【背景】
大家知道对于一个稍具规模的公司来说,网络设备几乎都在几十台到上百台,对于日常的管理来说如果只通过本地账号管理设备登陆是非常繁琐的,尤其是网络工程师流动性比较大的公司。对于入离职流程过程中的账号增删改不是一个小的工作量,所以我们就需要一个统一的登陆方式,比如通过Raidus。
【设备】
VMware内开启Windows Server 2012 R2
HUAWEI ENSP模拟器 (使用三台AR1220、一台S3700、使用Cloud串接ENSP和VMware)
【拓扑图】
【原理1——ENSP与VMware桥接】
在ENSP上使用一台Cloud,设置为UDP接口和本地网络接口映射双向转发,即可ENSP和VMware内的虚拟机互通
【原理2——Windows的Radius认证】
在Windows Server 2012系统中,自带有NPS组件,该组件可以完成对AAA系统的Radius认证。该策略默认未安装到系统中,需要选择“网络策略和访问服务”进行添加。
当华为的路由器配置AAA服务,可以指定Radius服务器为该Windows Server 2012,将AAA功能提交给该Windows Server 2012进行,则华为路由器为该服务器的AAA客户端。
------------------------------------------------------------------
【配置过程】
【配置1——Windows Server 2012】
步骤1.打开“服务器管理器”,添加“网络策略和访问服务”,使用其中的角色“网络策略服务器”
步骤2.添加“Active Directory证书服务”
步骤3.打开“网络策略服务器”进行配置
在安装了以上组件后,即可在“服务器管理器”-->“工具”-->“网络策略管理器”中进行配置
打开“网络策略管理器”,添加Radius客户端
*注意:此处的IP地址,共享机密,需与路由器(Radius客户端配置一致)
步骤4.添加拨入用户
*注意:此处需要设定为“用户不能更改密码”、“密码永不过期”
*注意:设定该用户“允许访问”
步骤5.建立用户组
*注意:若有多个用户,则将所需用户全部添加进该组
步骤6.新建网络策略
创建策略并引用用户组,分配权限,加密方式,策略的服务模型
*注意:以下步骤删除默认的“帧协议”,将“服务模式”修改为“Login”
【配置2——路由器端】
下面直接贴出路由器端的配置
#
radius-server template windows
#该共享秘钥需与【配置1——步骤3】中的秘钥一致
radius-server shared-key cipher %$%$r%lWCgbc2UFf~49_\[email protected]}e,%$%$
#指定认证服务器IP地址与端口
radius-server authentication 172.16.1.1 1812
radius-server retransmit 2
#配置认证时发送的用户名不携带域名
undo radius-server user-name domain-included
#进入AAA配置认证模板与认证模式
aaa
authentication-scheme huawei
authentication-mode radius
quit
#创建域并关联认证模板和认证服务器
domain huawei
authentication-scheme huawei
radius-server windows
quit
#在VTY接口中修改认证模型
user-interface vty 0 4
authentication-mode aaa