华为CE交换机radius认证登陆

radius服务器搭建参考centos7 下用FREERADIUS3+ldap(windowsAD)搭建radius服务器
服务器端配置：增加一个client并配置共享密钥 secret = tdops,shortname可以任意。clientIP可以是一个地址也可以是一个网段。

[root@10-57-22-55 radius]# cat /etc/raddb/clients.conf

client 172.16.200.6/32 {
        secret          = tdops
        shortname       = CE-SW
}

CE交换机配置（使用的是ce5855）

#注意加 radius server user-name domain-excluded  不然交换机会把domain信息发到认证服务器
radius server group test
 radius server shared-key-cipher tdops
 radius server authentication 10.57.22.55 1833
 radius server retransmit 2
 radius server user-name domain-excluded

#
aaa
 #
 authentication-scheme auth
  authentication-mode radius local
 #
 domain admin123
  authentication-scheme auth
  radius server group test
  #
user-interface vty 0 4
 authentication-mode aaa
 user privilege level 3
#开启telnet,用ssh测试失败
undo telnet server disable 

测试telnet（用户名需要带上域名）

去掉认证时的域名
【华为有两个默认域，就是 domain default 和domain default_admin。这两个域是不同的:
default域为接入用户（通过NAC进行认证的用户）的缺省域。
default_admin为管理员（通过HTTP，SSH，Telnet，Terminal或FTP方式登录设备的用户）的缺省域】
修改AAA命令把radius认证加到default_admin（不是default）

#
 aaa
#              
 domain default_admin
  authentication-scheme auth
  radius server group test
 #

测试不加domain成功(但是会导致本地认证的用户认证不过)