举例:配置用户通过Telnet登录设备(RADIUS服务器认证)
组网需求
网络管理员希望能够对设备进行远程管理与维护,同时对网络的安全性要求较高,希望网络不受未授权访问的干扰。可以通过配置基于ACL规则以及RADIUS认证的Telnet登录方式满足用户的需求。
如图 基于ACL规则和RADIUS认证限制Telnet登录设备组网图所示,DeviceA为Telnet服务器,网络管理员和DeviceA之间、DeviceA与RADIUS服务器之间路由可达。RADIUS服务器的IP地址为10.1.6.6/24,认证端口号为1812。
本例中interface1和interface2分别代表10GE1/0/1和10GE1/0/2。
配置思路
采用如下的思路进行配置(基于ACL规则和RADIUS认证):
- 配置设备接口相关参数。
- 配置Telnet协议,实现用户可以通过Telnet登录设备。
- 配置ACL规则,保证只有满足该规则的用户才能登录设备。
- 配置RADIUS协议,实现RADIUS认证。用户通过Telnet登录设备时使用RADIUS服务器上配置的用户名和密码,从而保证用户登录的安全性。
- 配置RADIUS服务器。
配置注意事项
- 当网络所处环境不安全时,我们建议选择安全的密码认证方式/加密认证算法/协议。安全的举例请参见:举例:配置用户通过STelnet登录设备(RADIUS服务器认证)。
- 配置前请确保各设备之间路由可达。
- 请确保设备上配置的RADIUS服务器的地址、端口号和共享密钥配置正确,并且和RADIUS服务器上的配置保持一致。
- 域被配置成全局默认管理域之后,管理用户的用户名中携带该域名或者不携带域名时,会使用全局默认管理域下的AAA配置信息。
- 请确保已在RADIUS服务器上配置了用户。本例中假设RADIUS服务器上已配置了用户admin123@huawei.com(用户名@域名),其密码为YsHsjx_202206。
- 如果RADIUS服务器不接受包含域名的用户名,还需要配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。
操作步骤
- 在用户视图下执行命令install feature-software WEAKEA安装弱安全算法/协议特性包(WEAKEA)。
- 配置接口的相关参数。
# 配置接口IP地址。
<HUAWEI> system-view [HUAWEI] sysname DeviceA [DeviceA] vlan batch 10 20 [DeviceA] interface 10ge 1/0/1 [DeviceA-10GE1/0/1] portswitch [DeviceA-10GE1/0/1] port link-type trunk [DeviceA-10GE1/0/1] port trunk allow-pass vlan 10 [DeviceA-10GE1/0/1] quit [DeviceA] interface 10ge 1/0/2 [DeviceA-10GE1/0/2] portswitch [DeviceA-10GE1/0/2] port link-type trunk [DeviceA-10GE1/0/2] port trunk allow-pass vlan 20 [DeviceA-10GE1/0/2] quit [DeviceA] interface vlanif 10 [DeviceA-Vlanif10] ip address 10.1.1.2 255.255.255.0 [DeviceA-Vlanif10] quit [DeviceA] interface vlanif 20 [DeviceA-Vlanif20] ip address 10.1.6.2 255.255.255.0 [DeviceA-Vlanif20] quit
- 配置服务器的端口号以及开启Telnet服务器功能。
[DeviceA] telnet server enable [DeviceA] telnet server port 1025 [DeviceA] telnet server-source all-interface
- 配置VTY用户界面的相关参数。
# 配置VTY用户界面0~4的认证方式为AAA认证、支持的协议为Telnet。
[DeviceA] user-interface vty 0 4 [DeviceA-ui-vty0-4] authentication-mode aaa [DeviceA-ui-vty0-4] protocol inbound telnet [DeviceA-ui-vty0-4] user privilege level 3 [DeviceA-ui-vty0-4] quit
# 配置ACL规则允许管理员登录,其中管理员PC的IP地址为10.137.217.10。
[DeviceA] acl 2000 [DeviceA-acl4-basic-2000] rule permit source 10.137.217.10 0 [DeviceA-acl4-basic-2000] quit [DeviceA] user-interface vty 0 4 [DeviceA-ui-vty0-4] acl 2000 inbound [DeviceA-ui-vty0-4] quit
- 配置RADIUS认证。
# 配置RADIUS服务器模板,实现与RADIUS服务器的通信。
[DeviceA] radius-server template template1 [DeviceA-radius-template1] radius-server authentication 10.1.6.6 1812 weight 80 [DeviceA-radius-template1] radius-server shared-key cipher YsHsjx_202206 [DeviceA-radius-template1] quit
# 配置AAA认证方案,指定认证方式为RADIUS。
[DeviceA] aaa [DeviceA-aaa] authentication-scheme auth1 [DeviceA-aaa-authen-auth1] authentication-mode radius [DeviceA-aaa-authen-auth1] quit
# 创建域,并在域下引用AAA认证方案及RADIUS服务器模板。
[DeviceA-aaa] domain huawei.com [DeviceA-aaa-domain-huawei.com] authentication-scheme auth1 [DeviceA-aaa-domain-huawei.com] radius-server template1 [DeviceA-aaa-domain-huawei.com] quit [DeviceA-aaa] quit
# 配置huawei.com为全局默认管理域,这样管理员登录设备时就不需要输入域名。
[DeviceA] domain huawei.com admin
- 配置RADIUS服务器。
配置步骤包括:添加设备、添加用户、配置授权用户级别为3。
检查配置结果
# 设置管理员PC的IP地址为10.137.217.10,进入管理员PC的Windows的命令行提示符,执行相关命令,通过Telnet方式登录设备。
C:\Documents and Settings\Administrator> telnet 10.1.1.2 1025
# 在登录界面根据提示输入RADIUS服务器上配置的用户名admin123和密码YsHsjx_202206,并按Enter键,验证通过,用户成功通过Telnet登录到DeviceA。(以下显示仅为示意)
Username:admin123 Password: Info: The max number of VTY users is 21, the number of current VTY users online is 1, and total number of terminal users online is 1. [DeviceA]
配置脚本
#
sysname DeviceA
#
acl number 2000
rule 5 permit source 10.137.217.10 0
#
radius-server template template1
radius-server shared-key cipher %+%##!!!!!!!!!"!!!!"!!!!*!!!!SKvr${[Fs.3t@/5k|BENhEu>W(3\~XG!!D;!!!!!2jp5!!!!!!A!!!!3"pK8qv!}9M#(4$jGWvQF/R[CNe/+:W^jk8HUe&W%+%#
radius-server authentication 10.1.6.6 1812 weight 80
#
aaa
authentication-scheme auth1
authentication-mode radius
domain huawei.com
authentication-scheme auth1
radius-server template1
#
domain huawei.com admin
#
vlan batch 10 20
#
interface Vlanif10
ip address 10.1.1.2 255.255.255.0
#
interface Vlanif20
ip address 10.1.6.2 255.255.255.0
#
interface 10GE1/0/1
port link-type trunk
port trunk allow-pass vlan 10
#
interface 10GE1/0/2
port link-type trunk
port trunk allow-pass vlan 20
#
telnet server enable
telnet server-source all-interface
telnet server port 1025
#
user-interface vty 0 4
acl 2000 inbound
authentication-mode aaa
user privilege level 3
protocol inbound telnet
return
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2793.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。
THE END
0
二维码
打赏
海报
举例:配置用户通过Telnet登录设备(RADIUS服务器认证)
组网图形
图1 基于ACL规则和RADIUS认证限制Telnet登录设备组网图
组网需求
配置思路
配置注意事项
操作步骤
检查配置结果
配置脚本
组网需求
网络管理员希望能够对设备进行远程管理与维护,同时对网络的安全性要求较高,希望网络不受未授权访问的干扰。可以通过配置基于ACL规则以及RADIUS认证的Telnet登录方式满足用户的需求。
如图 基于ACL规则和RADIUS认证限制Telnet登录设备组网图所示,DeviceA为Telnet服务器,网络管理员和DeviceA之间、DeviceA与RADIUS服务器之间路由可达。RADIUS服务器的IP地址为10.1.6.6/24,认证端口号为1812。
本例中interface1和interface2分别代表10GE1/0/1和10GE1/0/2。
配置思路
采用如下的思路进行配置(基于ACL规则和RADIUS认证):
配置设备接口相关参数。
配置Telnet协议,实现用户可以通过Telnet登录设备。
配置ACL规则,保证只有满足该规则的用户才能登录设备。
配置RADIUS协议,实现RADIUS认证。用户通过Telnet登录设备时使用RADIUS服务器上配置的用户名和密码,从而保证用户登录的安全性。
配置RADIUS服务器。
配置注意事项
当网络所处环境不安全时,我们建议选择安全的密码认证方式/加密认证算法/协议。安全的举例请参见:举例:配置用户通过STelnet登录设备(RADIUS服务器认证)。
配置前请确保各设备之间路由可达。
请确保设备上配置的RADIUS服务器的地址、端口号和共享密钥配置正确,并且和RADIUS服务器上的配置保持一致。
域被配置成全局默认管理域之后,管理用户的用户名中携带该域名或者不携带域名时,会使用全局默认管理域下的AAA配置信息。
请确保已在RADIUS服务器上配置了用户。本例中假设RADIUS服务器上已配置了用户admin123@huawei.com(用户名@域名),其密码为YsHsjx_202206。
如果RADIUS服务器不接受包含域名的用户名,……
共有 0 条评论