华为交换机和路由器如何配置radius来实现RSA Securid的认证使用

xuesn

华为的路由器和交换机想通过RSA Securid来实现认证登陆,必须采用配置radius的方式来实现　　举例:
　　radius nas-ip XXX.XXX.XXX.XXX
　　radius scheme system
　　primary authentication YYY.YYY.YYY.YYY 1645
　　secondary authentication ZZZ.ZZZ.ZZZ.ZZZ 1645
　　accounting optional
　　key authentication huawei
　　user-name-format without-domain
　　domain system
　　scheme radius-scheme system
　　vlan-assignment-mode integer
　　access-limit disable
　　state active
　　idle-cut disable
　　self-service-url disable
　　domain default enable system
　　user-interface vty 0 4
　　authentication-mode scheme
　　说明:
　　radius nas-ip XXX.XXX.XXX.XXX {配置本机RADIUS服务器的相关参数，nas-ip用来配置接入服务器的IP地址，key用来配置登录用户的密码}
　　radius scheme system {指定当前ISP域引用的RADIUS服务器组。此处RADIUS服务器组名为“system”}
　　server-type huawei {配置指定用户的服务类型}
　　primary authentication 127.0.0.1 1645 {配置主RADIUS认证/授权的IP地址和端口号,目前环境没有AAA服务器}
　　primary accounting 127.0.0.1 1646 {配置主RADIUS计费服务器的IP地址和端口号}
　　user-name-format without-domain {配置发送给RADIUS服务器的用户名格式。指定发送给RADIUS服务器的用户名不带域名}
　　domain system {创建一个ISP域，缺省情况下，系统中已创建了一个名为“system”的ISP域。ISP域即ISP用户群，一个ISP域即是由同属于一个 ISP的用户构成的用户群。引入ISP域的设置是为了支持多ISP的应用环境：在这种环境中，同一个接入设备接入的有可能是不同ISP的用户。由于各 ISP用户的用户属性（例如用户名及密码构成、服务类型/权限等）有可能各不相同，因此有必要通过设置ISP域的方法把它们区别开。在ISP域视图下，可以为每个ISP域配置包括AAA策略（使用的RADIUS服务器组等）在内的一整套单独的ISP域属性。对于交换机来说，每个接入用户都属于一个ISP 域。系统中最多可以配置16个ISP域。}
　　radius-scheme system
　　access-limit disable {表示不对当前ISP域可容纳的接入用户数作限制}
　　state active {指定当前ISP域/当前用户处于活动状态，即系统允许该域下的用户/当前用户请求网络服务}
　　idle-cut disable {配置当前ISP域下的用户模板,表示禁止用户启用闲置切断功能}
　　self-service-url disable
　　messenger time disable
　　domain default enable system
　　必须在user-interface vty 0 4中设置认证模式设备为"scheme"，不同型号具体参数略有不同。
　　authentication-mode scheme