举例:配置用户通过STelnet登录设备(RADIUS服务器认证)

SE_YT 2024-12-30 交换机 7 阅读

组网图形

图1 通过STelnet登录设备(基于RADIUS认证)组网图
  • 组网需求
  • 配置思路
  • 配置注意事项
  • 操作步骤
  • 检查配置结果
  • 配置脚本

组网需求

网络管理员希望通过安全的方式远程登录设备,同时对网络的安全性要求较高,希望网络不受未授权访问的干扰。可以通过配置基于RADIUS认证的STelnet满足用户的需求。

图 通过STelnet登录设备(基于RADIUS认证)组网图所示,DeviceA为SSH服务器,与RADIUS服务器之间路由可达。RADIUS服务器的IP地址为10.1.6.6,认证端口号为1812。

本例中interface1和interface2分别代表10GE1/0/110GE1/0/2

配置思路

采用如下思路配置通过STelnet登录设备(基于RADIUS认证):

  1. 配置设备接口相关参数。
  2. 在SSH服务器端生成本地密钥对,实现在服务器端和客户端进行安全地数据交互。
  3. 配置STelnet协议,实现用户可以通过STelnet登录设备。
  4. 配置ACL规则,保证只有满足该规则的用户才能登录设备。
  5. 配置RADIUS协议,实现RADIUS认证。用户通过STelnet登录设备时使用RADIUS服务器上配置的用户名和密码,从而保证用户登录的安全性。
  6. 配置RADIUS服务器。

配置注意事项

  • 配置STelnet登录设备前,用户终端应该已安装SSH服务器登录软件。
  • 请确保用户终端和登录的设备及RADIUS服务器之间均路由可达。
  • 域被配置成全局默认管理域之后,管理用户的用户名中携带该域名或者不携带域名时,会使用全局默认管理域下的AAA配置信息。
  • 请确保已在RADIUS服务器上配置了用户。本例中假设RADIUS服务器上已配置了用户admin123@huawei.com(用户名@域名),其密码为YsHsjx_202206
  • 如果RADIUS服务器不接受包含域名的用户名,还需要配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。

操作步骤

  1. 配置接口的相关参数。

    # 配置接口IP地址。

    <HUAWEI> system-view
[HUAWEI] sysname DeviceA
[DeviceA] vlan batch 10 20
[DeviceA] interface 10ge 1/0/1 
[DeviceA-10GE1/0/1] portswitch
[DeviceA-10GE1/0/1] port link-type trunk
[DeviceA-10GE1/0/1] port trunk allow-pass vlan 10
[DeviceA-10GE1/0/1] quit
[DeviceA] interface 10ge 1/0/2 
[DeviceA-10GE1/0/2] portswitch
[DeviceA-10GE1/0/2] port link-type trunk
[DeviceA-10GE1/0/2] port trunk allow-pass vlan 20
[DeviceA-10GE1/0/2] quit
[DeviceA] interface vlanif 10
[DeviceA-Vlanif10] ip address 10.1.1.2 255.255.255.0
[DeviceA-Vlanif10] quit
[DeviceA] interface vlanif 20
[DeviceA-Vlanif20] ip address 10.1.6.2 255.255.255.0
[DeviceA-Vlanif20] quit
  2. 配置STelnet登录。

    # 在服务器端生成本地密钥对。

    [DeviceA] rsa local-key-pair create
The key name will be:Host
The range of public key size is (2048, 4096).
NOTE: Key pair generation will take a short while.
Please input the modulus [default = 3072]:3072

    # 配置SSH服务器的VTY用户界面。

    [DeviceA] user-interface vty 0 4 
[DeviceA-ui-vty0-4] authentication-mode aaa
[DeviceA-ui-vty0-4] protocol inbound ssh
[DeviceA-ui-vty0-4] user privilege level 3
[DeviceA-ui-vty0-4] quit
    # 配置SSH服务器的公钥算法、加密算法、密钥交换算法列表、HMAC认证算法和最小密钥长度。

    [DeviceA] ssh server cipher aes128_ctr aes256_ctr aes192_ctr aes128_gcm aes256_gcm
[DeviceA] ssh server hmac sha2_256 sha2_512
[DeviceA] ssh server key-exchange dh_group_exchange_sha256 dh_group16_sha512
[DeviceA] ssh server publickey rsa_sha2_256 rsa_sha2_512

    # 在服务器端创建SSH用户,并配置认证方式为Password认证。

    [DeviceA] ssh user admin123
[DeviceA] ssh user admin123 authentication-type password

    如果需要配置多个SSH用户使用Password认证方式,可以执行命令ssh authentication-type default password将SSH用户的缺省认证方式指定为Password认证。配置完成后,不用再对每一个SSH用户配置认证方式和服务类型,从而简化配置,提高效率。

    # 开启STelnet功能,并配置用户的服务类型为STelnet。

    [DeviceA] stelnet server enable
[DeviceA] ssh server-source all-interface
[DeviceA] ssh user admin123 service-type stelnet
  3. DeviceA上配置ACL规则允许管理员登录。 
    [DeviceA] acl 2000
[DeviceA-acl4-basic-2000] rule permit source 10.137.217.10 0
[DeviceA-acl4-basic-2000] quit
[DeviceA] ssh server acl 2000

    采用ACL方式配置Telnet终端服务的配置为可选配置。

  4. 配置RADIUS认证。

    # 配置RADIUS服务器模板,实现与RADIUS服务器的通信。

    [DeviceA] radius-server template template1
[DeviceA-radius-template1] radius-server authentication 10.1.6.6 1812 weight 80
[DeviceA-radius-template1] radius-server shared-key cipher YsHsjx_202206
[DeviceA-radius-template1] quit

    # 配置AAA认证方案,指定认证方式为RADIUS。

    [DeviceA] aaa
[DeviceA-aaa] authentication-scheme auth1
[DeviceA-aaa-authen-auth1] authentication-mode radius
[DeviceA-aaa-authen-auth1] quit

    # 创建域,并在域下引用AAA认证方案及RADIUS服务器模板。

    [DeviceA-aaa] domain huawei.com
[DeviceA-aaa-domain-huawei.com] authentication-scheme auth1
[DeviceA-aaa-domain-huawei.com] radius-server template1
[DeviceA-aaa-domain-huawei.com] quit
[DeviceA-aaa] quit

    # 配置huawei.com为全局默认管理域,这样管理员登录设备时就不需要输入域名。

    [DeviceA] domain huawei.com admin
  5. 配置RADIUS服务器。

    配置步骤包括:添加设备、添加用户、配置授权用户级别为3。

检查配置结果

客户端通过OpenSSH软件登录SSH服务器。进入Windows的命令行提示符,执行OpenSSH命令,通过STelnet方式访问设备。在登录界面根据提示输入RADIUS服务器上配置的用户名admin123和密码YsHsjx_202206,并按Enter键,验证通过,用户成功通过STelnet登录到DeviceA。(以下显示仅为示意)

C:\Documents and Settings\Administrator> ssh admin123@10.1.1.2
Enter passphrase for key 'C:\Users\User/.ssh/id_rsa':
Enter password:

Warning: Negotiated key exchange algorithm and identity key for server authentication are not safe. It is recommended that you disable the insecure algorithm or upgrade the client.

Warning: The initial password poses security risks.
The password needs to be changed. Change now? [Y/N]:n
Info: The max number of VTY users is 21, the number of current VTY users online is 1, and total number of terminal users online is 2.
      The current login time is 2022-09-28 12:07:34.
      The last login time is 2022-09-28 06:44:35 from 172.16.0.1 through SSH.
      The last login failure time is 2022-09-28 11:59:21 from 172.16.0.1 through SSH. Consecutive login failures since the last successful login: 3.
<DeviceA>

配置脚本

#
sysname DeviceA
#
acl number 2000
 rule 5 permit source 10.137.217.10 0
#
radius-server template template1                                                        
 radius-server shared-key cipher %+%##!!!!!!!!!"!!!!"!!!!*!!!!SKvr${[Fs.3t@/5k|BENhEu>W(3\~XG!!D;!!!!!2jp5!!!!!!A!!!!3"pK8qv!}9M#(4$jGWvQF/R[CNe/+:W^jk8HUe&W%+%#
 radius-server authentication 10.1.6.6 1812 weight 80                           
#
aaa
 authentication-scheme auth1    
  authentication-mode radius   
 domain huawei.com            
  authentication-scheme auth1     
  radius-server template1      
#  
domain huawei.com admin 
#
vlan batch 10 20
#
interface Vlanif10
 ip address 10.1.1.2 255.255.255.0
#
interface Vlanif20
 ip address 10.1.6.2 255.255.255.0
#
interface 10GE1/0/1
 port link-type trunk
 port trunk allow-pass vlan 10
#
interface 10GE1/0/2
 port link-type trunk
 port trunk allow-pass vlan 20
#
stelnet server enable
ssh user admin123
ssh user admin123 authentication-type password
ssh user admin123 service-type stelnet
ssh server-source all-interface
ssh server acl 2000
#
user-interface vty 0 4           
 authentication-mode aaa 
 user privilege level 3
 protocol inbound ssh
#
ssh server cipher aes128_ctr aes256_ctr aes192_ctr aes128_gcm aes256_gcm
ssh server hmac sha2_256 sha2_512
ssh server key-exchange dh_group_exchange_sha256 dh_group16_sha512
ssh server publickey rsa_sha2_256 rsa_sha2_512
#
return

版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/2797.html
来源:CNESA
文章版权归作者所有,未经允许请勿转载。

THE END
分享
二维码
打赏
海报
举例:配置用户通过STelnet登录设备(RADIUS服务器认证)
组网图形 图1 通过STelnet登录设备(基于RADIUS认证)组网图 组网需求 配置思路 配置注意事项 操作步骤 检查配置结果 配置脚本 组网需求 网络管理员希望通过安全的方式远程登录设备,同时对网络的安全性要求较高,希望网络不受未授权访问的干扰。可以通过配置基于RADIUS认证的STelnet满足用户的需求。 如图 通过STelnet登录设备(基于RADIUS认证)组网图所示,DeviceA为SSH服务器,与RADIUS服务器之间路由可达。RADIUS服务器的IP地址为10.1.6.6,认证端口号为1812。 本例中interface1和interface2分别代表10GE1/0/1和10GE1/0/2。 配置思路 采用如下思路配置通过STelnet登录设备(基于RADIUS认证): 配置设备接口相关参数。 在SSH服务器端生成本地密钥对,实现在服务器端和客户端进行安全地数据交互。 配置STelnet协议,实现用户可以通过STelnet登录设备。 配置ACL规则,保证只有满足该规则的用户才能登录设备。 配置RADIUS协议,实现RADIUS认证。用户通过STelnet登录设备时使用RADIUS服务器上配置的用户名和密码,从而保证用户登录的安全性。 配置RADIUS服务器。 配置注意事项 配置STelnet登录设备前,用户终端应该已安装SSH服务器登录软件。 请确保用户终端和登录的设备及RADIUS服务器之间均路由可达。 域被配置成全局默认管理域之后,管理用户的用户名中携带该域名或者不携带域名时,会使用全局默认管理域下的AAA配置信息。 请确保已在RADIUS服务器上配置了用户。本例中假设RADIUS服务器上已配置了用户admin123@huawei.com(用户名@域名),其密码为YsHsjx_202206。 如果RADIUS服务器不接受包含域名的用户名,还需要配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。 操作步骤 配置接口的相关参数。 # 配置……
<<上一篇
下一篇>>