radius作用

Radius作用

Radius服务器能用来管理使用串口和调制解调器的大量分散用户。当用户想要通过某个网络(如电话网)与NAS建立连接从而获得访问其他网络的权利(或取得使用某些网络资源的权利)时，NAS起到了过问用户(或这个连接)的作用。NAS负责把用户的鉴别，授权，记账信息传递给Radius服务器。Radius协议规定了NAS与Radius服务器之间如何传递用户信息和记账信息，即两者之间的通信规则。Radius服务器负责接收用户的连接请求，完成鉴别，并把传递服务给用户所需的配置信息返回给NAS。用户获得授权后，在其正常上线、在线和下线过程中，Radius服务器完成对用户账号计费的功能。

RADIUS协议的认证端口号为1812（1645端口由于冲突已经不再使用），计费端口号为1813或（1646端口由于冲突已经不再使用）。RADIUS通过建立一个唯一的用户数据库，存储用户名，用户的密码来进行鉴别、存储传递给用户的服务类型以及相应的配置信息来完成授权。RADIUS协议具有很好的扩展性。RADIUS包是由包头和一定数目的属性(Attribute)构成的。新属性的增加不会影响到现有协议的实现。通常的NAS厂家在生产NAS时，还同时开发与之配套的Radius服务器。为了提供一些功能，常常要定义一些非标准的(RFC上没有定义过的)属性。

思科cisco公司已成为公认的世界网络互联解决方案的领先厂商，该公司出产的一系列路由器更是引领世界，那么你知道思科怎么远程TELNET登录吗?下面是我整理的一些关于思科怎么远程TELNET登录的相关资料，供你参考。

思科远程TELNET登录的 方法

1 功能需求及组网说明

telnet配置

『配置环境参数』

PC机固定IP地址10.10.10.10/24

SwitchA为三层交换机，vlan100地址10.10.10.1/24

SwitchA与SwitchB互连vlan10接口地址192.168.0.1/24

SwitchB与SwitchA互连接口vlan100接口地址192.168.0.2/24

交换机SwitchA通过以太网口ethernet 0/1和SwitchB的ethernet0/24实现互连。

『组网需求』

1.SwitchA只能允许10.10.10.0/24网段的地址的PC telnet访问

2.SwitchA只能禁止10.10.10.0/24网段的地址的PC telnet访问

3.SwitchB允许 其它 任意网段的地址telnet访问

2 数据配置步骤

『PC管理交换机的流程』

1.如果一台PC想远程TELNET到一台设备上，首先要保证能够二者之间正常通信。SwitchA为三层交换机，可以有多个三层虚接口，它的管理vlan可以是任意一个具有三层接口并配置了IP地址的vlan

2.SwitchB为二层交换机，只有一个二层虚接口，它的管理vlan即是对应三层虚接口并配置了IP地址的vlan

3.Telnet用户登录时，缺省需要进行口令认证，如果没有配置口令而通过Telnet登录，则系统会提示“password required, but none set.”。

【SwitchA相关配置】

PC在vlan100内，交换机上对应的端口为E0/10-E0/20

1.创建(进入)vlan100

[SwitchA]vlan 100

2.将E0/10-E0/20加入到vlan10里

[SwitchA-vlan100] port Ethernet 0/10 to Ethernet 0/20

3.创建vlan100的虚接口

[SwitchA]interface Vlan-interface 100

4.给vlan100的虚接口配置IP地址

[SwitchA-Vlan-interface100]ip address 10.10.10.1 255.255.255.0

5.创建(进入)vlan10

[SwitchA]vlan 10

6.将连接SwitchB的E0/1加入vlan10

[SwitchA-vlan10] port Ethernet 0/1

7.创建(进入)vlan10的虚接口

[SwitchA]interface Vlan-interface 10

8.给vlan10的虚接口配置IP地址

[SwitchA-Vlan-interface10]ip address 192.168.0.1 255.255.255.0

【SwitchB相关配置】

1.创建(进入)vlan100

[SwitchA]vlan 100

2.将E0/24加入到vlan100里

[SwitchA-vlan100] port Ethernet 0/24

3.创建(进入)vlan100的虚接口

[SwitchB]interface Vlan-interface 100

4.给vlan100的虚接口配置IP地址

[SwitchB-Vlan-interface100]ip address 192.168.0.2 255.255.255.0

5.一般二层交换机允许其它任意网段访问需要加入一条缺省路由

[SwitchB]ip route-static 0.0.0.0 0.0.0.0 192.168.0.1

【TELNET不验证配置】

[SwitchA-ui-vty0-4]authentication-mode none

【TELNET密码验证配置】

1.进入用户界面视图

[SwitchA]user-interface vty 0 4

2.设置认证方式为密码验证方式

[SwitchA-ui-vty0-4]authentication-mode password

3.设置明文密码

[SwitchA-ui-vty0-4]set authentication password simple Huawei

4.缺省情况下，从VTY用户界面登录后可以访问的命令级别为0级。需要将用户的权限设置为3，这用户可以进入系统视图进行操作，否则只有0级用户的权限

[SwitchA-ui-vty0-4]user privilege level 3

【TELNET本地用户名和密码验证配置】

1.进入用户界面视图

[SwitchA]user-interface vty 0 4

2.使用authentication-mode scheme命令，表示需要进行本地或远端用户名和口令认证。

[SwitchA-ui-vty0-4]authentication-mode scheme

3.设置本地用户名和密码

[SwitchA]local-user Huawei

[SwitchA-user-huawei]service-type telnet level 3

[SwitchA-user-huawei]password simple Huawei

4.如果不改变TELNET登录用户的权限，用户登录以后是无法直接进入其它视图的，可以设置super password，来控制用户是否有权限进入其它视图

[SwitchA]local-user Huawei

[SwitchA-user-huawei]service-type telnet

[SwitchA-user-huawei]password simple Huawei

[SwitchA]super password level 3 simple huawei

【TELNET RADIUS验证配置】

以使用huawei开发的cams作为RADIUS服务器为例

1.设置TELNET登录方式为scheme

[SwitchA-ui-vty0-4]authentication-mode scheme

2.配置RADIUS认证方案

[SwitchA]radius scheme cams

3.配置RADIUS认证服务器地址10.110.51.31

[SwitchA-radius-cams]primary authentication 10.110.51.31 1812

4.配置RADIUS计费服务器地址10.110.51.31

[SwitchA-radius-cams]primary accounting 10.110.51.31 1813

5.配置交换机与认证服务器的验证口令

[SwitchA-radius-cams]key authentication expert

6.配置交换机与计费服务器的验证口令

[SwitchA-radius-cams]key accounting expert

7.配置服务器类似为huawei，即使用CAMS

[SwitchA-radius-cams]server-type Huawei

8.送往RADIUS的报文不带域名

[SwitchA-radius-cams]user-name-format without-domain

9.创建(进入)一个域

[SwitchA]domain Huawei

10. 在域huawei中引用名为“cams”的认证方案

[SwitchA-isp-huawei]radius-scheme cams

11. 将huawei域设置为缺省域

[SwitchA]domain default enable huawei

【TELNET访问控制配置】

1.设置只允许符合ACL1的IP地址登录交换机

[SwitchA-ui-vty0-4]acl 1 inbound

2.设置规则只允许某网段登录

[SwitchA]acl number 1

[SwitchA-acl-basic-1]

[SwitchA-acl-basic-1]rule permit source 10.10.10.0 0.0.0.255

3.设置规则只禁止某网段登录

[SwitchA]acl number 1

[SwitchA-acl-basic-1]

[SwitchA-acl-basic-1]rule deny source 10.10.10.0 0.0.0.255

3 测试验证

1.PC属于vlan10可以telnet到SwitchA和SwitchB上，

2.PC属于其它vlan不能telnet到SwitchA，能够telnet到SwitchB上，就完成了。

思科远程TELNET登录的相关 文章 ：

1. cisco思科怎么配置STP

2. SSH如何加强cisco路由器远程管理安全

3. cisco路由器上配置SSH代替Telnet的详细教程

4. 详解Cisco远程管理vty线路使用教程

---