案例:华为S2000-HI交换机与cisco的acs结合做认证
一、 组网需求:
某公司内部网络采用统一式管理,将所有设备的帐号和密码的认证任务统一交给Radius服务器(ACS)。ACS Server和交换机之间只要路由通即可,无特殊要求。
二、 组网拓扑图:
实验设备:
Windows 2003(作为acs服务器)
华为二层交换机一台
客户机一台
三.实验步骤:
1.安装ACS服务器(略)
2.在cisco的ACS中导入华为私有Radius属性
1. 编写h3c.ini文件(以下即为文件内容)
[User Defined Vendor]
Name=Huawei
IETF Code=2011
VSA 29=hw_Exec_Privilege
[hw_Exec_Privilege]
Type=INTEGER
Profile=IN OUT
Enums=hw_Exec_Privilege-Values
[hw_Exec_Privilege-Values]
0=Access
1=Monitor
2=Manager
3=Administrator
注:此文件主要用于定义私有属性的值
2. 将上面定义的文件导入到ACS中
ACS提供了命令接口来导入私有属性,此步骤主要将h3c.ini通过命令导入到ACS中去。导入过程如下:
(1) 点击ACS Server的windows开始菜单,在运行中输入cmd,打开一个命令行窗口
(2) 进入ACS的bin目录,在默认安装的情况下,该目录为
c:\Program Files\CiscoSecure ACS v4.0\bin
(3) 执行导入命令:选择y,继续
3.配置ACS服务器
interface configuration设置:radius (HuaWei)
设置interface configuration
advanced options 全部勾上
network configuration
组设置:
![]()
勾上015,选择对telnet进行设置
![]()
勾上最后一行,选择华为的administrator
用户设置:
添加用户:名称:test密码:123456
![]()
4.在华为交换机上配置radius认证:
radius scheme xxx
primary authentication 192.168.100.10
key authentication 123456
accounting optional
server-type standard
user-name-format without-domain
quit
domain h3c
radius-scheme xxx
access-limit enable 10
accounting optional
authentication radius-scheme xxx
state active
quit
user-interface vty 0 4
authentication-mode scheme
accounting commands scheme
quit
super password simple 456
5.客户端测试:
客户端测试登录交换机:(使用用户名:test@h3c密码:123456,并使用super 3提升权限)
实验成功。
此为本人个人实验,最终解释权归作者所有
2012/3/13 17:00
阅读(1014) | 评论(0) | 转发(0) |
