3.4 使用RADIUS进行telnet登录的认证
【需求】
要求用户telnet登录时输入用户名huawei和对应的口令huawei,用户名和口令在radius server上验证通过后才能登录路由器。
【配置脚本】
配置脚本 |
# sysname Quidway # radius scheme system radius scheme test /创建RADIUS方案/ primary authentication 192.168.1.100 /配置主验证服务器地址和端口号/ key authentication test /配置共享密钥/ user-name-format without-domain /发送账号的格式为不带域名方式/ # domain system scheme radius-scheme test /引用RADIUS方案“test”/ accounting optional /打开计费可选开关/ # interface Ethernet1/0/0 ip address 192.168.1.254 255.255.255.0 # interface NULL0 # user-interface con 0 user-interface vty 0 4 authentication-mode scheme /设置scheme认证/ # return |
【验证】
使用huawei/huawei通过telnet登录系统,该账号密码在RADIUS Server上验证通过后,用户才可以登录成功。
【提示】
1. 在radius server上创建“huawei/huawei”的账号口令后,可以使用该账号telnet到路由器
2. 如果不配置“user-name-format without-domain”,路由器在发送账号的时候会使用huawei@system这种带域名的方式来发送,将导致认证失败
3. 要确认路由器和radius server上的key一致
4. 对于这种方式只需要对账号进行认证,无需进行记费。所以没有配置记费服务器的参数,并且配置了“accounting optional”来打开计费可选开关
当没有可用的计费服务器或与计费服务器通信失败时,若配置了accounting optional命令,则用 户可以继续使用网络资源,否则用户将被切断。这个命令经常被用于只认证不计费的情况。