战神图录

--唐斌

一、组网需求

通常远程telnet登录设备，对设备进行管理时，使用的都是设备本地的用户名和密码（设备本身充当AAA服务器对Telnet用户进行认证），不利于维护H3C iMC EIA提供的设备管理用户功能可以非常方便地为设备管理用户提供认证，授权功能，将设备和设备管理用户完全分开，集中式管理，维护方便，降低人力成本，灵活的授权下发，增强网络安全，。本文以telnet方式登录的设备管理用户，并结合iMC EIA进行认证为例阐述iMC EIA的设备管理功能。

二、组网图

说明：

1、iMC PlAT V7.0（E0102）、iMC EIA V7.0（E0102）；

2、设备H3C S3600V2-52TP-EI，软件版本Version 5.20, Release 2108P01；

三、配置步骤

1.交换机配置

（1）配置设备管理用户登录，使用scheme方式。

[H3C]user-interface vty 0 4

[H3C-ui-vty0-4]authentication-mode scheme

（2）配置radius scheme，本例中服务器IP地址为172.16.0.9。

[H3C] radius scheme mac-1x

[H3C-radius-mac-1x]server-type extended

[H3C-radius-mac-1x]primary authentication *.*.*.*

[H3C-radius-mac-1x]primary accounting *.*.*.*

[H3C-radius-mac-1x]key authentication h3c

[H3C-radius-mac-1x]key accounting h3c

[H3C-radius-mac-1x]user-name-format without-domain

（3）配置认证domain。

[H3C]domain login

[H3C-isp-login]authentication login radius-scheme mac-1x

[H3C-isp-login]authorization login radius-scheme mac-1x

[H3C-isp-login]accounting login radius-scheme mac-1x

2.iMC管理中心的配置

（1）增加设备管理用户，如下图所示：

绑定的用户IP地址列表，指的是进行登录的终端IP必须是在IP地址列表范围内。所管理设备IP地址列表，指的是被登录设备与服务器进行radius报文通信的IP在所管理设备IP地址列表内。本例中设备地址172.16.0.11，与接入设备中的地址一致，如下图所示：

在PC上进行telnet方式登录的效果如下图所示：

如果认证日志级别为“调试”，可以在iMC中看到认证过程中的交互报文，其中认证请求报文中Server-Type（6）=1这个属性值代表设备用户的请求报文，如下图所示：

在iMC侧“用户>>用户接入日志>>设备管理用户认证日志”, 可以查看到认证成功的状态。