Huawei

Nesse tutorial, iremos mostrar o passo a passo de configurações necessárias para integrar o seu Huawei com o Radius do Controllr.

Importante: Esse procedimento deve ser realizado em conjunto com o seu técnico ou consultor de redes.

Pré-requisitos

Antes de iniciar a configuração, certifique-se de possuir as seguintes informações:

• IP do servidor onde está instalado o Controllr
• Senha compartilhada do Radius
• IP de origem que o Huawei utilizará para comunicação com o Radius
• Conectividade de rede entre o Huawei e o servidor Controllr

Também é necessário que as seguintes portas estejam liberadas:

• 1812 — Autenticação
• 1813 — Accounting
• 3799 — CoA (Change of Authorization)

Acesso ao Equipamento

• Conecte no equipamento via SSH.

ssh user@[IP DO HUAWEI]

• Entre no modo de configuração.

system-view

Configuração do Servidor Radius

Crie um grupo Radius que será utilizado pelo Controllr.

radius-server group brbyte_controllr

Certifique-se de que está dentro do grupo criado.

[~HUAWEI-brbyte_controllr]

Configure a chave compartilhada.

radius-server shared-key-cipher [SENHA RADIUS]

Configure o servidor de autenticação.

radius-server authentication [IP DO CONTROLLR] source ip-address [IP DO HUAWEI] 1812 weight 0

Configure o servidor de accounting.

radius-server accounting [IP DO CONTROLLR] source ip-address [IP DO HUAWEI] 1813 weight 0

Configure parâmetros de retransmissão.

radius-server retransmit 2 timeout 25

Disconnect-request

radius local-ip all
radius-server authorization [IP DO CONTROLLR] destination-port 3799 shared-key-cipher [SENHA RADIUS]

Configuração de Atributos Radius

Alguns atributos são recomendados para garantir melhor compatibilidade com o Controllr.

radius-server attribute translate
radius-server user-name original
radius-server user-name trust-server-request
radius-attribute include HW-Auth-Type
radius-attribute include Reply-Message coa-nak
radius-attribute include Event-Timestamp accounting-on accounting-off
radius-attribute case-sensitive qos-profile-name

Configuração do AAA

Agora iremos configurar o mecanismo de autenticação AAA.

aaa

authentication-scheme controllr-radius
 authentication-mode local radius

Configuração do Accounting

Configure o envio de atualizações de accounting para o Radius.

accounting-scheme controllr-radius
 accounting interim interval 120
 accounting send-update

Configuração do Domain

O domain vincula o Radius à autenticação dos usuários.

domain controllr

 authentication-scheme controllr-radius
 accounting-scheme controllr-radius
 radius-server group brbyte_controllr

Boas Práticas Huawei + Controllr

Algumas configurações adicionais são recomendadas para melhorar a estabilidade da integração.

Definir a interface de origem utilizada na comunicação com o Radius.

radius-server source interface LoopBack0

Definir o NAS-IP-Address que será enviado ao Radius.

radius-server nas-ip-address [IP DO HUAWEI]

Essas configurações ajudam a evitar problemas quando o equipamento possui múltiplas interfaces ou rotas.

Testes de Conectividade

Após concluir a configuração, valide a comunicação com o servidor Controllr.

Testar conectividade com o servidor Radius.

ping [IP DO CONTROLLR]

Verificar a rota utilizada.

tracert [IP DO CONTROLLR]

Comandos para Diagnóstico

Os comandos abaixo ajudam a verificar o funcionamento da autenticação Radius.

Verificar configuração atual do Radius.

display current-configuration | section include radius

Verificar estatísticas do Radius.

display radius statistics

Verificar falhas de autenticação.

display aaa online-fail-record

Verificar usuários autenticados.

display access-user

Verificar sessões PPPoE.

display pppoe-server session

Verificar informações detalhadas de um usuário.

display access-user username [USUARIO]

Problemas Comuns

Alguns problemas comuns que podem impedir a autenticação no Radius:

• Senha Radius configurada incorretamente
• IP de origem do Huawei diferente do cadastrado no Controllr
• Firewall bloqueando as portas 1812 ou 1813
• Falta de rota entre o Huawei e o servidor do Controllr
• Domain não associado ao grupo Radius

Caso tenha dúvidas durante a configuração, entre em contato com o suporte da BrByte.

Significado dos Principais Comandos

Abaixo está o significado de alguns comandos utilizados na configuração do Radius.

radius-server group brbyte_controllr

Cria um grupo de servidores Radius que será utilizado para autenticação e contabilização dos usuários.

radius-server shared-key-cipher [SENHA RADIUS]

Define a senha compartilhada utilizada na comunicação entre o Huawei e o servidor Radius.

radius-server authentication [IP DO CONTROLLR]

Define o servidor Radius responsável pela autenticação dos usuários.

radius-server accounting [IP DO CONTROLLR]

Define o servidor Radius responsável pelo envio das informações de contabilização (accounting).

radius-server retransmit 2 timeout 25

Define a quantidade de tentativas e o tempo de espera para comunicação com o servidor Radius.

radius-server attribute translate

Habilita a tradução de atributos Radius proprietários utilizados pelo equipamento Huawei.

radius-server user-name original

Envia para o Radius o nome de usuário original recebido na autenticação.

radius-server user-name trust-server-request

Permite que o equipamento aceite alterações de nome de usuário vindas do servidor Radius.

radius-attribute include HW-Auth-Type

Inclui no pacote Radius o atributo de tipo de autenticação utilizado pelo Huawei.

radius-attribute include Reply-Message coa-nak

Permite o envio de mensagens de resposta do Radius para o equipamento.

radius-attribute include Event-Timestamp accounting-on accounting-off

Inclui timestamp nos eventos de início e término de sessão.

radius-attribute case-sensitive qos-profile-name

Faz com que os nomes de perfis de QoS sejam tratados diferenciando letras maiúsculas e minúsculas.

radius-server source interface LoopBack0

Define qual interface será utilizada como origem dos pacotes Radius.

radius-server nas-ip-address [IP DO HUAWEI]

Define o NAS-IP-Address que será enviado ao servidor Radius para identificar o equipamento.

authentication-scheme controllr-radius

Cria um método de autenticação que utilizará o Radius.

accounting-scheme controllr-radius

Define o método de envio das informações de accounting para o Radius.

domain controllr

Define o domínio utilizado para autenticação dos usuários PPPoE/IPoE.

Configuração Completa (Resumo)

Abaixo está um exemplo com todos os comandos utilizados no tutorial.

system-view

radius local-ip all
radius-server authorization [IP DO CONTROLLR] destination-port 3799 shared-key-cipher [SENHA RADIUS]

radius-server group brbyte_controllr
 radius-server shared-key-cipher [SENHA RADIUS]
 radius-server authentication [IP DO CONTROLLR] source ip-address [IP DO HUAWEI] 1812 weight 0
 radius-server accounting [IP DO CONTROLLR] source ip-address [IP DO HUAWEI] 1813 weight 0
 radius-server retransmit 2 timeout 25
 radius-server attribute translate
 radius-server user-name original
 radius-server user-name trust-server-request
 radius-attribute include HW-Auth-Type
 radius-attribute include Reply-Message coa-nak
 radius-attribute include Event-Timestamp accounting-on accounting-off
 radius-attribute case-sensitive qos-profile-name

aaa

authentication-scheme controllr-radius
 authentication-mode local radius

accounting-scheme controllr-radius
 accounting interim interval 120
 accounting send-update

domain controllr
 authentication-scheme controllr-radius
 accounting-scheme controllr-radius
 radius-server group brbyte_controllr

radius-server source interface LoopBack0
radius-server nas-ip-address [IP DO HUAWEI]