当前位置: 首页 > 各厂家 > 华为 > Agile Controller
cjhcjh Agile Controller   此文章访问量   353

4.1 华为敏捷控制器:准入控制:管理员登录交换机时通过Agile Controller-Campus认证授权

4.1 华为敏捷控制器:准入控制:管理员登录交换机时通过Agile Controller-Campus认证授权

Agile Controller-Campus作为RADIUS服务器,对登录设备的管理员身份校验。

帐号cjh: 3级

帐号u1: 1级

(1)拓扑图

1.png

(2)sw1:配置设备的管理ip地址与默认路由

interface Vlanif1

 ip address 10.12.7.7 255.255.0.0

 

ip route-static 0.0.0.0 0.0.0.0 10.12.12.254

 

(3.1)sw1:启用Telnet服务,并配置VTY用户界面AAA认证方式。

[Switch] telnet server enable

user-interface vty 0 4

   authentication-mode aaa

   protocol inbound telnet

 

(3.2sw1: 配置RADIUS认证模板和认证计费方案。

 

[Switch] authentication unified-mode  //缺省是unified-mode,如未更改可无需执行该命令,有些低版本没有这命令。

从V200R005C00版本开始,缺省的NAC配置模式由传统模式修改为统一模式。

因此,V200R005C00之前版本的设备升级到V200R005C00或之后版本时,设备会自动执行命令undo authentication unified-mode配置设备的NAC配置模式为传统模式。

# 配置RADIUS服务器模板,实现与RADIUS服务器的通信。

radius server group 1

   radius server shared-key www.zh-cjh.com

   radius server authentication 10.12.160.41 1812

   radius server accounting 10.12.160.41 1813    

# 配置AAA认证方案,指定认证方式为RADIUS。

aaa

    authentication-scheme sch1

        authentication-mode radius

# 配置AAA计费方案,指定认证方式为RADIUS。

aaa

   accounting-scheme acco1

        accounting-mode radius

 

其他版本的命令:

[Switch] radius-server template radius_template 

[Switch-radius-radius_template] radius-server authentication 192.168.11.10 1812 source ip-address 192.168.11.254 

[Switch-radius-radius_template] radius-server accounting 192.168.11.10 1813 source ip-address 192.168.11.254

[Switch-radius-radius_template] radius-server shared-key cipher Admin@123 

[Switch-radius-radius_template] quit

[Switch] radius-server authorization 192.168.11.10 shared-key cipher Admin@123 

[Switch] aaa 

[Switch-aaa] authentication-scheme auth_scheme  //认证方案

[Switch-aaa-authen-auth_scheme] authentication-mode radius  //认证方案必须为RADIUS

[Switch-aaa-authen-auth_scheme] quit

[Switch-aaa] accounting-scheme acco_scheme  //计费方案

[Switch-aaa-accounting-acco_scheme] accounting-mode radius  //计费方案为RADIUS

[Switch-aaa-accounting-acco_scheme] accounting realtime 15 

[Switch-aaa-accounting-acco_scheme] quit

(3.3sw1: 配置授权密钥

[sw1]radius server authorization 10.12.160.41 shared-key www.zh-cjh.com

(3.4sw1: 在域下引用AAA认证方案、RADIUS服务器模板。

aaa

  domain default_admin

     authentication-scheme sch1

      accounting-scheme acco1

     radius server group 1

4.1)华为敏捷控制器:添加帐号

1.png

2.png

3.png

同样操作方式添加上u1帐号

1.png

4.2)华为敏捷控制器:添加设备

【Agile Controller-Campus】添加交换机,与交换机实现RADIUS对接。

选择“资源 > 设备 > 设备管理”,增加交换机。

1.png

2.png

3.png

4.3)华为敏捷控制器:定义管理员登录设备后获取的管理级别

【Agile Controller-Campus】。

    可选:选择“策略 > 准入控制 > 认证授权 > 认证规则”,修改缺省认证规则或新建认证规则。

    如果用户帐号使用本地创建或导入数据,可以直接使用缺省认证规则。如果使用AD帐号等第三方数据源,需将第三方数据源加入到认证规则。

    选择“策略 > 准入控制 > 认证授权 > 授权结果”,定义管理员登录设备后获取的管理级别。

1.png

2.png

3.png

4.4)华为敏捷控制器:关联授权结果

1.png

2.png

3.png

以同样的操作方法授权u1帐号。

1.png

5.1)测试,结果登录失败

1.png

查看日志:

1.png

解决:

radius server group 1

   radius server user-name domain-excluded

 

测试帐号cjh

1.png

测试帐号u1,使用u1帐号成功,但是连使用display user-interface命令的权限都没有,可以使用其他帐号查看出来u1的登录后的授权级别为1。

1.png

2.png

3.png



Huawei Agile Controller(列表、list、全)华为AClist、敏捷控制器list

http://www.zh-cjh.com/wenzhangguilei/3224.html

文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html


1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 4.1 华为敏捷控制器:准入控制:管理员登录交换机时通过Agile Controller-Campus认证授权

作者: cjh


手机扫一扫,手机上查看此文章:

相关推荐

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!