【文章內(nèi)容簡介】 果顯示 UDV 0 已經(jīng)被其他廠家的設(shè)備占用，請將 addUDV 0 d:\ 命令中的參數(shù) “ 0” 改為其他沒有被占用的數(shù)值。 圖 2 （ 6）如果使用 listUDV 命令，能看到 “ Radius（ Huawei） ” 屬性，則說明已經(jīng)將華為擴展屬性成功導(dǎo)入 ACS。 配置 ACS （ 1） 配置 AAA Client： 在 Network Configuration 中新建一個 AAA Client（或使用原有的）（如圖 圖 4）。 圖 3 圖 4 各參數(shù)說明如下： AAA Client Hostname： AAA 客戶端設(shè) 備名。比如 HWS6506R。 AAA Client IP Address： AAA 客戶端設(shè)備的 IP 地址。該地址必須與設(shè)備送到 ACS上的認(rèn)證報文所帶的源 IP地址相同。比如 。 Key： Radius 客戶端與服務(wù)器端的加密密鑰。只有在密鑰一致的情況下，雙方才能彼此接受對方發(fā)來的報文，并作出響應(yīng)。 Authenticate Using：認(rèn)證方式。此處選擇新添加的 Radius（ Huawei）屬性。 配置完成后，點擊 “ Sumbit＋ Restart” 按鈕，使配置生效。 （ 2） 配置 Interface 在 Interface Configuration 界面，選中新添加的華為擴展屬性，使其出現(xiàn)在Group（組）編輯界面（如圖 圖 6） 圖 5 圖 6 （ 3） 配置 Group 在 Group Setup 中的 Radius（ IETF）欄，選擇服務(wù)類型為 Login， LoginService為 Tel；同時，在 Radius（ Huawei）欄，為該 Group 選擇相應(yīng)的華為設(shè)備操作權(quán)限，有 0－ 3級四種（如圖 圖 8）。 圖 7 圖 8 （ 4） 添加 User 在 User Setup 中新建用戶名，并設(shè)置密碼，然后將其歸類到不同的 Group 中，從而使其在 Tel 到華為設(shè)備上，擁有對應(yīng)的操作權(quán)限（如圖 圖 10）。 圖 9 圖 10 用戶要求 ACS 的 3A 認(rèn)證 可用時 ，本地認(rèn)證不能夠使用，只有 ACS失效時，才能啟用本地認(rèn)證通過在 SYSTEM 域下配置相關(guān)參數(shù)并配置 “scheme radiusscheme（ hwtacas－ scheme） icbcxj local” 屏蔽 system 默認(rèn)配置，可以實現(xiàn)客戶要求。 S3552P 的 Radius配置 sysname Quidway super password level 3 simple tjfh radius scheme system servertype huawei primary authentication 1645 primary accounting 1646 usernameformat withoutdomain radius scheme hwra2 primary authentication 1812 secondary authentication 1812 key authentication cisco key accounting cisco usernameformat withoutdomain nasip domain system radiusscheme hwra2 accesslimit disable state active vlanassignmentmode integer idlecut disable selfserviceurl disable messenger time disable domain default enable system localserver nasip key cisco localuser localadmin password simple icbctj servicetype tel level 1 userinterface vty 0 4 authenticationmode scheme TACACS 方式下配置 CISCO ACS （ 1） 配置 AAA Client 在 Network Configuration 中新建一個 AAA Client（或使用原有的）， AAA Client 的 IP 地址，密碼一定要配置正確，同時認(rèn)證類型選擇 TACACS＋。 （ 2） 配置或檢查一下 AAA server 的配置 一般情況下 AAA server 用戶已經(jīng)配好，不需要我們配置，按照下圖所示檢查用戶的配置沒什么問題就行， AAA server 的類型選擇成 CiscoSecure ACS 和TACACS+都可以。 （ 3） 配置 Interface Configuration 選擇 Interface Configuration 中的 TACACS+（ Cisco IOS）進(jìn)行 TACACS+的相關(guān)屬性配置，選擇 PPP IP 和 Sell（ exec）就行了。 （ 4） 配置用戶組的相關(guān)屬性 按照下圖所示配置用戶組中的 TACACS+選項，一定要選擇 PPP IP 、 Shell(exec)，并且對 Privilege Level 進(jìn)行設(shè)置一般設(shè)置為 3，也可以設(shè)置為 0、 2 對應(yīng)我們設(shè)備的用戶操作級別，如果不設(shè)置則無法登錄。 （ 5） 添加 User 在 User Setup 中新建用戶名，并設(shè)置密碼，然后將其歸類到不同的 Group 中，從而使其在 Tel 到華為設(shè)備上，擁有對應(yīng)的操作權(quán)限 TACACS 認(rèn)證交換機參考配置 hwtacacs scheme hwra2 //系統(tǒng)默認(rèn)沒有 tacacs scheme 根 據(jù)需要創(chuàng)建 nasip primary authentication primary authorization primary accounting key authentication cisco key authorization cisco key accounting cisco usernameformat withoutdomain domain sys