• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

H3C園區盒式交換機 CLI快速配置指南-6W104

  • 發布時間:2025/5/12 19:56:54
  • 瀏覽量:
  • 下載量:

36-AAA快速配置指南

本章節下載  (336.79 KB)

36-AAA快速配置指南

AAA快速配置指南

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2024 bobty下载软件 版權所有,保留一切權利。

非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。

除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。

本文檔中的信息可能變動,恕不另行通知。



1 配置Telnet用戶的HWTACACS認證和授權

1.1  簡介

本案例介紹Telnet用戶的HWTACACS認證和授權的配置方法。

1.2  組網需求

圖1-1所示,通過在作為NAS的Device上配置遠程HWTACACS認證、授權功能,實現Telnet用戶的安全登錄。要求在Device上配置實現:

·     HWTACACS服務器對登錄Device的Telnet用戶進行認證和授權,登錄用戶名為user@bbb,密碼為123456TESTplat&!

·     用戶通過認證後可執行係統所有功能和資源的相關display命令。

圖1-1 Telnet用戶的遠端HWTACACS認證和授權配置組網圖

 

1.3  配置步驟

1.3.1  配置HWTACACS

說明: 說明

本文以HWTACACS服務器ACS 4.0為例,說明該例中HWTACACS的基本配置。

 

1. 增加設備管理用戶

# 登錄進入HWTACACS管理平台,點擊左側導航欄“User-Setup”增加設備管理用戶。

·     在界麵上輸入用戶名“user@bbb”;

·     點擊按鈕“Add/Edit”進入用戶編輯頁麵。

圖1-2 用戶創建界麵

 

2. 配置設備管理用戶

# 在用戶編輯頁麵上配置設備管理用戶。

·     配置用戶密碼“123456TESTplat&!”;

·     為用戶選擇組“Group 1”;

·     單擊“Submit”完成操作。

圖1-3 用戶密碼配置界麵

 

3. 配置網絡

# 點擊左側導航欄“Network Configuration”,在“AAA Client Hostname”處任意命名(本例為“Device”)後開始配置網絡。

·     “AAA Client IP Address”一欄填寫Device與HWTACACS服務器相連的接口的IP地址“10.1.1.2”。

·     “Key”一欄填寫HWTACACS服務器和設備通信時的共享密鑰“expert”,必須和Device上HWTACACS方案裏配置的認證、授權和計費共享密鑰相同。

·     在“Authenticate Using”的下拉框裏選擇“TACACS+ (Cisco IOS)”。

·     單擊“Submit+Apply”按鈕完成配置。

圖1-4 網絡配置界麵

 

4. 設置組

# 單擊左側導航欄“Group Setup”,選取“Group 1”(與配置設備管理用戶時為用戶選擇的組一致),單擊“Edit Settings”進入編輯區。

·     在多選框中選擇“Shell”(用戶可以執行命令);

·     在多選框中選擇“Custom attributes”,並在文本框中輸入:roles=\”network-operator\”;

·     單擊“Submit”後完成操作。

圖1-5 選擇組界麵

 

圖1-6 組配置界麵

 

1.3.2  配置Device

# 創建VLAN 2,並將GigabitEthernet1/0/2加入VLAN 2。

<Device> system-view

[Device] vlan 2

[Device-vlan2] port gigabitethernet 1/0/2

[Device-vlan2] quit

# 配置VLAN接口2的IP地址。

[Device] interface vlan-interface 2

[Device-Vlan-interface2] ip address 192.168.57.12 255.255.255.0

[Device-Vlan-interface2] quit

# 創建VLAN 3,並將GigabitEthernet1/0/1加入VLAN 3。

[Device] vlan 3

[Device-vlan3] port gigabitethernet 1/0/1

[Device-vlan3] quit

# 配置VLAN接口3的IP地址。

[Device] interface vlan-interface 3

[Device-Vlan-interface3] ip address 10.1.1.2 255.255.255.0

[Device-Vlan-interface3] quit

# 開啟Device的Telnet服務器功能。

[Device] telnet server enable

# 配置Telnet用戶登錄的用戶界麵采用scheme方式。

[Device] line vty 0 63

[Device-line-vty0-63] authentication-mode scheme

[Device-line-vty0-63] quit

# 配置HWTACACS方案hwtac。

[Device] hwtacacs scheme hwtac

# 配置主認證、授權和計費服務器的IP地址為10.1.1.1,認證、授權和計費的端口號為49(HWTACACS服務器的認證、授權和計費端口為TCP端口49)。

[Device-hwtacacs-hwtac] primary authentication 10.1.1.1 49

[Device-hwtacacs-hwtac] primary authorization 10.1.1.1 49

[Device-hwtacacs-hwtac] primary accounting 10.1.1.1 49

# 配置與認證、授權和計費服務器交互報文時的共享密鑰均為明文expert。

[Device-hwtacacs-hwtac] key authentication simple expert

[Device-hwtacacs-hwtac] key authorization simple expert

[Device-hwtacacs-hwtac] key accounting simple expert

[Device-hwtacacs-hwtac] quit

# 配置ISP域的AAA方案,為login用戶配置AAA認證方法為HWTACACS認證、授權和計費。

[Device] domain bbb

[Device-isp-bbb] authentication login hwtacacs-scheme hwtac

[Device-isp-bbb] authorization login hwtacacs-scheme hwtac

[Device-isp-bbb] accounting login hwtacacs-scheme hwtac

[Device-isp-bbb] quit

1.4  驗證配置

Telnet用戶可以使用用戶名user@bbb和密碼123456TESTplat&!通過認證,並且獲得用戶角色network-operator(用戶通過認證後可執行係統所有功能和資源的相關display命令)

1.5  配置文件

說明: 說明

部分交換機的配置文件中會顯示port link-mode bridge命令,請以實際情況為準。

 

#

 telnet server enable

#

vlan 2 to 3

#

interface Vlan-interface2

 ip address 192.168.57.12 255.255.255.0

#

interface Vlan-interface3

 ip address 10.1.1.2 255.255.255.0

#

interface GigabitEthernet1/0/2

 port link-mode bridge

 port access vlan 2

#

interface GigabitEthernet1/0/1

 port link-mode bridge

 port access vlan 3

#

line vty 0 63

 authentication-mode scheme

 user-role network-operator

#

hwtacacs scheme hwtac

 primary authentication 10.1.1.1

 primary authorization 10.1.1.1

 primary accounting 10.1.1.1

 key authentication cipher $c$3$X3oR/wjLFjDqIyjdAmvjwAhiuqewGABglQ==

 key authorization cipher $c$3$5pmuq0RJ9UWMWDkRNNERX6HFM0aRv5txFg==

 key accounting cipher $c$3$FSdSiBY1u+ZNkAYYlPw9YkGxJA4iR8MDjw==

#

 domain bbb

  authentication login hwtacacs-scheme hwtac

  authorization login hwtacacs-scheme hwtac

  accounting login hwtacacs-scheme hwtac

#

1.6  相關資料

·     產品配套“安全配置指導”中的“AAA”。

·     產品配套“安全命令參考”中的“AAA”。

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們