采用RADIUS协议对用户进行认证和计费

 应用环境

当用户需要通过网络与NAS建立连接从而取得访问其他网络的权利或取得使用某些网络资源的权利时，运营商需要对这些用户的接入请求进行恰当的处理。在允许合法用户上线，并对其上线时间进行统计的同时，拒绝非法的用户的上线请求。

运营商可以通过RADIUS服务器对上线用户进行有效的控制，保证安全性和和统计上线时间。

配置思路

在部署采用RADIUS协议对用户进行认证和计费时，采用如下的配置思路：

在路由器中进行下列配置：

1.         在AAA中配置认证方案，认证方式为RADIUS。

2.         在AAA中配置计费方案，计费方式为RADIUS。

3.         配置RADIUS服务器模板，确定RADIUS服务器的IP地址、端口号以及共享密钥等。

4.         配置域，在域下引用RADIUS服务器模板、认证方案和计费方案。

在RADIUS服务器端进行如下配置：

1.         配置用户名和密码。

2.         配置NAS地址和共享密钥。

3.         配置认证和计费的端口号。

配置注意事项

路由器端和服务器端的端口号和共享密钥必须相同。

组网需求

用RADIUS服务器对接入用户进行认证、计费。

用户所属的域为huawei。

RADIUS服务器129.7.66.66/24作为主认证服务器和计费服务器，RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器，认证端口号默认为1812，计费端口号默认为1813。

采用RADIUS协议对用户进行认证和计费

适用产品和版本

路由器端可以使用任意一款NE产品。版本为(VRP5.10)及后续版本

RADIUS服务器端可以适用于任意一款服务器软件，如：shiva等。

配置步骤

路由器端的配置。

步骤 1     在AAA中配置认证方案1，认证方式为RADIUS。

<Quidway> system-view
[Quidway] aaa
[Quidway–aaa] authentication-scheme 1
[Quidway-aaa-authen-1] authentication-mode  radius
[Quidway-aaa-authen-1] quit

步骤 2     在AAA中配置计费方案1，计费方式为RADIUS。。

[Quidway–aaa] accounting-scheme 1
[Quidway–aaa-accounting-1] accounting-mode  radius
[Quidway–aaa-accounting-1] quit

步骤 3     配置RADIUS服务器模板shiva。

[Quidway] radius-server template shiva
# 配置RADIUS主认证、计费服务器IP地址和端口。
[Quidway-radius-shiva] radius-server authentication  129.7.66.66 1812
[Quidway-radius-shiva] radius-server accounting  129.7.66.66 1813
# 配置RADIUS备认证、计费服务器IP地址和端口。
[Quidway-radius-shiva] radius-server authentication  129.7.66.67 1812 secondary
[Quidway-radius-shiva] radius-server accounting  129.7.66.67 1813 secondary
# 配置RADIUS服务器密钥、重传次数。
[Quidway-radius-shiva] radius-server shared-key  huawei
[Quidway-radius-shiva] radius-server retransmit  2
[Quidway-radius-shiva] quit

步骤 4     配置huawei域，在域下应用认证方案1、计费方案1、shiva的RADIUS模板。

[Quidway-aaa] domain huawei
[Quidway-aaa-domain-huawei] authentication-scheme  1
[Quidway-aaa-domain-huawei] accounting-scheme  1
[Quidway-aaa-domain-huawei] radius-server  shiva

RADIUS服务器端的配置。

步骤 1     配置用户名和密码。

在RADIUS服务器端配置用户名111@huawei，密码为huawei。

步骤 2     配置NAS地址和共享密钥。

在RADIUS服务器端配置NAS地址为129.7.66.66，共享密钥为huawei。

步骤 3     配置认证和计费的端口号。

配置认证的端口号为1812，计费的端口号为1813。

检查配置结果。

如果配置成功，则：

1.         在路由器的VTY接口上要求所有的接入用户都必须使用AAA验证后，找一台PC进行登录试验。在输入用户名111@huawei，密码为huawei后，验证通过。

2.         在路由器上执行display radius-server configuration template 命令后，可以观察到该radius服务器模板的配置与要求一致。

<Quidway> display radius-server configuration template shiva

--------------------------------------------------------------------------

Server-template-name                  :  shiva

Protocol-version                      :  standard

Traffic-unit                          :  B

Shared-secret-key                     :   it-is-my-secret

Timeout-interval(in second)           :  5

Primary-authentication-server         :   129.7.66.66:1812:LoopBack-1

Primary-accounting-server             :   129.7.66.66:1813:LoopBack-1

Secondary-authentication-server       :   129.7.66.67:1812:LoopBack-1

Secondary-accounting-server           :   129.7.66.67:1813:LoopBack-1

Retransmission                        :  2

Domain-included                       :  YES

-------------------------------------------------------------------------

配置文件

路由器上的配置文件如下。

radius-server template shiva
radius-server shared-key huawei
radius-server authentication 129.7.66.66 1812
radius-server authentication 129.7.66.67 1812  secondary
radius-server accounting 129.7.66.66 1813
radius-server accounting 129.7.66.67 1813  secondary
radius-server retransmit 2
#
aaa
authentication-scheme default
authentication-scheme 1
authentication-mode  radius
#
authorization-scheme default
#
accounting-scheme default
accounting-scheme 1
accounting-mode radius
#
domain default
domain huawei
authentication-scheme  1
accounting-scheme 1
radius-server shiva
#
user-interface vty 0 4
authentication-mode aaa
#
return