ImageVerifierCode 换一换
格式:DOCX , 页数:22 ,大小:459.26KB ,
资源ID:7771611      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/7771611.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(如何在ACS中导入H3C私有Radius属性.docx)为本站会员(b****6)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

如何在ACS中导入H3C私有Radius属性.docx

1、如何在ACS中导入H3C私有Radius属性如何在ACS中导入H3C私有Radius属性实际项目中经常遇到我司设备telnet管理用户到ACS Radius Server认证的情况,并由ACS给telnet用户下发权限,为了使对应用户获得相应权限,需要导入H3C的用户级别的私有Radius属性到ACS中,以保证用户权限正常下发。本文档以ACS 4.0为例。1.编写h3c.ini文件(绿色部分即为文件内容)User Defined VendorName=HuaweiIETF Code=2011VSA 29=hw_Exec_Privilegehw_Exec_PrivilegeType=INTEGE

2、RProfile=IN OUTEnums=hw_Exec_Privilege-Valueshw_Exec_Privilege-Values0=Access1=Monitor2=Manager3=AdministratorEncryption-Type1=12=23=3Ftp_DirectoryType=STRINGProfile=OUT此文件主要用于定义私有属性的值2.将上面定义的文件导入到ACS中ACS提供了命令接口来导入私有属性,此步骤主要将h3c.ini通过命令导入到ACS中去。导入过程如下:(1) 点击ACS Server的windows开始菜单,在运行中输入cmd,打开一个命令行窗口

3、。(2) 进入ACS的bin目录,在默认安装的情况下,该目录为c:Program FilesCiscoSecure ACS v4.0bin(3) 执行导入命令:选择y,继续3.查看是否导入成功导入完毕,可以通过命令来查看:可以看到UDV 0 已经添加了RADIUS (Huawei) 私有属性另外可以进入ACS页面来查看:(1)进入Interface Configuration可以看到如下:(2)点击进入看到如下内容:(3)进入Group Setup ,选择要编辑的Group,然后在Jump To中选择“Radius (Huawei)”,可以看到添加的属性值4.如果不慎在导入过程中出现错误时,可

4、以在命令行界面删除添加属性,以便重新添加 如上图,删除了添加的UDV 0 属性。H3C S3600 与ACS配合做tacacs认证的典型配置来源:作者:发布时间:2008-05-30阅读次数亚威岁末大优惠所有Cisco培训课程7折一、组网需求:需要对登录交换机的telnet管理用户经过ACS的tacacs认证以确认其合法性。ACS Server和交换机之间只要路由通即可,无特殊要求。二、组网图:三、配置步骤:1. ACS 侧配置(1)进入主界面(2)创建AAA Clients 点击Network Configuration 点击“Add Entry”输入“AAA Client Hostname

5、”,添加“AAA Client IP Address”,设置“Key”,在“Authenticate Using”列表中选择认证使用的协议为“TACACS+(Cisco IOS)”,点击“Submit+Restart”创建完毕,以后可以根据需要在“AAA Client IP Address”中添加IP,无需再次创建。此处的AAA Client IP Address 即为我们平常所说的NAS IP。列表中可以看到新建的客户端的相关信息(3)配置Group点击“Group Setup”从Group列表中选择要编辑的group 1,点击“Edit Settings”在“Jump To”列表中选择“T

6、ACACS+”即可直接跳到TACACS+属性的设置界面勾选Shell(exec) 和 Privilege level 并在Privilege level中填入允许用户拥有的权限,可填范围为0-15(其中3-15对应我司设备的level 3权限)。然后点击Submit+Restart来提交生效。(4)创建用户点击“User Setup”输入要创建的用户名“h3c”,点击“Add/Edit”,进入编辑画面,填写Real Name 和Description以及密码信息选择用户所属的组Group 1,点击Submit2. 设备侧配置(1)配置hwtacacs H3Chwtacacs scheme ac

7、s H3C-hwtacacs-acs primary authentication 1.1.1.4 H3C-hwtacacs-acs primary authorization 1.1.1.4 H3C-hwtacacs-acs primary accounting 1.1.1.4 H3C-hwtacacs-acs key authentication h3c H3C-hwtacacs-acs key authorization h3c H3C-hwtacacs-acs key accounting h3c H3C-hwtacacs-acs user-name-format without-do

8、main(2)配置domain H3Cdomain acs H3C-isp-acs scheme hwtacacs-scheme acs(3)配置默认domain H3C domain default enable acs(4) 配置user-interface H3C user-interface vty 0 4 H3C-ui-vty0-4 authentication-mode scheme H3C-ui-vty0-4 accounting commands scheme四、配置关键点:(1)ACS上AAA Client IP配置的是设备的NAS IP(2)AAA Client配置的key

9、值需要与设备上hwtacacs配置的key保持一致(3)用户名是否携带域名可以按照需要配置,但要注意的就是携带域名的时候,ACS上配置的用户名也得携带域名.Cisco ACS+AAA配置2010-04-13 23:07出处:中国IT实验室作者:阿飞【我要评论】导读最近在搭建公司的ACS,总结了一些经验写在这里。附件1是网上流传比较多的一份ACS、aaa以及包括PIX的配置说明,很详细,熟悉aaa的朋友可以直接看看附件1。附件2是cisco对aaa的官方说明,供参考。以下介绍ACS+aaa架构下aaa的配置模板。最近在搭建公司的ACS,总结了一些经验写在这里。附件1是网上流传比较多的一份ACS、

10、aaa以及包括PIX的配置说明,很详细,熟悉aaa的朋友可以直接看看附件1。附件2是cisco对aaa的官方说明,供参考。以下介绍ACS+aaa架构下aaa的配置模板。aaa的配置可以大致分以下几个部分:1.配置ACS(tacacs或radius)服务器tacacs-server host x.x.x.xtacacs-server host x.x.x.xtacacs-server key *2.配置设备local后门用户username testuser password *之所以配置后门用户,是考虑到在ACS异常的时候仍能telnet到设备。3.启用aaaaaa new-model4.认证

11、并应用到线路aaa authentication login login-list group tacacs+ localline vty 0 15login authentication login-list这里的login-list定义了访问控制的列表,即首先使用tacacs+认证,如果认证失败则使用local后门用户认证。后面的将认证应用到vty、配置accounting均调用这个login-list。5.授权aaa authorization exec default local if-authenticated授权的配置不同的需求差异会很大,我个人不建议太复杂的授权,详细解释看看附件

12、吧。6.记账aaa accounting exec login-list start-stop group tacacs+aaa accounting commands 1 login-list start-stop group tacacs+aaa accounting commands 15 login-list start-stop group tacacs+aaa accounting network login-list start-stop group tacacs+ACS+aaa的模式可以很好的管理网络设备的访问控制,只可惜ACS不是免费的软件,不过也自己搭建Tacacs服务器。

13、用ACS SERVER认证的PPPOE的实例 日期:2004-10-13浏览次数:4134出处:摘自互联网网络设计的目的:是路由器下的用户用PPPOE客户端从AAA SERVER 10.72.254.125/10.72.253.7进行认证上网.以下是路由器的配置!version 12.2service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname xxxxxxx!aaa new-model!aaa group server radius pppoeserve

14、r 10.72.254.125 auth-port 1645 acct-port 1646server 10.72.253.7 auth-port 1645 acct-port 1646!aaa authentication ppp default group pppoeaaa authorization network default group pppoe aaa accounting network default start-stop group pppoeaaa session-id commonenable secret 5 $1$nXz9$VFWaAXNkq/JfBUj4hn.K

15、x/!username xxx password 0 xxxxxxip subnet-zero!ip domain-name xxxxxxip name-server xxx.xxx.xxx!ip audit notify logip audit po max-events 100ip ssh time-out 120ip ssh authentication-retries 3vpdn enable!vpdn-group PPPOEaccept-dialin protocol pppoe virtual-template 10pppoe limit max-sessions 500!vpdn

16、-group pppoe!pppoe-forwardingasync-bootp dns-server xxx.xxx.xxx.xxx!crypto mib ipsec flowmib history tunnel size 200crypto mib ipsec flowmib history failure size 200!interface Loopback0ip address 10.75.255.240 255.255.255.255!interface GigabitEthernet0/0no ip addressduplex fullspeed 100media-type rj

17、45pppoe enable!interface GigabitEthernet0/0.2encapsulation dot1Q 2pppoe enable!interface GigabitEthernet0/0.3encapsulation dot1Q 3pppoe enable!interface GigabitEthernet0/0.507description jxtvnet-fengyuan-officeencapsulation dot1Q 507pppoe enable!interface GigabitEthernet0/0.699description pppoe-acce

18、ss-vlansencapsulation dot1Q 699pppoe enable!interface GigabitEthernet0/0.701description Department DATA office-yangxiaodongencapsulation dot1Q 701pppoe enable!interface GigabitEthernet0/0.802description Jing-mao-weiencapsulation dot1Q 802ip address 10.72.243.1 255.255.255.248pppoe enable!interface G

19、igabitEthernet0/0.805description Guo-tu-tingencapsulation dot1Q 805ip address 10.72.242.1 255.255.255.248pppoe enable!interface GigabitEthernet0/0.806description Shang-jian-juencapsulation dot1Q 806ip address 172.19.1.1 255.255.255.248pppoe enable!interface GigabitEthernet0/0.807description Fang-zhi

20、-ji-tuanencapsulation dot1Q 807ip address 172.19.5.1 255.255.255.248pppoe enable!interface GigabitEthernet0/0.808description Wen-jiao-lu-xiao-quencapsulation dot1Q 808pppoe enable!interface GigabitEthernet0/0.810description Yi-zhiencapsulation dot1Q 810ip address 172.19.7.1 255.255.255.248pppoe enab

21、le!interface GigabitEthernet0/0.811description zhong-zi-guan-li-zhanencapsulation dot1Q 811pppoe enable!interface GigabitEthernet0/0.814description Yen-yei-gong-shiencapsulation dot1Q 814pppoe enable!interface GigabitEthernet0/0.815description Xin-hua-shu-dianencapsulation dot1Q 815pppoe enable!inte

22、rface GigabitEthernet0/1ip address 10.72.207.245 255.255.255.252duplex fullspeed 100media-type rj45!interface Virtual-Template10mtu 1492ip unnumbered GigabitEthernet0/1no peer default ip addressppp authentication chap!ip classlessip route 0.0.0.0 0.0.0.0 10.72.207.246no ip http serverip pim bidir-en

23、able!snmp-server community xxxxx ROsnmp-server community xxxxx RW!radius-server host 10.72.254.125 auth-port 1645 acct-port 1646 key ciscoradius-server host 10.72.253.7 auth-port 1645 acct-port 1646 key ciscoradius-server retransmit 3call rsvp-sync!mgcp profile default!dial-peer cor custom!gatekeepe

24、rshutdown!line con 0login authentication no_tacacsline aux 0line vty 0 4password xxxxx!endpage注:在配置中有以下特点:1、做了两台AAASERVER服务器,用户如果从主的服务器上不法认证,就会到时从的服务器上进行认证。相关内容:aaa group server radius pppoeserver 10.72.254.125 auth-port 1645 acct-port 1646server 10.72.253.7 auth-port 1645 acct-port 1646!aaa authent

25、ication ppp default group pppoeaaa authorization network default group pppoe aaa accounting network default start-stop group pppoeradius-server host 10.72.254.125 auth-port 1645 acct-port 1646 key ciscoradius-server host 10.72.253.7 auth-port 1645 acct-port 1646 key cisco做法是:建了RADIUS组PPPOE,然后配置了两台AA

26、ASERVER服务器。AAA用户的认证在ACS SERVER进行了限速;AAA用户的地址池也是在AAA SERVER上进行设置的.其它参考CISCO网站.Cisco拨号配置hostname router!aaa new-modelaaa authentication login default tacacs+aaa authentication login no_tacacs enableaaa authentication ppp default tacacs+aaa authorization exec tacacs+aaa authorization network tacacs+aaa

27、 accounting exec start-stop tacacs+aaa accounting network start-stop tacacs+enable secret 5 $1$kN4g$CvS4d2.rJzWntCnn/0hvE0!interface Ethernet0ip address 10.111.4.20 255.255.255.0!interface Serial0no ip addressshutdowninterface Serial1no ip addressshutdown!interface Group-Async1ip unnumbered Ethernet

28、0encapsulation pppasync mode interactivepeer default ip address pool Cisco2511-Group-142no cdp enablegroup-range 1 16!ip local pool Cisco2511-Group-142 10.111.4.21 10.111.4.3tacacs-server host 10.111.4.2tacacs-server key tac!line con 0exec-timeout 0 0password ciscologin authentication no_tacacsline 1 16login authentication tacacsmodem InOutmodem autoconfigure type usr_courierautocommand ppptransport input allstopbits 1rxspeed 115200txspeed 115200flowcontrol hardwareline aux 0transport input allline vty 0 4password cisco!end

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1