华为防火墙连接配置RADIUS服务器

小乔

通过RADIUS服务器可以实现对远端用户访问目的网络时进行认证和计费服务，常用于外网接入内网时进行认证、远程登录设备时进行认证、无线用户接入运营商网络时进行认证和计费等多种应用场合。同时，RADIUS服务器还可以远端集中部署，便于统一管理和维护。

组网需求
如图1所示，net1域内的用户通过Internet访问目的资源网络Network A，USG做为Network A的网络接入服务器使用，USG远端连接到两台主备RADIUS服务器。要求net1域内的用户通过RADIUS服务器的认证后才能访问目的资源网络Network A，同时RADIUS服务器要对net1域内的用户进行计费。

配置思路
1在USG上配置接口、路由等数据，使USG能够和主备RADIUS服务器、Network A、以及net1域内的用户互通。
2配置RADIUS服务器模板。
3配置认证方案123、计费方案123 。
4配置net1域，在域下采用认证方案123、计费方案123、RADIUS模板temp。
5配置主备RADIUS服务器。

操作步骤
配置USG。
1在USG上配置接口、路由等数据，使USG能够和主备RADIUS服务器、Network A、以及net1域内的用户互通，具体配置过程略。
2配置RADIUS服务器模板。
# 创建RADIUS服务器模板temp。
<USG> system-view
[USG] radius-server template temp
# 配置主用RADIUS认证、计费服务器的IP地址和端口。
[USG-radius-temp] radius-server authentication 11.1.1.1 1645
[USG-radius-temp] radius-server accounting 11.1.1.1 1646
# 配置备用RADIUS认证、计费服务器的IP地址和端口。
[USG-radius-temp] radius-server authentication 22.1.1.1 1645 secondary
[USG-radius-temp] radius-server accounting 22.1.1.1 1646 secondary
说明： 常用的认证/计费服务器的端口号为:1645/1646和1812/1813，本例以1645/1646为例进行介绍，实际应用中要和RADIUS服务器端的配置保持一致。
# 配置RADIUS服务器密钥。
[USG-radius-temp] radius-server shared-key hello
# 配置RADIUS服务器的用户名格式。
[USG-radius-temp] radius-server user-name domain-included
说明： 用户名通常采用“username@domain”格式。如果RADIUS服务器不接受带域名的用户名，需要配置将用户名的域名去除后再发送给RADIUS服务器。 执行undo radius-server user-name domain-included命令后，USG向RADIUS服务器发送认证、授权请求时，会自动将用户名中的域名都去掉。
# 配置RADIUS服务器的协议版本。
[USG-radius-temp] radius-server type standard
[USG-radius-temp] quit
说明： 缺省情况下，设备端采用的RADIUS服务器协议版本为standard。当RADIUS服务器端采用的协议版本为Portal RADIUS（也称为RADIUS+）时，则此处应配置为portal。
只有当该RADIUS模板没有用户使用时，才能改变此配置。
3 配置认证方案、授权方案和计费方案 。
# 配置认证方案123，认证方法为RADIUS。
[USG] aaa
[USG-aaa] authentication-scheme 123
[USG-authen-123] authentication-mode radius
[USG-authen-123] quit
# 配置计费方案123，计费方法为RADIUS。
[USG-aaa] accounting-scheme 123
[USG-accounting-123] accounting-mode radius
[USG-accounting-123] quit
4 配置net1域，在域下采用认证方案123、计费方案123、RADIUS模板temp。
说明： 如果用户名不带域名，则采用缺省的default域即可；如果用户名带域名，则需要创建对应的域。
[USG-aaa] domain net1
[USG-aaa-domain-net1] authentication-scheme 123
[USG-aaa-domain-net1] accounting-scheme 123
[USG-aaa-domain-net1] radius-server temp
[USG-aaa-domain-net1] quit
[USG-aaa] quit



配置主备RADIUS服务器。
说明： 本例仅以Shiva Access Manager服务器为例进行介绍，实际应用中RADIUS服务器的详细配置请参考对应RADIUS服务器的相关文档。
在PC机上安装Shiva Access Manager软件（安装步骤略）。
单击“开始 > 程序 > Shiva Access Manager > Shiva Access Manager”，启动Shiva Access Manager软件。
在弹出的对话框中输入用户名和密码。用户名系统默认为supermanager，密码为空。界面如图2所示。
图2 登录Shiva Access Manager服务器

单击“Login”，在弹出的对话框中单击“Start Console Now”，界面如图3所示。
图3 启动Shiva Access Manager

在弹出的对话框中输入用户名和密码。用户名系统默认为supermanager，密码为空。界面如图4所示。
图4 登录Shiva Access Manager Console

单击“Login”，进入“Shiva Access Manager Console”界面。界面如图5所示。
图5 Shiva Access Manager Console界面

单击工具栏中的“”。在弹出的“Encryption Configuration”对话框中输入NAS地址和密钥，界面如图6所示。NAS地址为USG与RADIUS服务器通信的接口IP地址，密钥为USG端设置的共享密钥。
图6 加密设置

单击“Add”，在NAS list区域框中显示已经添加的NAS Address，界面如图7所示。
图7 加密设置成功

单击“Exit”。
单击工具栏中的“”。在弹出的“General Options”对话框中输入Authentication UDP Port和Accouting UDP Port，界面如图8所示。
图8 设置RADIUS服务器端口

单击工具栏中的“”。在弹出的“Manage Users”对话框中，选择“General Attributes”页签，输入以下参数，界面如图9所示。其中“Username”和“Password”为客户端接入的用户名和密码。“Username”为域名接入用户，域名与USG端设置的域名相同。
注意： 不能选择“Disable Accout”前的复选框，否则配置不成功。
图9 配置用户

单击“Add User”，添加用户成功。


结果验证
在USG上执行display radius-server configuration template命令后，可以观察到该RADIUS服务器模板的配置与要求一致。

<USG> display radius-server configuration template temp

   -------------------------------------------------------------------
  Server-template-name             :  temp
  Protocol-version                 :  standard   
  Traffic-unit                     :  B   
  Shared-secret-key                :  %$%$i%Ni2'0_|Rey(*=`o`T<oE<3%$%$     
  Group-filter                     :  class   
  Timeout-interval(in second)      :  5      
  Primary-authentication-server    :  11.1.1.1:1645: LoopBack-1
  Primary-accounting-server        :  11.1.1.1:1646: LoopBack-1
  Secondary-authentication-server  :  22.1.1.1:1645: LoopBack-1  
  Secondary-accounting-server      :  22.1.1.1:1646: LoopBack-1  
  Retransmission                   :  3
  Domain-included                  :  YES  
  DM-enabled                       :  NO
  -------------------------------------------------------------------     

zhaoyj

谢谢，学习学习

marco404

感谢，学习了

liyou60

华为认证，值得拥有！

zcrwn2016

谢谢分享

cinnamon