如何在ACS中导入H3C私有Radius属性Word格式.docx
- 文档编号:20898618
- 上传时间:2023-01-26
- 格式:DOCX
- 页数:22
- 大小:459.26KB
如何在ACS中导入H3C私有Radius属性Word格式.docx
《如何在ACS中导入H3C私有Radius属性Word格式.docx》由会员分享,可在线阅读,更多相关《如何在ACS中导入H3C私有Radius属性Word格式.docx(22页珍藏版)》请在冰豆网上搜索。
(2)进入ACS的bin目录,在默认安装的情况下,该目录为
c:
\ProgramFiles\CiscoSecureACSv4.0\bin
(3)执行导入命令:
选择y,继续
3.
查看是否导入成功
导入完毕,可以通过命令来查看:
可以看到UDV0已经添加了RADIUS(Huawei)私有属性
另外可以进入ACS页面来查看:
(1)
进入InterfaceConfiguration可以看到如下:
(2)
点击进入看到如下内容:
(3)
进入GroupSetup,选择要编辑的Group,然后在JumpTo中选择“Radius(Huawei)”,可以看到添加的属性值
4.
如果不慎在导入过程中出现错误时,可以在命令行界面删除添加属性,以便重新添加
如上图,删除了添加的UDV0属性。
H3CS3600与ACS配合做tacacs认证的典型配置
来源:
作者:
发布时间:
2008-05-30
阅读次数
亚威岁末大优惠——所有Cisco培训课程7折
一、
组网需求:
需要对登录交换机的telnet管理用户经过ACS的tacacs认证以确认其合法性。
ACSServer和交换机之间只要路由通即可,无特殊要求。
二、
组网图:
三、
配置步骤:
1.ACS侧配置
进入主界面
创建AAAClients
点击NetworkConfiguration
点击“AddEntry”
输入“AAAClientHostname”,添加“AAAClientIPAddress”,设置“Key”,在“AuthenticateUsing”列表中选择认证使用的协议为“TACACS+(CiscoIOS)”,点击“Submit+Restart”创建完毕,以后可以根据需要在“AAAClientIPAddress”中添加IP,无需再次创建。
此处的AAAClientIPAddress即为我们平常所说的NASIP。
列表中可以看到新建的客户端的相关信息
配置Group
点击“GroupSetup”
从Group列表中选择要编辑的group1,点击“EditSettings”
在“JumpTo”列表中选择“TACACS+”即可直接跳到TACACS+属性的设置界面
勾选Shell(exec)和Privilegelevel并在Privilegelevel中填入允许用户拥有的权限,可填范围为0-15(其中3-15对应我司设备的level3权限)。
然后点击Submit+Restart来提交生效。
(4)
创建用户
点击“UserSetup”
输入要创建的用户名“h3c”,点击“Add/Edit”,进入编辑画面,
填写RealName和Description以及密码信息
选择用户所属的组Group1,点击Submit
2.设备侧配置
配置hwtacacs
[H3C]hwtacacsschemeacs
[H3C-hwtacacs-acs]primaryauthentication1.1.1.4
[H3C-hwtacacs-acs]primaryauthorization1.1.1.4
[H3C-hwtacacs-acs]primaryaccounting1.1.1.4
[H3C-hwtacacs-acs]keyauthenticationh3c
[H3C-hwtacacs-acs]keyauthorizationh3c
[H3C-hwtacacs-acs]keyaccountingh3c
[H3C-hwtacacs-acs]user-name-formatwithout-domain
配置domain
[H3C]domainacs
[H3C-isp-acs]schemehwtacacs-schemeacs
配置默认domain
[H3C]domaindefaultenableacs
配置user-interface
[H3C]
user-interfacevty04
[H3C-ui-vty0-4]
authentication-modescheme
accountingcommandsscheme
四、
配置关键点:
ACS上AAAClientIP配置的是设备的NASIP
AAAClient配置的key值需要与设备上hwtacacs配置的key保持一致
用户名是否携带域名可以按照需要配置,但要注意的就是携带域名的时候,ACS上配置的用户名也得携带域名.
CiscoACS+AAA配置
2010-04-1323:
07出处:
中国IT实验室作者:
阿飞【我要评论】
[导读] 最近在搭建公司的ACS,总结了一些经验写在这里。
附件1是网上流传比较多的一份ACS、aaa以及包括PIX的配置说明,很详细,熟悉aaa的朋友可以直接看看附件1。
附件2是cisco对aaa的官方说明,供参考。
以下介绍ACS+aaa架构下aaa的配置模板。
最近在搭建公司的ACS,总结了一些经验写在这里。
aaa的配置可以大致分以下几个部分:
1.配置ACS(tacacs或radius)服务器
tacacs-serverhostx.x.x.x
tacacs-serverkey*****
2.配置设备local后门用户
usernametestuserpassword*****
之所以配置后门用户,是考虑到在ACS异常的时候仍能telnet到设备。
3.启用aaa
aaanew-model
4.认证并应用到线路
aaaauthenticationloginlogin-listgrouptacacs+local
linevty015
loginauthenticationlogin-list
这里的login-list定义了访问控制的列表,即首先使用tacacs+认证,如果认证失败则使用local后门用户认证。
后面的将认证应用到vty、配置accounting均调用这个login-list。
5.授权
aaaauthorizationexecdefaultlocalif-authenticated
授权的配置不同的需求差异会很大,我个人不建议太复杂的授权,详细解释看看附件吧。
6.记账
aaaaccountingexeclogin-liststart-stopgrouptacacs+
aaaaccountingcommands1login-liststart-stopgrouptacacs+
aaaaccountingcommands15login-liststart-stopgrouptacacs+
aaaaccountingnetworklogin-liststart-stopgrouptacacs+
ACS+aaa的模式可以很好的管理网络设备的访问控制,只可惜ACS不是免费的软件,不过也自己搭建Tacacs服务器。
用ACSSERVER认证的PPPOE的实例
日期:
2004-10-13
浏览次数:
4134
出处:
摘自互联网
网络设计的目的:
是路由器下的用户用PPPOE客户端从AAASERVER10.72.254.125/10.72.253.7进行认证上网.
以下是路由器的配置
!
version12.2
servicetimestampsdebuguptime
servicetimestampsloguptime<
br
ersion12.2
servicetimestampsloguptime>
noservicepassword-encryption
hostnamexxxxxxx
aaanew-model
aaagroupserverradiuspppoe
server10.72.254.125auth-port1645acct-port1646
server10.72.253.7auth-port1645acct-port1646
aaaauthenticationpppdefaultgrouppppoe
aaaauthorizationnetworkdefaultgrouppppoe
aaaaccountingnetworkdefaultstart-stopgrouppppoe
aaasession-idcommon
enablesecret5$1$nXz9$VFWaAXNkq/JfBUj4hn.Kx/
usernamexxxpassword0xxxxxx
ipsubnet-zero
ipdomain-namexxxxxx
ipname-serverxxx.xxx.xxx
ipauditnotifylog
ipauditpomax-events100
ipsshtime-out120
ipsshauthentication-retries3
vpdnenable
vpdn-groupPPPOE
accept-dialin
protocolpppoe
virtual-template10
pppoelimitmax-sessions500
vpdn-grouppppoe
pppoe-forwarding
async-bootpdns-serverxxx.xxx.xxx.xxx
cryptomibipsecflowmibhistorytunnelsize200
cryptomibipsecflowmibhistoryfailuresize200
interfaceLoopback0
ipaddress10.75.255.240255.255.255.255
interfaceGigabitEthernet0/0
noipaddress
duplexfull
speed100
media-typerj45
pppoeenable
interfaceGigabitEthernet0/0.2
encapsulationdot1Q2
interfaceGigabitEthernet0/0.3
encapsulationdot1Q3
interfaceGigabitEthernet0/0.507
descriptionjxtvnet-fengyuan-office
encapsulationdot1Q507
interfaceGigabitEthernet0/0.699
descriptionpppoe-access-vlans
encapsulationdot1Q699
interfaceGigabitEthernet0/0.701
descriptionDepartmentDATAoffice-yangxiaodong
encapsulationdot1Q701
interfaceGigabitEthernet0/0.802
descriptionJing-mao-wei
encapsulationdot1Q802
ipaddress10.72.243.1255.255.255.248
interfaceGigabitEthernet0/0.805
descriptionGuo-tu-ting
encapsulationdot1Q805
ipaddress10.72.242.1255.255.255.248
interfaceGigabitEthernet0/0.806
descriptionShang-jian-ju
encapsulationdot1Q806
ipaddress172.19.1.1255.255.255.248
interfaceGigabitEthernet0/0.807
descriptionFang-zhi-ji-tuan
encapsulationdot1Q807
ipaddress172.19.5.1255.255.255.248
interfaceGigabitEthernet0/0.808
descriptionWen-jiao-lu-xiao-qu
encapsulationdot1Q808
interfaceGigabitEthernet0/0.810
descriptionYi-zhi
encapsulationdot1Q810
ipaddress172.19.7.1255.255.255.248
interfaceGigabitEthernet0/0.811
descriptionzhong-zi-guan-li-zhan
encapsulationdot1Q811
interfaceGigabitEthernet0/0.814
descriptionYen-yei-gong-shi
encapsulationdot1Q814
interfaceGigabitEthernet0/0.815
descriptionXin-hua-shu-dian
encapsulationdot1Q815
interfaceGigabitEthernet0/1
ipaddress10.72.207.245255.255.255.252
interfaceVirtual-Template10
mtu1492
ipunnumberedGigabitEthernet0/1
nopeerdefaultipaddress
pppauthenticationchap
ipclassless
iproute0.0.0.00.0.0.010.72.207.246
noiphttpserver
ippimbidir-enable
snmp-servercommunityxxxxxRO
snmp-servercommunityxxxxxRW
radius-serverhost10.72.254.125auth-port1645acct-port1646keycisco
radius-serverhost10.72.253.7auth-port1645acct-port1646keycisco
radius-serverretransmit3
callrsvp-sync
mgcpprofiledefault
dial-peercorcustom
gatekeeper
shutdown
linecon0
loginauthenticationno_tacacs
lineaux0
linevty04
passwordxxxxx
end
[page]
注:
在配置中有以下特点:
1、做了两台AAA SERVER服务器,用户如果从主的服务器上不法认证,就会到时从的服务器上进行认证。
相关内容:
做法是:
建了RADIUS组PPPOE,然后配置了两台AAA SERVER服务器。
AAA用户的认证在ACSSERVER进行了限速;
AAA用户的地址池也是在AAASERVER上进行设置的.
其它参考CISCO网站.
Cisco拨号配置
hostnamerouter
aaaauthenticationlogindefaulttacacs+
aaaauthenticationloginno_tacacsenable
aaaauthenticationpppdefaulttacacs+
aaaauthorizationexectacacs+
aaaauthorizationnetworktacacs+
aaaaccountingexecstart-stoptacacs+
aaaaccountingnetworkstart-stoptacacs+
enablesecret5$1$kN4g$CvS4d2.rJzWntCnn/0hvE0
interfaceEthernet0
ipaddress10.111.4.20255.255.255.0
interfaceSerial0
interfaceSerial1
interfaceGroup-Async1
ipunnumberedEthernet0
encapsulationppp
asyncmodeinteractive
peerdefaultipaddresspoolCisco2511-Group-142
nocdpenable
group-range116
iplocalpoolCisco2511-Group-14210.111.4.2110.111.4.3
tacacs-serverhost10.111.4.2
tacacs-serverkeytac
exec-timeout00
passwordcisco
loginauthenticationno_tacacs
line116
loginauthenticationtacacs
modemInOut
modemautoconfiguretypeusr_courier
autocommandppp
transportinputall
stopbits1
rxspeed115200
txspeed115200
flowcontrolhardware
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 如何 ACS 导入 H3C 私有 Radius 属性