S3600系列交换机在远程Radius认证不成功的条件下转为本地认证的配置

S3600系列交换机在远程Radius认证不成功的条件下转为本地Radius认证的配置

一 组网需求：

1．对于telnet用户先通过交换机进行远程Radius认证，在远程Radius认证不成功的条件下，转为本地Radius认证；

2．此案例同时适用于以下产品：

H3C 3100、5100、5600系列交换机

二 组网图：

三 配置步骤：

1 配置Radius策略

[H3C]radius scheme test

[H3C-radius- test]primary authentication 1.0.0.100 1812

[H3C-radius- test]primary accounting 1.0.0.100 1813

[H3C-radius- test]secondary authentication 127.0.0.1 1645

[H3C-radius- test]secondary accounting 127.0.0.1 1646

[H3C-radius- test]key authentication expert

[H3C-radius- test]key accounting expert

[H3C-radius- test]user-name-format without-domain

2 配置域

[H3C]domain cams

3 配置域和Radius的关联

[H3C-isp-cams]scheme radius-scheme test

4 配置本地用户

[H3C]local-user h3c

[H3C-h3c]password simple h3c

[H3C-h3c]service-type telnet level 3

5 设置telnet用户的认证方式

[H3C]user-interface vty 0 4

[H3C-ui-vty0-4]authentication-mode scheme

6 配置在远程认证失败时，本地认证的key

[H3C]local-server nas-ip 127.0.0.1 key expert

四 配置关键点：

1．要注意[H3C]local-server nas-ip 127.0.0.1 key expert该命令中的key要跟前面配置的scheme中的key一致。