1677597536,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区

问题描述：

S5110交换机配置radiu认证，Radius认证失败后，可以切换到本地认证SSH，这个应该如何配置操作呢，操作机型为S5110

组网及组网描述：

12小时前提问

 Telnet用户的local认证、HWTACACS授权、RADIUS计费配置

1. 组网需求

如下图所示，Telnet用户主机与Switch直接相连，Switch分别与一台RADIUS服务器和一台HWTACACS服务器相连，需要实现对登录Switch的Telnet用户进行local认证，HWTACACS授权和RADIUS计费。

·     一台HWTACACS服务器（担当授权服务器的职责）与Switch相连，服务器IP地址为10.1.1.2。Switch与授权HWTACACS服务器交互报文时的共享密钥为expert，发送给HWTACACS服务器的用户名中不带域名。

·     一台RADIUS服务器（担当计费服务器的职责）与Switch相连，服务器IP地址为10.1.1.1。Switch与计费RADIUS服务器交互报文时的共享密钥为expert。

2. 组网图

图1-10 Telnet用户local认证、HWTACACS授权和RADIUS计费配置组网图

 

3. 配置步骤

# 配置各接口的IP地址（略）。

# 开启Switch的Telnet服务器功能。

<Switch> system-view

[Switch] telnet server enable

# 配置Telnet用户登录采用AAA认证方式。

[Switch] user-interface vty 0 15

[Switch-ui-vty0-15] authentication-mode scheme

[Switch-ui-vty0-15] quit

# 配置HWTACACS方案。

[Switch] hwtacacs scheme hwtac

[Switch-hwtacacs-hwtac] primary authorization 10.1.1.2 49

[Switch-hwtacacs-hwtac] key authorization expert

[Switch-hwtacacs-hwtac] user-name-format without-domain

[Switch-hwtacacs-hwtac] quit

# 配置RADIUS方案。

[Switch] radius scheme rd

[Switch-radius-rd] primary accounting 10.1.1.1 1813

[Switch-radius-rd] key accounting expert

[Switch-radius-rd] server-type extended

[Switch-radius-rd] user-name-format without-domain

[Switch-radius-rd] quit

# 创建本地用户hello。

[Switch] local-user hello

[Switch-luser-hello] service-type telnet

[Switch-luser-hello] password simple hello

[Switch-luser-hello] quit

# 配置ISP域的AAA方法。

[Switch] domain bbb

[Switch-isp-bbb] authentication login local

[Switch-isp-bbb] authorization login hwtacacs-scheme hwtac

[Switch-isp-bbb] accounting login radius-scheme rd

[Switch-isp-bbb] quit

4. 验证配置结果

用户向Switch发起Telnet连接，在Telnet客户端按照提示输入用户名hello@bbb和正确的密码后，可成功进入Switch的用户界面。在Switch上可以通过display connection命令查看到AAA用户的连接信息。

12小时前回答

有点问题，我们这边只有一个radius服务器，是想实现先弹出radius认证，如果认证不通过，那么会自动切换到3A的SSH认证

在域内调用radius方案的时候，后面加上local。新版本中应该是认证失败也能切换的

      （可选）为当前ISP域配置缺省的认证方法。

authentication default { hwtacacs-scheme hwtacacs-scheme-name [ radius-scheme radius-scheme-name ] [ local ] [ none ] | ldap-scheme ldap-scheme-name [ local ] [ none ] | local [ none ] | none | radius-scheme radius-scheme-name [ hwtacacs-scheme hwtacacs-scheme-name ] [ local ] [ none ] }

缺省情况下，当前ISP域的缺省认证方法为local。

【使用指导】

当前ISP域的缺省的认证方法对于该域中未指定具体认证方法的所有接入用户都起作用，但是如果某类型的用户不支持指定的认证方法，则该认证方法对于这类用户不能生效。

可以指定多个备选的认证方法，在当前的认证方法无效时按照配置顺序尝试使用备选的方法完成认证。例如，radius-scheme radius-scheme-name local none表示，先进行RADIUS认证，若RADIUS认证无效则进行本地认证，若本地认证也无效则不进行认证。

12小时前回答

domain login-in

 authentication login radius-scheme login-in local

先login-in，再local

11小时前回答

你正在,radius认证与本地SSH认证互为主备的远程登陆管理配置方式