- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
33-AAA典型配置舉例
本章節下載: 33-AAA典型配置舉例 (1.85 MB)
資料版本:6W100-20190628
Copyright © 2019 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
目 錄
3 Telnet用戶的HWTACACS認證和授權配置舉例(ACS server)
4 SSH用戶的RADIUS認證和授權配置舉例(iMC server)
5 SSH用戶的RADIUS認證和授權配置舉例(ACS server)
本文檔介紹了Telnet、SSH用戶通過AAA服務器進行登錄認證和授權的配置舉例。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文假設您已了解AAA特性。
如圖1所示,通過在作為NAS的Device上配置遠程HWTACACS認證、授權功能,實現Telnet用戶的安全登錄。要求在Device上配置實現:
· HWTACACS服務器對登錄Device的Telnet用戶進行認證和授權,登錄用戶名為user@bbb,密碼為aabbcc;
· 用戶通過認證後可執行係統所有功能和資源的相關display命令。
圖1 Telnet用戶的遠端HWTACACS認證和授權配置組網圖
· 為了使HWTACACS服務器能夠識別合法的用戶,在HWTACACS服務器上添加合法的Telnet用戶名和密碼。
· 為了使用戶通過認證後可執行係統所有功能和資源的相關display命令,在HWTACACS服務器上設置用戶角色為network-operator。
· 由於本例中用戶登錄Device要通過AAA處理,因此Telnet用戶登錄的用戶界麵認證方式配置為scheme。
· 為了實現通過HWTACACS來進行認證和授權,需要在Device上配置HWTACACS方案並指定相應的認證和授權服務器,並將其應用於Telnet用戶所屬的ISP域。
· 為了在Device和HWTACACS服務器之間安全地傳輸用戶密碼,並且能在Device上驗證服務器響應報文未被篡改,在Device和HWTACACS服務器上都要設置交互報文時所使用的共享密鑰。
本舉例是在S6890-CMW710-R2712版本上進行配置和驗證的。
缺省情況下,S6890係列交換機的接口處於ADM(Administratively Down)狀態,請根據實際需要在對應接口視圖下使用undo shutdown命令開啟接口。
本文以HWTACACS服務器ACS 4.0為例,說明該例中HWTACACS的基本配置。
# 登錄進入HWTACACS管理平台,點擊左側導航欄“User-Setup”增加設備管理用戶。
· 在界麵上輸入用戶名“user@bbb”;
· 點擊按鈕“Add/Edit”進入用戶編輯頁麵。
圖2 用戶創建界麵
# 在用戶編輯頁麵上配置設備管理用戶。
· 配置用戶密碼“aabbcc”;
· 為用戶選擇組“Group 1”;
· 單擊“Submit”完成操作。
圖3 用戶密碼配置界麵
# 點擊左側導航欄“Network Configuration”,在“AAA Client Hostname”處任意命名(本例為“Device”)後開始配置網絡。
· “AAA Client IP Address”一欄填寫Device與HWTACACS服務器相連的接口的IP地址“10.1.1.2”。
· “Key”一欄填寫HWTACACS服務器和設備通信時的共享密鑰“expert”,必須和Device上HWTACACS方案裏配置的認證、授權和計費共享密鑰相同。
· 在“Authenticate Using”的下拉框裏選擇“TACACS+ (Cisco IOS)”。
· 單擊“Submit+Apply”按鈕完成配置。
圖4 網絡配置界麵
# 單擊左側導航欄“Group Setup”,選取“Group 1”(與配置設備管理用戶時為用戶選擇的組一致),單擊“Edit Settings”進入編輯區。
· 在多選框中選擇“Shell”(用戶可以執行命令);
· 在多選框中選擇“Custom attributes”,並在文本框中輸入:roles=\”network-operator\”;
· 單擊“Submit”後完成操作。
圖6 組配置界麵
# 創建VLAN 2,並將Ten-GigabitEthernet1/0/2加入VLAN 2。
[Device] vlan 2
[Device-vlan2] port ten-gigabitethernet 1/0/2
[Device-vlan2] quit
# 配置VLAN接口2的IP地址。
[Device] interface vlan-interface 2
[Device-Vlan-interface2] ip address 192.168.57.12 255.255.255.0
[Device-Vlan-interface2] quit
# 創建VLAN 3,並將Ten-GigabitEthernet1/0/1加入VLAN 3。
[Device] vlan 3
[Device-vlan3] port ten-gigabitethernet 1/0/1
[Device-vlan3] quit
# 配置VLAN接口3的IP地址。
[Device] interface vlan-interface 3
[Device-Vlan-interface3] ip address 10.1.1.2 255.255.255.0
[Device-Vlan-interface3] quit
# 開啟Device的Telnet服務器功能。
[Device] telnet server enable
# 配置Telnet用戶登錄的用戶界麵采用scheme方式。
[Device] line vty 0 63
[Device-line-vty0-63] authentication-mode scheme
[Device-line-vty0-63] quit
# 配置HWTACACS方案hwtac。
[Device] hwtacacs scheme hwtac
# 配置主認證、授權和計費服務器的IP地址為10.1.1.1,認證、授權和計費的端口號為49(HWTACACS服務器的認證、授權和計費端口為TCP端口49)。
[Device-hwtacacs-hwtac] primary authentication 10.1.1.1 49
[Device-hwtacacs-hwtac] primary authorization 10.1.1.1 49
[Device-hwtacacs-hwtac] primary accounting 10.1.1.1 49
# 配置與認證、授權和計費服務器交互報文時的共享密鑰均為明文expert。
[Device-hwtacacs-hwtac] key authentication simple expert
[Device-hwtacacs-hwtac] key authorization simple expert
[Device-hwtacacs-hwtac] key accounting simple expert
[Device-hwtacacs-hwtac] quit
# 配置ISP域的AAA方案,為login用戶配置AAA認證方法為HWTACACS認證、授權和計費。
[Device] domain bbb
[Device-isp-bbb] authentication login hwtacacs-scheme hwtac
[Device-isp-bbb] authorization login hwtacacs-scheme hwtac
[Device-isp-bbb] accounting login hwtacacs-scheme hwtac
[Device-isp-bbb] quit
Telnet用戶可以使用用戶名user@bbb和密碼aabbcc通過認證,並且獲得用戶角色network-operator(用戶通過認證後可執行係統所有功能和資源的相關display命令)。
#
telnet server enable
#
vlan 2 to 3
#
interface Vlan-interface2
ip address 192.168.57.12 255.255.255.0
#
interface Vlan-interface3
ip address 10.1.1.2 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port access vlan 2
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port access vlan 3
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
hwtacacs scheme hwtac
primary authentication 10.1.1.1
primary authorization 10.1.1.1
primary accounting 10.1.1.1
key authentication cipher $c$3$X3oR/wjLFjDqIyjdAmvjwAhiuqewGABglQ==
key authorization cipher $c$3$5pmuq0RJ9UWMWDkRNNERX6HFM0aRv5txFg==
key accounting cipher $c$3$FSdSiBY1u+ZNkAYYlPw9YkGxJA4iR8MDjw==
#
domain bbb
authentication login hwtacacs-scheme hwtac
authorization login hwtacacs-scheme hwtac
accounting login hwtacacs-scheme hwtac
#
如圖7所示,通過在作為NAS的Device上配置遠程RADIUS認證、授權功能,實現SSH用戶的安全登錄。在網絡架構上采用主從RADIUS服務器的方式來提高用戶認證的穩定性。要求在Device上配置實現:
· 使用RADIUS服務器對登錄Device的SSH用戶進行認證和授權,登錄用戶名為hello@bbb,密碼為aabbcc;
· Device向RADIUS服務器發送的用戶名帶域名,服務器根據用戶名攜帶的域名來區分提供給用戶的服務。
· 用戶通過認證後可執行係統所有功能和資源的相關display命令。
圖7 SSH用戶的遠端RADIUS認證和授權配置組網圖
· 為了使主/從RADIUS服務器能夠識別合法的用戶,在主/從RADIUS服務器上添加合法的用戶名和密碼。
· 為了使用戶通過認證後可執行係統所有功能和資源的相關display命令,在主/從RADIUS服務器上設置用戶角色為network-operator。
· 因為SSH用戶登錄Device要通過AAA處理,因此SSH用戶登錄的用戶界麵認證方式配置為scheme。
· 為了實現通過RADIUS來進行認證和授權,需要在Device上配置RADIUS方案並指定相應的主/從認證和授權服務器,並將其應用於SSH用戶所屬的ISP域。
· 為了在Device和主/從RADIUS服務器之間安全地傳輸用戶密碼,並且能在Device上驗證主/從RADIUS服務器響應報文未被篡改,在Device和主/從RADIUS服務器上都要設置交互報文時所使用的共享密鑰。
本舉例是在S6890-CMW710-R2712版本上進行配置和驗證的。
SSH服務器支持的ECDSA密鑰對的類型為secp256r1和secp384r1。
SSH服務器僅支持默認名稱的本地密鑰對,不支持指定名稱的本地密鑰對。
缺省情況下,S6890係列交換機的接口處於ADM(Administratively Down)狀態,請根據實際需要在對應接口視圖下使用undo shutdown命令開啟接口。
· 本節以iMC為例(使用iMC版本為:iMC PLAT 7.0(E0102)、iMC EIA 7.0(E0201)),說明該例中RADIUS服務器的基本配置。
· 主從RADIUS服務器設置相同,本節以主RADIUS服務器設置為例。
# 登錄進入iMC管理平台,選擇“用戶”頁簽,單擊導航樹中的[接入策略管理/接入設備管理/接入設備配置]菜單項,進入接入設備配置頁麵,在該頁麵中單擊“增加”按鈕,進入增加接入設備頁麵。
· 設置與Device交互報文時使用的認證和授權共享密鑰為“expert”;
· 設置認證及計費的端口號分別為“1812”(RADIUS服務器的認證端口為UDP端口1812)和“1813”(RADIUS服務器的計費端口為UDP端口1813);
· 選擇業務類型為“設備管理業務”;
· 選擇接入設備類型為“H3C(General)”;
· 選擇或手工增加接入設備,添加IP地址為10.1.1.2的接入設備;
· 其它參數采用缺省值,並單擊<確定>按鈕完成操作。
圖8 增加接入設備
# 選擇“用戶”頁簽,單擊導航樹中的[接入用戶管理視圖/設備管理用戶]菜單項,進入設備管理用戶列表頁麵,在該頁麵中單擊<增加>按鈕,進入增加設備管理用戶頁麵。
· 輸入用戶名“hello@bbb”和密碼。
· 選擇服務類型為“SSH”。
· 輸入用戶角色名“network-operator”
· 添加所管理設備的IP地址,IP地址範圍為“10.1.1.0~10.1.1.255”。
· 單擊<確定>按鈕完成操作。
添加的所管理設備的IP地址範圍要包含添加的接入設備的IP地址。
圖9 增加設備管理用戶
# 創建VLAN 2,並將Ten-GigabitEthernet1/0/2加入VLAN 2。
<Device> system-view
[Device] vlan 2
[Device-vlan2] port ten-gigabitethernet 1/0/2
[Device-vlan2] quit
# 配置VLAN接口2的IP地址。
[Device] interface vlan-interface 2
[Device-Vlan-interface2] ip address 192.168.1.70 255.255.255.0
[Device-Vlan-interface2] quit
# 創建VLAN 3,並將Ten-GigabitEthernet1/0/1加入VLAN 3。
[Device] vlan 3
[Device-vlan3] port gigabitethernet 1/0/1
[Device-vlan3] quit
# 配置VLAN接口3的IP地址。
[Device] interface vlan-interface 3
[Device-Vlan-interface3] ip address 10.1.1.2 255.255.255.0
[Device-Vlan-interface3] quit
# 生成RSA密鑰對。
[Device] public-key local create rsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
...........
Create the key pair successfully.
# 生成DSA密鑰對。
[Device] public-key local create dsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
.......
Create the key pair successfully.
# 生成secp256r1類型的ECDSA密鑰對。
[Device] public-key local create ecdsa secp256r1
Generating Keys...
Create the key pair successfully.
# 生成secp384r1類型的ECDSA密鑰對。
[Device] public-key local create ecdsa secp384r1
Generating Keys...
.
Create the key pair successfully.
# 使能SSH服務器功能。
[Device] ssh server enable
# 配置SSH用戶登錄采用AAA認證方式。
[Device] line vty 0 63
[Device-line-vty0-63] authentication-mode scheme
[Device-line-vty0-63] quit
# 創建RADIUS方案rad。
[Device] radius scheme rad
# 配置主認證服務器的IP地址為10.1.1.1,認證端口號為1812。
[Device-radius-rad] primary authentication 10.1.1.1 1812
# 配置從認證服務器的IP地址為10.1.1.11,認證端口號為1812。
[Device-radius-rad] secondary authentication 10.1.1.11 1812
# 配置主計費服務器的IP地址為10.1.1.1,計費端口號為1813。
[Device-radius-rad] primary accounting 10.1.1.1 1813
# 配置從計費服務器的IP地址為10.1.1.11,計費端口號為1813。
[Device-radius-rad] secondary accounting 10.1.1.11 1813
# 配置與認證和計費服務器交互報文時的共享密鑰為明文expert。
[Device-radius-rad] key authentication simple expert
[Device-radius-rad] key accounting simple expert
# 配置向RADIUS服務器發送的用戶名要攜帶域名。
[Device-radius-rad] user-name-format with-domain
[Device-radius-rad] quit
# 創建ISP域bbb,為login用戶配置AAA認證方法為RADIUS認證、授權和計費。
[Device] domain bbb
[Device-isp-bbb] authentication login radius-scheme rad
[Device-isp-bbb] authorization login radius-scheme rad
[Device-isp-bbb] accounting login radius-scheme rad
[Device-isp-bbb] quit
用戶向Device發起SSH連接,在SSH客戶端按照提示輸入用戶名hello@bbb和密碼aabbcc通過認證,並且獲得用戶角色network-operator(用戶通過認證後可執行係統所有功能和資源的相關display命令)。
主服務器可達時,設備與主RADIUS服務器進行交互。
# 顯示主服務器可達時的RADIUS方案的配置信息。
<Sysname> display radius scheme
Total 1 RADIUS schemes
------------------------------------------------------------------
RADIUS scheme name: rad
Index: 0
Primary authentication server:
Host name: Not Configured
IP : 10.1.1.1 Port: 1812
VPN : Not configured
State: Active
Test profile: Not configured
Weight: 0
Primary accounting server:
Host name: Not Configured
IP : 10.1.1.1 Port: 1813
VPN : Not configured
State: Active
Weight: 0
Second authentication server:
Host name: Not Configured
IP : 10.1.1.11 Port: 1812
VPN : Not configured
State: Active
Test profile: Not configured
Weight: 0
Second accounting server:
Host name: Not Configured
IP : 10.1.1.11 Port: 1813
VPN : Not configured
State: Active
Weight: 0
Accounting-On function : Disabled
extended function : Disabled
retransmission times : 50
retransmission interval(seconds) : 3
Timeout Interval(seconds) : 3
Retransmission Times : 3
Retransmission Times for Accounting Update : 5
Server Quiet Period(minutes) : 5
Realtime Accounting Interval(seconds) : 720
Stop-accounting packets buffering : Enabled
Retransmission times : 500
NAS IP Address : Not configured
VPN : Not configured
User Name Format : with-domain
Data flow unit : Byte
Packet unit : One
Attribute 15 check-mode : Strict
Attribute 25 : Standard
Attribute Remanent-Volume unit : Kilo
server-load-sharing : Disabled
Attribute 31 MAC format : HH-HH-HH-HH-HH-HH
Stop-accounting packets send-force : Disabled
主服務器不可達時,再查看RADIUS方案的配置信息,會發現主服務器的狀態從Active變為Block。此時,設備變成與從RADIUS服務器進行交互。
#
vlan 2 to 3
#
interface Vlan-interface2
ip address 192.168.1.70 255.255.255.0
#
interface Vlan-interface3
ip address 10.1.1.2 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port access vlan 2
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port access vlan 3
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
ssh server enable
#
radius scheme rad
primary authentication 10.1.1.1
primary accounting 10.1.1.1
secondary authentication 10.1.1.11
secondary accounting 10.1.1.11
key authentication cipher $c$3$GBZ1jhslcGwSOpSejsESMnOr8Gb8SIT5ew==
key accounting cipher $c$3$nGb/DWK8pxbHaLXQVc+xsmbUr1etIZVd7Q==
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login radius-scheme rad
#
如圖10所示,網絡管理員需要遠程登錄到網關設備Device上進行係統配置和維護。為了提高遠程訪問的安全性,需要在Device和管理員主機之間建立SSH連接,具體要求如下:
· Device使用Cisco ACS server作為RADIUS服務器對Stelnet客戶端進行認證和授權;
· 管理員在主機上運行Stelnet客戶端,並采用用戶名manager@bbb和密碼1234ab##登錄Device,且登錄後享有最高配置權限。
圖10 SSH用戶的RADIUS認證和授權配置舉例
· 為了保證Device可以使用ACS server,需要在ACS server上完成添加AAA client以及用戶的相關配置。
· 為了要求用戶通過用戶線登錄Device時輸入用戶名和密碼,需要在Device上配置登錄用戶線的認證方式為scheme方式。
· 為了保證Device能夠對登錄用戶進行認證和授權,需要在Device上完成AAA配置,包括配置ISP域,以及與RADIUS服務器交互的RADIUS方案。
· 為了保證管理員可以運行采用了不同公鑰算法的Stelnet客戶端與Device建立SSH連接,需要在Device上生成RSA、DSA、ECDSA密鑰對。
· 為了使Stelnet用戶登錄設備後能享有最高配置權限,指定缺省用戶角色為network-admin。
本舉例是在S6890-CMW710-R2712版本上進行配置和驗證的。
SSH服務器支持的ECDSA密鑰對的類型為secp256r1和secp384r1。
SSH服務器僅支持默認名稱的本地密鑰對,不支持指定名稱的本地密鑰對。
缺省情況下,S6890係列交換機的接口處於ADM(Administratively Down)狀態,請根據實際需要在對應接口視圖下使用undo shutdown命令開啟接口。
· 本文以ACSv4.2為例,說明RADIUS服務器的基本配置。
· 在進行下麵的配置之前,請保證設備管理員的主機與ACS服務器之間路由可達。
(1) 登錄ACS server
# 如圖11所示的Web登錄頁麵中,輸入Web登錄用戶名和密碼,單擊“Login”按鈕,即可登錄ACS server。
圖11 登錄ACS服務器
(2) 添加接入設備
# 在左側導航欄中選擇[Network Configuration],打開網絡配置界麵,單擊<Add Entry>,進入AAA Client的編輯頁麵。
圖12 添加接入設備
# 在AAA Client的編輯頁麵中進行如下配置:
· 輸入接入設備名稱、接入設備IP地址、交互RADIUS報文的共享密鑰;
· 選擇認證協議類型為“RADIUS (IETF)”;
· 單擊“Submit + Apply”按鈕完成操作。
圖13 配置接入設備
(3) 添加登錄用戶
# 在左側導航欄中選擇[User Setup],打開用戶配置界麵,在文本框中輸入用戶名“manager”,單擊“Add/Edit”後,進入該用戶的編輯頁麵。
圖14 添加登錄用戶
# 填寫用戶的相關信息,配置用戶登錄密碼,選擇用戶所屬組(本例中使用缺省組)。
圖15 配置登錄用戶信息
# 創建VLAN 2,並將Ten-GigabitEthernet1/0/2加入VLAN 2。
<Device> system-view
[Device] vlan 2
[Device-vlan2] port ten-gigabitethernet 1/0/2
[Device-vlan2] quit
# 配置VLAN接口2的IP地址。
[Device] interface vlan-interface 2
[Device-Vlan-interface2] ip address 192.168.1.65 255.255.255.0
[Device-Vlan-interface2] quit
# 創建VLAN 3,並將Ten-GigabitEthernet1/0/1加入VLAN 3。
[Device] vlan 3
[Device-vlan3] port ten-gigabitethernet 1/0/1
[Device-vlan3] quit
# 配置VLAN接口3的IP地址。
[Device] interface vlan-interface 3
[Device-Vlan-interface3] ip address 10.1.1.2 255.255.255.0
[Device-Vlan-interface3] quit
# 生成RSA密鑰對。
[Device] public-key local create rsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
...
Create the key pair successfully.
# 生成DSA密鑰對。
[Device] public-key local create dsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
........
Create the key pair successfully.
# 生成secp256r1類型的ECDSA密鑰對。
[Device] public-key local create ecdsa secp256r1
Generating Keys...
Create the key pair successfully.
# 生成secp384r1類型的ECDSA密鑰對。
[Device] public-key local create ecdsa secp384r1
Generating Keys...
.
Create the key pair successfully.
# 使能SSH服務器功能。
[Device] ssh server enable
# 設置Stelnet客戶端登錄用戶界麵的認證方式為scheme。
[Device] line vty 0 63
[Device-line-vty0-63] authentication-mode scheme
[Device-line-vty0-63] quit
# 使能缺省用戶角色授權功能,使得認證通過後的用戶具有缺省的用戶角色network-admin。
[Device] role default-role enable network-admin
# 創建RADIUS方案rad。
[Device] radius scheme rad
# 配置主認證服務器的IP地址為10.1.1.1,認證端口號為1812。
[Device-radius-rad] primary authentication 10.1.1.1 1812
# 配置與認證服務器交互報文時的共享密鑰為明文expert。
[Device-radius-rad] key authentication simple expert
# 配置向RADIUS服務器發送的用戶名不攜帶域名。
[Device-radius-rad] user-name-format without-domain
[Device-radius-rad] quit
# 創建ISP域bbb,為login用戶配置AAA認證方法為RADIUS認證/授權、不計費。由於RADIUS服務器的授權信息是隨認證應答報文發給RADIUS客戶端的,所以必須保證認證和授權方案相同。
[Device] domain bbb
[Device-isp-bbb] authentication login radius-scheme rad
[Device-isp-bbb] authorization login radius-scheme rad
[Device-isp-bbb] accounting login none
[Device-isp-bbb] quit
Stelnet客戶端軟件有很多,例如PuTTY、OpenSSH等。本文中僅以客戶端軟件PuTTY0.58為例,說明Stelnet客戶端的配置方法。
# 安裝PuTTY 0.58軟件。
# 打開PuTTY.exe程序,點擊“Session”功能區,在圖16所示的配置界麵中進行如下配置:
· 在“Host Name(or IP address)”文本框中輸入Stelnet服務器的IP地址為192.168.1.65。
· 在“Port”文本框中輸入SSH協議端口號22。
· 在“Connection type”區域選擇SSH協議。
# 單擊<Open>按鈕。
圖16 Stelnet客戶端配置界麵
# 如果彈出圖17所示“PuTTY Security Alert”對話框,請根據實際情況做出選擇。本例中選擇信任該服務器,則單擊“Yes”按鈕。
圖17 Stelnet客戶端登錄界麵(一)
# 如果彈出圖18所示“PuTTY Security Alert”對話框,請根據實際情況做出選擇。本例中選擇信任該主機密鑰,則單擊“Yes”按鈕。
圖18 Stelnet客戶端登錄界麵(二)
# 在如下登錄界麵中輸入用戶名“manager@bbb”和密碼“1234ab##”,即可成功登錄設備使用所有命令。
login as: manager@bbb
manager@[email protected]'s password:
******************************************************************************
* Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Device>
#
vlan 2 to 3
#
interface Vlan-interface2
ip address 192.168.1.65 255.255.255.0
#
interface Vlan-interface3
ip address 10.1.1.2 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port access vlan 2
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port access vlan 3
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
ssh server enable
#
radius scheme rad
primary authentication 10.1.1.1
key authentication cipher $c$3$+zkawxNT2KQ1IhixdPDszSvNAH5b+yFMIQ==
user-name-format without-domain
#
domain bbb
authentication login radius-scheme rad
authorization login radius-scheme rad
accounting login none
#
role default-role enable network-admin
#
如圖19所示,網絡管理員需要遠程登錄到網關設備Device上進行係統配置和維護。為了提高遠程訪問的安全性,需要在Device和管理員主機之間建立SSH連接,具體要求如下:
· Device使用Cisco ACS server作為HWTACACS服務器對Stelnet客戶端進行認證和授權;
· 管理員在主機上運行Stelnet客戶端,並采用用戶名manager@bbb和密碼1234ab##登錄Device,且登錄後享有最高配置權限。
圖19 SSH用戶的HWTACACS認證和授權配置舉例
· 為了保證Device可以使用ACS server認證用戶,需要在ACS server上完成添加AAA client以及用戶的相關配置。
· 為了要求用戶通過用戶線登錄Device時輸入用戶名和密碼,需要在Device上配置登錄用戶線的認證方式為scheme方式。
· 未了保證Device能夠對登錄用戶進行認證和授權,需要在Device上完成AAA配置,包括配置ISP域,以及與HWTACACS服務器交互的TACACS方案。
· 為了保證管理員可以運行采用了不同公鑰算法的Stelnet客戶端與Device建立SSH連接,需要在Device上生成RSA、DSA、ECDSA密鑰對。
· 為了使Stelnet用戶登錄設備後能享有最高配置權限,指定缺省用戶角色為network-admin。
本舉例是在S6890-CMW710-R2712版本上進行配置和驗證的。
SSH服務器支持的ECDSA密鑰對的類型為secp256r1和secp384r1。
SSH服務器僅支持默認名稱的本地密鑰對,不支持指定名稱的本地密鑰對。
缺省情況下,S6890係列交換機的接口處於ADM(Administratively Down)狀態,請根據實際需要在對應接口視圖下使用undo shutdown命令開啟接口。
· 本文以ACSv4.2為例,說明TACACS server的基本配置。
· 在進行下麵的配置之前,請保證設備管理員的主機與ACS服務器之間路由可達。
(1) 登錄ACS server
# 如圖20所示的Web登錄頁麵中,輸入Web登錄用戶名和密碼,單擊“Login”按鈕,即可登錄ACS server。
圖20 登錄ACS server
(2) 添加接入設備
# 在左側導航欄中選擇[Network Configuration],打開網絡配置界麵,單擊<Add Entry>,進入AAA Client的編輯頁麵。
圖21 添加接入設備
# 在AAA Client的編輯頁麵中進行如下配置:
· 輸入接入設備名稱、接入設備IP地址、交互TACACS報文的共享密鑰;
· 選擇認證協議類型為“TACACS+ (Cisco IOS)”;
· 單擊“Submit + Apply”按鈕完成操作。
圖22 配置接入設備
(3) 添加登錄用戶
# 在左側導航欄中選擇[User Setup],打開用戶配置界麵,在文本框中輸入用戶名“manager”,單擊“Add/Edit”後,進入該用戶的編輯頁麵。
圖23 添加登錄用戶
# 填寫用戶的相關信息,配置用戶登錄密碼,選擇用戶所屬組(本例中使用缺省組)。
圖24 配置登錄用戶信息
# 創建VLAN 2,並將Ten-GigabitEthernet1/0/2加入VLAN 2。
<Device> system-view
[Device] vlan 2
[Device-vlan2] port ten-gigabitethernet 1/0/2
[Device-vlan2] quit
# 配置VLAN接口2的IP地址。
[Device] interface vlan-interface 2
[Device-Vlan-interface2] ip address 192.168.1.65 255.255.255.0
[Device-Vlan-interface2] quit
# 創建VLAN 3,並將Ten-GigabitEthernet1/0/1加入VLAN 3。
[Device] vlan 3
[Device-vlan3] port ten-gigabitethernet 1/0/1
[Device-vlan3] quit
# 配置VLAN接口3的IP地址。
[Device] interface vlan-interface 3
[Device-Vlan-interface3] ip address 10.1.1.2 255.255.255.0
[Device-Vlan-interface3] quit
# 生成RSA密鑰對。
[Device] public-key local create rsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
...
Create the key pair successfully.
# 生成DSA密鑰對。
[Device] public-key local create dsa
The range of public key modulus is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
........
Create the key pair successfully.
# 生成secp256r1類型的ECDSA密鑰對。
[Device] public-key local create ecdsa secp256r1
Generating Keys...
Create the key pair successfully.
# 生成secp384r1類型的ECDSA密鑰對。
[Device] public-key local create ecdsa secp384r1
Generating Keys...
.
Create the key pair successfully.
# 使能SSH服務器功能。
[Device] ssh server enable
# 設置Stelnet客戶端登錄用戶界麵的認證方式為scheme。
[Device] line vty 0 63
[Device-line-vty0-63] authentication-mode scheme
[Device-line-vty0-63] quit
# 使能缺省用戶角色授權功能,使得認證通過後的用戶具有缺省的用戶角色network-admin。
[Device] role default-role enable network-admin
# 創建TACACS方案rad。
[Device] hwtacacs scheme tac
# 配置主認證服務器的IP地址為10.1.1.1,認證端口號為49。
[Device-hwtacacs-tac] primary authentication 10.1.1.1 49
# 配置與認證服務器交互報文時的共享密鑰為明文expert。
[Device-hwtacacs-tac] key authentication simple expert
# 配置主授權服務器的IP地址為10.1.1.1,授權端口號為49。
[Device-hwtacacs-tac] primary authorization 10.1.1.1 49
# 配置與授權服務器交互報文時的共享密鑰為明文expert。
[Device-hwtacacs-tac] key authorization simple expert
# 配置向TACACS服務器發送的用戶名不攜帶域名。
[Device-hwtacacs-tac] user-name-format without-domain
[Device-hwtacacs-tac] quit
# 創建ISP域bbb,為login用戶配置AAA認證方法為TACACS認證/授權、不計費。
[Device] domain bbb
[Device-isp-bbb] authentication login hwtacacs-scheme tac
[Device-isp-bbb] authorization login hwtacacs-scheme tac
[Device-isp-bbb] accounting login none
[Device-isp-bbb] quit
Stelnet客戶端軟件有很多,例如PuTTY、OpenSSH等。本文中僅以客戶端軟件PuTTY0.58為例,說明Stelnet客戶端的配置方法。
# 安裝PuTTY 0.58軟件。
# 打開PuTTY.exe程序,點擊“Session”功能區,在圖25所示的配置界麵中進行如下配置:
· 在“Host Name(or IP address)”文本框中輸入Stelnet服務器的IP地址為192.168.1.65。
· 在“Port”文本框中輸入SSH協議端口號22。
· 在“Connection type”區域選擇SSH協議。
# 單擊<Open>按鈕。
圖25 Stelnet客戶端配置界麵
# 如果彈出圖26所示“PuTTY Security Alert”對話框,請根據實際情況做出選擇。本例中選擇信任該服務器,則單擊“Yes”按鈕。
圖26 Stelnet客戶端登錄界麵(一)
# 如果彈出圖27所示“PuTTY Security Alert”對話框,請根據實際情況做出選擇。本例中選擇信任該主機密鑰,則單擊“Yes”按鈕。
圖27 Stelnet客戶端登錄界麵(二)
# 在如下登錄界麵中輸入用戶名manager@bbb和密碼1234ab##,即可成功登錄設備使用所有命令。
login as: manager@bbb
manager@[email protected]'s password:
******************************************************************************
* Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Device>
#
vlan 2 to 3
#
interface Vlan-interface2
ip address 192.168.1.65 255.255.255.0
#
interface Vlan-interface3
ip address 10.1.1.2 255.255.255.0
#
interface Ten-GigabitEthernet1/0/2
port link-mode bridge
port access vlan 2
#
interface Ten-GigabitEthernet1/0/1
port link-mode bridge
port access vlan 3
#
line vty 0 63
authentication-mode scheme
user-role network-operator
#
ssh server enable
#
hwtacacs scheme tac
primary authentication 10.1.1.1
primary authorization 10.1.1.1
key authentication cipher $c$3$/9bCuPjMxjOtUvBx8NjtN+AnAsuLT2SrNA==
key authorization cipher $c$3$QF/fFJNv9IyKyFlsNOpeBYnDXArNhOvOdQ==
user-name-format without-domain
#
domain bbb
authentication login hwtacacs-scheme tac
authorization login hwtacacs-scheme tac
accounting login none
#
role default-role enable network-admin
#
· H3C S6890係列交換機 基礎配置指導(R27xx)
· H3C S6890係列交換機 基礎配置命令參考(R27xx)
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
