华为交换机和路由器如何配置radius来实现RSA Securid的认证使用.docxVIP

华为交换机和路由器如何配置 radius 来实现 RSA Securid 的认证使用 华为的路由器和交换机想通过RSA Securid 来实现认证登陆,必须采用配置radius 的方式来实现 举例: radius nas-ip XXX.XXX.XXX.XXX radius scheme system primary authentication YYY.YYY.YYY.YYY 1645 secondary authentication ZZZ.ZZZ.ZZZ.ZZZ 1645 accounting optional key authentication huawei user-name-format without-domain domain system scheme radius-scheme system vlan-assignment-mode integer access-limit disable state active idle-cut disable self-service-url disable domain default enable system user-interface vty 0 4 authentication-mode scheme 说明: radius nas-ip XXX.XXX.XXX.XXX {配置本机 RADIUS 服务器的相关参数，nas-ip 用来配置接入服务器的IP 地址，key 用来配置登录用户的密码} radius scheme system {指定当前ISP 域引用的RADIUS 服务器组。此处RADIUS 服务器组名为“system”} server-type huawei {配置指定用户的服务类型} primary authentication 127.0.0.1 1645 {配置主 RADIUS 认证/授权的IP 地址和端口号, 目前环境没有AAA 服务器} primary accounting 127.0.0.1 1646 {配置主 RADIUS 计费服务器的IP 地址和端口号} user-name-format without-domain {配置发送给RADIUS 服务器的用户名格式。指定发送给RADIUS 服务器的用户名不带域名} domain system {创建一个ISP 域，缺省情况下，系统中已创建了一个名为“system”的ISP 域。ISP 域即ISP 用户群，一个ISP 域即是由同属于一个 ISP 的用户构成的用户群。引入ISP 域的设置是为了支持多ISP 的应用环境：在这种环境中，同一个接入设备接入的有可能是不同ISP 的用户。由于各 ISP 用户的用户属性（例如用户名及密码构成、服务类型/权限等）有可能各不相同，因此有必要通过设置ISP 域的方法把它们区别开。在ISP 域视图下， 可以为每个ISP 域配置包括AAA 策略（使用的 RADIUS 服务器组等）在内的一整套单独的 ISP 域属性。对于交换机来说，每个接入用户都属于一个 ISP 域。系统中最多可以配置 16 个 ISP 域。} radius-scheme system access-limit disable {表示不对当前ISP 域可容纳的接入用户数作限制} state active {指定当前ISP 域/当前用户处于活动状态，即系统允许该域下的用户/当前用户请求网络服务} idle-cut disable {配置当前ISP 域下的用户模板,表示禁止用户启用闲置切断功能} self-service-url disable messenger time disable domain default enable system 必须在user-interface vty 0 4 职中设认证模式设备为scheme authentication-mode scheme