huawei] telnet server enable
[Huawei] telnet server-source all-interface //该命令仅需在V200R020及之后版本配置

2. 配置VTY用户界面所支持的协议、验证方式
[Huawei] user-interface vty 0 4
[Huawei-ui-vty0-4] protocol inbound telnet
[Huawei-ui-vty0-4] authentication-mode aaa
[Huawei-ui-vty0-4] quit

3. 配置RADIUS认证
(1)配置RADIUS服务器模板,指定服务器的IP地址与端口号、共享密钥
[Huawei] radius-server template r1
[Huawei-radius-r1] radius-server authentication 10.1.1.1 1812
[Huawei-radius-r1] radius-server shared-key cipher abcd#123
[Huawei-radius-r1] quit

说明:如果RADIUS服务器不接受包含域名的用户名,还需要配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。

(2)配置认证方案,指定认证方式依次为RADIUS
[Huawei] aaa
[Huawei-aaa] authentication-scheme r1
[Huawei-aaa-authen-r1] authentication-mode radius
[Huawei-aaa-authen-r1] quit

(3)配置业务方案,指定用户级别
[Huawei-aaa] service-scheme r1
[Huawei-aaa-service-r1] admin-user privilege level 15
[Huawei-aaa-service-r1] quit

(4)新建一个域(例如域名为“huawei”),并在域下引用RADIUS服务器模板、认证方案和业务方案
[Huawei-aaa] domain huawei
[Huawei-aaa-domain-huawei] radius-server r1
[Huawei-aaa-domain-huawei] authentication-scheme r1
[Huawei-aaa-domain-huawei] service-scheme r1
[Huawei-aaa-domain-huawei] quit

4. 配置登录用户的本地用户名与密码、级别和接入类型
[Huawei-aaa] local-user yc123 password irreversible-cipher test#123
[Huawei-aaa] local-user yc123 privilege level 15
[Huawei-aaa] local-user yc123 service-type telnet

场景二:本地认证方式用户名携带域名,RADIUS认证方式用户名不携带域名

1. 开启Telnet服务器功能、指定源接口
system-view
[Huawei] telnet server enable
[Huawei] telnet server-source all-interface //该命令仅在V200R020C00及之后版本使用

2. 配置VTY用户界面所支持的协议、验证方式
[Huawei] user-interface vty 0 4
[Huawei-ui-vty0-4] protocol inbound telnet
[Huawei-ui-vty0-4] authentication-mode aaa
[Huawei-ui-vty0-4] quit

3. 配置RADIUS认证
(1)配置RADIUS服务器模板,指定服务器的IP地址与端口号、共享密钥。
[Huawei] radius-server template r1
[Huawei-radius-r1] radius-server authentication 10.1.1.1 1812
[Huawei-radius-r1] radius-server shared-key cipher abcd#123
[Huawei-radius-r1] quit

(2)配置认证方案,指定认证方式依次为RADIUS。
[Huawei] aaa
[Huawei-aaa] authentication-scheme r1
[Huawei-aaa-authen-r1] authentication-mode radius
[Huawei-aaa-authen-r1] quit

(3)配置业务方案,指定用户级别。
[Huawei-aaa] service-scheme r1
[Huawei-aaa-service-r1] admin-user privilege level 15
[Huawei-aaa-service-r1] quit

(4)新建一个域,并在域下引用RADIUS服务器模板、认证方案和业务方案。
[Huawei-aaa] domain huawei
[Huawei-aaa-domain-huawei] radius-server r1
[Huawei-aaa-domain-huawei] authentication-scheme r1
[Huawei-aaa-domain-huawei] service-scheme r1
[Huawei-aaa-domain-huawei] quit

4. 配置登录用户的本地用户名(携带缺省管理域名)与密码、级别和接入类型
[Huawei-aaa] local-user yc123@default_admin password irreversible-cipher test#123
[Huawei-aaa] local-user yc123@default_admin privilege level 15
[Huawei-aaa] local-user yc123@default_admin service-type telnet
[Huawei-aaa] quit

5. 配置RADIUS认证方式的域为默认管理域
[Huawei] domain huawei admin

论坛原帖