当前位置: 首页 > 网络安全 > NAC网络准入控制、radius、802.1X、AAA > AAA >
小编小编   此文章访问量   12

域和默认域简介

域和默认域简介

设备对接入用户的管理是基于域的,每个接入用户都属于一个域。

域视图下可以绑定认证方案、授权方案和计费方案。设备对于同属于一个域的接入用户采用相同的管理,如使用相同的认证方案、授权方案和计费方案。

图1所示,用户输入用户名登录设备时,用户名包含域名的使用对应域认证,用户名不包含域名的使用默认域认证。即用户所属的域由用户名中包含的域名决定,用户名不包含域名的用户则属于默认域。当登录设备的大多数用户属于同一个域时,可以将用户所属域设置为默认域,这样用户输入用户名时可以不需要包含域名。

默认域分为默认管理域和默认普通域:

  • 管理员用户(通过Telnet、SSH、FTP、HTTP、Terminal等方式的接入用户)使用默认管理域认证。

    缺省情况下,默认管理域为default_admin。

  • 普通用户(通过MAC、Portal和802.1X认证方式接入,以及V200R005版本新增PPP方式的接入用户)使用默认普通域认证。

    缺省情况下,默认普通域为default。

图1 用户所属域

用户可以修改缺省默认域下的配置,但是不能删除缺省默认域。

配置注意事项

本举例适用于所有版本的所有交换机。

组网需求

图2所示,通过在设备上配置AAA本地认证和RADIUS认证,企业希望管理员使用AAA本地认证方式,通过Telnet登录设备来远程管理设备;同时希望802.1X用户使用RADIUS认证方式通过802.1X客户端接入设备。

  1. 管理员输入正确的用户名和密码才能通过Telnet登录设备,并且登录设备成功后可以操作命令级别为0~15的所有命令行。

  2. 802.1X用户在802.1X客户端输入正确的用户名和密码才能接入设备。

  3. 管理员和802.1X用户登录设备时均不需要输入域名。

配置思路

  1. 配置管理员通过Telnet登录设备。

    1. 使能Telnet服务。

    2. 配置用户通过Telnet登录的认证方式为AAA。

    3. 配置AAA本地认证:创建本地用户、指定用户的接入类型为Telnet、配置用户级别为15级。

  2. 配置802.1X用户通过RADIUS认证接入设备。

    1. 在接口下使能802.1X认证。

    2. 配置RADIUS认证:创建RADIUS服务器模板、AAA认证方案和业务方案并在默认普通域下引用。

本例只介绍设备的配置,请同时确保已在RADIUS服务器上做了相关配置,如设备地址、共享密钥、创建用户等配置。

操作步骤

  1. 配置接口和IP地址。


    <HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 10 20 30[Switch] interface vlanif 10[Switch-Vlanif10] ip address 10.1.3.10 24[Switch-Vlanif10] quit[Switch] interface vlanif 20[Switch-Vlanif20] ip address 10.1.2.10 24[Switch-Vlanif20] quit[Switch] interface vlanif 30[Switch-Vlanif30] ip address 10.1.6.10 24[Switch-Vlanif30] quit[Switch] interface gigabitethernet1/0/1[Switch-GigabitEthernet1/0/1] port link-type access[Switch-GigabitEthernet1/0/1] port default vlan 20[Switch-GigabitEthernet1/0/1] quit[Switch] interface gigabitethernet1/0/2[Switch-GigabitEthernet1/0/2] port link-type access[Switch-GigabitEthernet1/0/2] port default vlan 30[Switch-GigabitEthernet1/0/2] quit[Switch] interface gigabitethernet1/0/3[Switch-GigabitEthernet1/0/3] port link-type access[Switch-GigabitEthernet1/0/3] port default vlan 10[Switch-GigabitEthernet1/0/3] quit

  2. 配置AAA本地认证,实现管理员通过Telnet登录设备。


    # 使能Telnet服务器功能。

    [Switch] telnet server enable[Switch] telnet server-source -i vlanif 20    //配置服务器端的源接口为10.1.2.10对应的接口,假设该接口为Vlanif 20。

    # 配置VTY用户界面的验证方式为AAA。

    [Switch] user-interface maximum-vty 15  //配置VTY用户界面的登录用户最大数目为15(该数目在不同版本和不同形态间有差异,具体以设备为准),缺省情况下Telnet用户最大数目为5[Switch] user-interface vty 0 14  //进入0~14的VTY用户界面视图[Switch-ui-vty0-14] authentication-mode aaa  //配置VTY用户界面的验证方式为AAA[Switch-ui-vty0-14] protocol inbound telnet  //配置VTY用户界面支持的协议为Telnet,V200R006及之前版本缺省使用的协议为Telnet协议,可以不配置该项;V200R007及之后版本缺省使用的协议为SSH协议,必须配置。[Switch-ui-vty0-14] quit

    # 配置AAA本地认证。

    [Switch] aaa[Switch-aaa] local-user user1 password irreversible-cipher YsHsjx_202206  //创建本地用户user1并配置密码,由于配置文件中密码以密文显示,建议记住该密码,否则需要重新执行该命令覆盖配置(该命令在V200R002及之前版本为local-user user-name password cipher password)[Switch-aaa] local-user user1 service-type telnet  //配置本地用户user1的接入类型为Telnet,该用户只能使用Telnet方式登录(缺省情况下,V200R007之前版本允许用户使用所有接入类型,V200R007及后续版本设备对用户关闭所有接入类型)[Switch-aaa] local-user user1 privilege level 15  //配置本地用户user1的用户级别为15,该用户登录后可以执行等于或低于3级的命令Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
[Switch-aaa] quit

    管理员输入的用户名不包含域名时,使用默认管理域default_admin认证,default_admin使用缺省的认证方案default和计费方案default。

    • 认证方案default:采用本地认证方式。

    • 计费方案default:采用不计费方式。

  3. 配置RADIUS认证,实现802.1X用户接入设备。


    # 配置RADIUS服务器模板,实现与RADIUS服务器的通信。

    [Switch] radius-server template 1[Switch-radius-1] radius-server authentication 10.1.6.6 1812  //指定RADIUS认证服务器的IP地址和端口号[Switch-radius-1] radius-server shared-key cipher YsHsjx_202207  //指定RADIUS认证服务器的共享密钥,需要与RADIUS服务器上配置一致[Switch-radius-1] quit

    如果RADIUS服务器不接受包含域名的用户名,还需要配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。

    # 配置AAA认证方案,指定认证方式为RADIUS。

    [Switch] aaa[Switch-aaa] authentication-scheme sch1[Switch-aaa-authen-sch1] authentication-mode radius[Switch-aaa-authen-sch1] quit

    # 配置业务方案,指定用户级别为15。

    [Switch-aaa] service-scheme sch1[Switch-aaa-service-sch1] admin-user privilege level 15[Switch-aaa-service-sch1] quit

    # 在默认普通域下引用AAA认证方案、RADIUS服务器模板以及业务方案。

    [Switch-aaa] domain default[Switch-aaa-domain-default] authentication-scheme sch1[Switch-aaa-domain-default] service-scheme sch1[Switch-aaa-domain-default] radius-server 1[Switch-aaa-domain-default] quit[Switch-aaa] quit

    (V200R005及后续版本新增统一模式,V200R005之前版本可忽略该配置)将NAC配置模式切换成统一模式。

    [Switch] authentication unified-mode

    传统模式与统一模式相互切换后,设备会自动重启。缺省情况下,NAC配置模式为统一模式。

    # 在接口上使能802.1X认证。

    • V200R009之前版本的配置

      [Switch] interface gigabitethernet1/0/3[Switch-GigabitEthernet1/0/3] authentication dot1x[Switch-GigabitEthernet1/0/3] quit

    • V200R009及之后版本的配置

      [Switch] dot1x-access-profile name d1[Switch-dot1x-access-profile-d1] quit[Switch] authentication-profile name p1[Switch-authen-profile-p1] dot1x-access-profile d1[Switch-authen-profile-p1] authentication mode multi-authen max-user 100[Switch-authen-profile-p1] quit[Switch] interface gigabitethernet1/0/3[Switch-GigabitEthernet1/0/3] port link-type access[Switch-GigabitEthernet1/0/3] port default vlan 10 [Switch-GigabitEthernet1/0/3] authentication-profile p1[Switch-GigabitEthernet1/0/3] quit

  4. 验证配置结果。


    # 管理员在PC上单击“运行”->输入“cmd”,进入Windows的命令行提示符界面,执行telnet命令,并输入用户名user1和密码YsHsjx_2022064,通过Telnet方式登录设备成功。

    C:\Documents and Settings\Administrator> telnet 10.1.2.10Username:user1Password:***********<Switch>//管理员登录设备成功

    # 在设备上执行命令test-aaa,测试该802.1X用户能否通过认证。

    [Switch] test-aaa liming YsHsjx_202206 radius-template 1

    # 用户在终端上启动802.1X客户端,输入用户名liming和密码YsHsjx_202206,开始认证。如果用户输入的用户名和密码验证正确,客户端页面会显示认证成功信息。用户即可访问网络。

    # 用户上线后,管理员可在设备上执行命令display access-user access-type dot1x查看在线的802.1X用户。


配置文件

Switch的配置文件

#
sysname Switch#
vlan batch 10 20 30
#
telnet server enabletelnet server-source -i Vlanif 20#authentication-profile name p1   //V200R009及之后版本才支持此配置  dot1x-access-profile d1 
 authentication mode multi-authen max-user 100 
#
radius-server template 1                                                        
 radius-server shared-key cipher %^%#9nP3;sDW-AN0f@H@S*l&\f{V=V_auKe|^YXy7}bU%^%#
 radius-server authentication 10.1.6.6 1812 weight 80                           
#
aaa
 authentication-scheme sch1    
  authentication-mode radius  
 service-scheme sch1             
  admin-user privilege level 15
 domain default            
  authentication-scheme sch1     
  service-scheme sch1 
  radius-server 1      
 local-user user1 password irreversible-cipher $1a$BKfS8Ml4qP$1\a5RWc)oTIuB0'wN;p090;>{APtaL8/x/T.$
 local-user user1 privilege level 15       
 local-user user1 service-type telnet 
# 
interface Vlanif10 
 ip address 10.1.3.10 255.255.255.0     
# 
interface Vlanif20 
 ip address 10.1.2.10 255.255.255.0     
# 
interface Vlanif30 
 ip address 10.1.6.10 255.255.255.0     
# 
interface GigabitEthernet1/0/1         
 port link-type access           
 port default vlan 20 
#
interface GigabitEthernet1/0/2         
 port link-type access           
 port default vlan 30 
#
interface GigabitEthernet1/0/3  
 port link-type access           
 port default vlan 10    
 authentication dot1x   //V200R009之前的版本才支持此配置 authentication-profile p1   //V200R009及之后版本才支持此配置#
user-interface maximum-vty 15  
user-interface vty 0 14          
 authentication-mode aaa          
 protocol inbound telnet
#
dot1x-access-profile name d1   //V200R009及之后版本才支持此配置#
return




1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 域和默认域简介

作者: 小编


手机扫一扫,手机上查看此文章:

相关推荐

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!