Este ejemplo se aplica a todos los modelos AR de todas las versiones.
Requisitos de red
Como se muestra en la Figura 1, un usuario accede a la red a través del router. El usuario pertenece al dominio huawei.com y el nivel de usuario es 3. El usuario no necesita usar algunos comandos de nivel 3. Para implementar una administración refinada y garantizar la seguridad del dispositivo, configure el router para que realice la autorización de línea de comandos para el usuario a través de HWTACACS y registre los comandos ejecutados por el usuario.
La dirección IP del servidor HWTACACS es 10.1.6.6/24, el número de puerto de autenticación es 49 y el número de puerto de autorización es 49.
Figura 1 autorización de línea de comandos basada en HWTACACS.
Procdimiento
Configuración del Router.
#
sysname Router
#
hwtacacs-server template 1 //Configuración de template HWTACACS server.
hwtacacs-server authentication 10.1.6.6 weight 80 //Configurar un servidor de autenticación HWTACACS.
hwtacacs-server authorization 10.1.6.6 weight 80 //Configurar un servidor de autorizacion HWTACACS.
hwtacacs-server shared-key cipher %^%#z3#CA>MtbD=>A]Ts;au$;&I!<sN~"B!++2S8'--;%^%# //Set the shared key between router and HWTACACS server to Hello@1234.
#
aaa
authentication-scheme sch1 // Crear el esquema de autenticación sch1.
authentication-mode hwtacacs
authorization-scheme ht // Crear el esquema de autorizacion ht.
authorization-mode hwtacacs
authorization-cmd 3 hwtacacs // Configure la autorización de línea de comandos para los usuarios en el nivel 3.
recording-scheme scheme0 // Crear el esquema de registro scheme0.
recording-mode hwtacacs 1 // Asocie una plantilla de servidor HWTACACS con el esquema de registro scheme0.
cmd recording-scheme scheme0 // Configurar scheme0 para grabar los comandos ejecutados en el dispositivo.
service-scheme sch1 // Crear el esquema de servicio sch1.
admin-user privilege level 15
domain huawei.com // Crea el dominio huawei.com.
authentication-scheme sch1 // Especifique el esquema de autenticación HWTACACS para los usuarios en este dominio.
authorization-scheme ht //Especifique el esquema de autorización HWTACACS para los usuarios en este dominio.
service-scheme sch1 //Especifique el esquema de servicio para los usuarios en este dominio.
hwtacacs-server 1 // Especifique la plantilla del servidor HWTACACS para los usuarios en este dominio.
#
interface GigabitEthernet1/0/1
ip address 10.1.2.10 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 10.1.6.10 255.255.255.0
#
telnet server enable //Habilitar el servidor Telnet.
#
user-interface maximum-vty 15 // Establezca el número máximo de usuarios que inician sesión en la interfaz de usuario de VTY en 15.
user-interface vty 0 14
authentication-mode aaa // Establezca el modo de autenticación para la interfaz de usuario VTY en AAA.
#
return
Verify the configuration.
# Elija Start > Run en su computadora e ingrese en cmd para abrir la ventada de lina de comandos de windows. Ejecute el comenado telnet e ingrese el nombre de usuario user1@huawei.com y el password Huawei@1234 para ingresar al dispositivo mediante Telnet.
C:\Documents and Settings\Administrator> telnet 10.1.2.10
Username:user1@huawei.com
Password:***********
<Router>// El administrador inicia sesión correctamente en el dispositivo.
# Ejecute el comando display authorization-scheme ht. El resultado del comando muestra que la autorización de la línea de comandos está configurada para usuarios de nivel 3.
<Huawei> display authorization-scheme ht
---------------------------------------------------------------------------
Authorization-scheme-name : ht
Authorization-method : HWTACACS
Authorization-cmd level 0 : Disabled
Authorization-cmd level 1 : Disabled
Authorization-cmd level 2 : Disabled
Authorization-cmd level 3 : Enabled ( HWTACACS )
Authorization-cmd level 4 : Disabled
Authorization-cmd level 5 : Disabled
Authorization-cmd level 6 : Disabled
Authorization-cmd level 7 : Disabled
Authorization-cmd level 8 : Disabled
Authorization-cmd level 9 : Disabled
Authorization-cmd level 10 : Disabled
Authorization-cmd level 11 : Disabled
Authorization-cmd level 12 : Disabled
Authorization-cmd level 13 : Disabled
Authorization-cmd level 14 : Disabled
Authorization-cmd level 15 : Disabled
Authorization-cmd no-response-policy : Online
---------------------------------------------------------------------------
Notas de configuración
El router y el servidor HWTACACS deben usar el mismo número de puerto de autenticación.
El router y el servidor HWTACACS deben usar la misma clave compartida.
Debe haber una ruta accesible entre el router y el servidor HWTACACS.