目录
通过STelnet登录交换机(基于RADIUS认证)简介
配置注意事项
组网需求
配置思路
操作步骤
配置文件
组网图形
SSH(Secure Shell)协议实现在不安全网络上提供安全的远程登录,保证了数据的完整性和可靠性,实现了数据的安全传输。STelnet基于SSH协议,提供安全的信息保障和强大认证功能,保护交换机不受IP欺骗等攻击。缺省情况下,用户不能直接通过STelnet方式登录交换机,而是需要先通过Console口或Telnet方式登录交换机,并配置STelnet功能及用户界面参数。
RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性又允许远程用户访问的各种网络环境中。配置了基于RADIUS认证的STelnet登录后,当用户登录交换机时,交换机将用户的用户名和密码等信息发送给RADIUS服务器,由RADIUS服务器来进行统一认证,同时记录这些用户的操作行为,从而有效的保证了网络的安全性。
以下涉及的命令行及回显信息以V200R006C00版本的S7700交换机为例。
网络管理员希望通过安全的方式远程登录交换机,同时对网络的安全性要求较高,希望网络不受未授权访问的干扰。可以通过配置基于RADIUS认证的STelnet满足用户的需求。
如图1所示,Switch作为SSH服务器,与RADIUS服务器之间路由可达。RADIUS服务器的IP地址为10.2.1.1/24,认证端口号为1812。
采用如下思路配置通过STelnet登录交换机(基于RADIUS认证):
在SSH服务器端生成本地密钥对,实现在服务器端和客户端进行安全地数据交互。
配置STelnet协议,实现用户可以通过STelnet登录交换机。
配置RADIUS协议,实现RADIUS认证。用户通过STelnet登录交换机时使用RADIUS服务器上配置的用户名和密码,从而保证用户登录的安全性。
# 在服务器端生成本地密钥对
<HUAWEI> system-view
[HUAWEI] sysname Switch
[HUAWEI] dsa local-key-pair create //生成本地DSA密钥对。
Info: The key name will be: HUAWEI_Host_DSA.
Info: The key modulus can be any one of the following : 1024, 2048.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=2048]:
Info: Generating keys...
Info: Succeeded in creating the DSA host keys.
# 配置VTY用户界面。
[Switch] stelnet server enable //使能STelnet服务器功能。
[Switch] ssh server-source -i Vlanif 10 //配置服务器端的源接口为10.1.1.1对应的接口,假设该接口为Vlanif 10。
[Switch] user-interface vty 0 14 //进入VTY 0~VTY 14用户界面视图。
[Switch-ui-vty0-14] user privilege level 15 //配置VTY 0~VTY 14的用户级别为15级。
[Switch-ui-vty0-14] authentication-mode aaa //配置VTY 0~VTY 14的用户认证方式为AAA认证。
[Switch-ui-vty0-14] protocol inbound ssh //配置VTY 0~VTY 14的用户界面支持SSH协议。
[Switch-ui-vty0-14] quit
# 配置SSH用户admin123的认证方式为Password认证、服务方式为STelnet。
[Switch] ssh user admin123 authentication-type password //配置SSH用户admin123的认证方式为Password认证。
[Switch] ssh user admin123 service-type stelnet //配置SSH用户admin123的服务方式为STelne 配置RADIUS服务器模板,实现与RADIUS服务器的通信。
[Switch] radius-server template 1 //进入RADIUS服务器模板视图。
[Switch-radius-1] radius-server authentication 10.2.1.1 1812 //配置RADIUS认证服务器。
[Switch-radius-1] radius-server shared-key cipher Huawei@6789 //配置RADIUS服务器的共享密钥为Huawei@6789。
[Switch-radius-1] quit
如果RADIUS服务器不接受包含域名的用户名,还需要配置命令undo radius-server user-name domain-included使交换机向RADIUS服务器发送的报文中的用户名不包含域名。
# 配置AAA认证方案,指定认证方式为RADIUS。
[Switch] aaa
[Switch-aaa] authentication-scheme sch1 //创建名为sch1的认证方案。
[Switch-aaa-authen-sch1] authentication-mode radius //配置认证模式为RADIUS认证。
[Switch-aaa-authen-sch1] quit
# 创建域,并在域下引用AAA认证方案及RADIUS服务器模板。
[Switch-aaa] domain huawei.com //创建名为huawei.com的域并进入域视图。
[Switch-aaa-domain-huawei.com] authentication-scheme sch1 //配置域的认证方案为sch1。
[Switch-aaa-domain-huawei.com] radius-server 1 //指定域的RADIUS服务器模板为1。
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit
# 配置huawei.com为全局默认管理域,这样管理员登录交换机时就不需要输入域名。
[Switch] domain huawei.com admin# 如图2所示,在PC上通过PuTTY软件登录交换机。输入交换机的IP地址,选择协议类型为SSH。
图2 通过PuTTY软件连接SSH服务器示意图
# 点击“Open”,出现如下界面。输入RADIUS服务器上配置的用户名admin123和密码Example@123,并按Enter键,验证通过,用户成功通过STelnet登录到Switch。(以下显示仅为示意)
login as: admin123
password:
Info: The max number of VTY users is 8, and the number
of current VTY users online is 2.
The current login time is 2014-07-30 09:54:02+08:00.
<Switch>
Switch的配置文件
#
sysname Switch
#
domain huawei.com admin
#
radius-server template 1
radius-server shared-key cipher %^%#}+ysUO*B&+p'NRQR0{ZW7[GA*Z*!X@o:Va15dxQAj+,$>NP>63de|G~ws,9G%^%#
radius-server authentication 10.2.1.1 1812 weight 80
#
aaa
authentication-scheme sch1
authentication-mode radius
domain huawei.com
authentication-scheme sch1
radius-server 1
#
user-interface vty 0 14
authentication-mode aaa
user privilege level 15
#
stelnet server enable
ssh server-source -i Vlanif 10
ssh user admin123
ssh user admin123 authentication-type password
ssh user admin123 service-type stelnet
#
return版权说明:如非注明,本站文章均为 扬州驻场服务-网络设备调试-监控维修-南京泽同信息科技有限公司 原创,转载请注明出处和附带本文链接。
请在这里放置你的在线分享代码