适用产品和版本

CE12800/CE6800/CE5800系列产品V100R001C00或更高版本。

CE7800系列产品V100R003C00或更高版本。

CE8800系列产品V100R006C00或更高版本。

CE12800E系列产品V200R002C50或更高版本。

组网需求

网络管理员希望能够远程对设备进行管理与维护，同时对网络的安全性要求较高，希望网络不受未授权访问的干扰。可以通过配置基于RADIUS认证的Telnet满足用户的需求。

如图2-16所示，Switch与RADIUS服务器之间路由可达。RADIUS服务器的IP地址为10.7.66.66/24，认证端口号为1812。

图2-16 基于RADIUS认证的Telnet登录组网图

注意事项

配置基于RADIUS认证的Telnet登录，有以下注意事项：

请确保设备上配置的RADIUS服务器组内的RADIUS服务器的地址、端口号和共享密钥配置正确，并且和RADIUS服务器保持一致。

请确保已在RADIUS服务器上配置了用户，本例中假设RADIUS服务器上已配置了用户名为admin、密码为huawei@123的用户。

配置思路

基于RADIUS认证的Telnet登录的配置思路如下：

配置RADIUS协议，实现RADIUS认证。

用户通过Telnet登录设备时使用RADIUS服务器上配置的用户名和密码，从而保证用户登录的安全性。

操作步骤配置RADIUS认证。配置RADIUS服务器组。

system-view

[~HUAWEI] sysname Switch

[*HUAWEI] commit

[~Switch] radius enable //启动RADIUS协议功能

[*Switch] radius server group shiva //创建RADIUS服务器组

[*Switch-radius-shiva] radius server authentication 10.7.66.66 1812 //配置RADIUS服务器的地址和端口号

[*Switch-radius-shiva] radius server shared-key-cipher hello //配置RADIUS服务器的共享密钥

[*Switch-radius-shiva] radius server retransmit 2 //配置超时重传次数为2

[*Switch-radius-shiva] quit

创建AAA认证方案“auth”并配置认证方式为RADIUS。

[*Switch] aaa

[*Switch-aaa] authentication-scheme auth //创建认证方案

[*Switch-aaa-authen-auth] authentication-mode radius //配置认证模式为RADIUS认证

[*Switch-aaa-authen-auth] quit

创建域“admin123”并在域内绑定AAA认证方案“auth”和RADIUS服务器组“shiva”。

[*Switch-aaa] domain admin123 //创建域

[*Switch-aaa-domain-admin123] authentication-scheme auth //配置域的认证方案

[*Switch-aaa-domain-admin123] radius server group shiva //配置域的RADIUS服务器组

[*Switch-aaa-domain-admin123] quit

[*Switch-aaa] quit

[*Switch] commit

配置Telnet登录。

[~Switch] undo telnet server disable //使能Telnet服务器功能

[*Switch] user-interface vty 0 4 //进入VTY 0~VTY 4用户界面视图

[*Switch-ui-vty0-4] authentication-mode aaa //配置登录用户界面的认证方式为AAA认证

[*Switch-ui-vty0-4] user privilege level 3 //配置用户级别为3

[*Switch-ui-vty0-4] quit

[*Switch] commit

验证

配置完成后，用户在PC上以“用户名@admin123”形式输入用户名admin@admin123并输入密码huawei@123即可完成在admin123域的认证，成功登录到Switch。

配置文件

Switch的配置文件

#

sysname Switch

#

radius enable

#

radius server group shiva

radius server shared-key-cipher %^%#/

radius server authentication 10.7.66.66 1812

radius server retransmit 2

#

aaa

#

authentication-scheme auth

authentication-mode radius

#

domain admin123

authentication-scheme auth

radius server group shiva

#

user-interface vty 0 4

authentication-mode aaa

user privilege level 3

#

return