Пример настройки входа в STelnet (на основе аутентификации RADIUS)

Последний ответ ноя 15, 2019 10:26:22 59 1 0 0

Протокол Secure Shell (SSH) реализует безопасный удаленный вход в ненадежные сети, что обеспечивает целостность и надежность данных и гарантирует безопасную передачу данных. STelnet, основанный на протоколе SSH, обеспечивает защиту информации и обеспечивает мощную функцию аутентификации. STelnet защищает коммутатор от атак типа IP-спуфинг. По умолчанию вы не можете войти в систему с помощью STelnet. Необходимо войти в систему с помощью консольного порта или Telnet, и сначала настроить параметры STelnet и пользовательский интерфейс.

RADIUS использует модель клиента/сервера в распределенном режиме и защищает сеть от несанкционированного доступа. Он часто используется в сетях, требующих высокой безопасности и удаленного контроля доступа пользователей. После настройки входа STelnet на основе аутентификации RADIUS коммутатор отправляет имя пользователя и пароль пользователя входа на сервер RADIUS. Затем сервер RADIUS аутентифицирует пользователя и записывает пользовательские операции, увеличивая безопасность сети.

 

Примечания по конфигурации

- STelnet V1 является небезопасным протоколом. Рекомендуется использовать STelnet V2.

- Перед настройкой входа в STelnet убедитесь, что на пользовательском терминале установлено программное обеспечение входа на сервер SSH. В этом примере в качестве программного обеспечения для входа в систему SSH используется программное обеспечение сторонних разработчиков PuTTY.

- Убедитесь, что пользовательский терминал имеет доступные маршруты к коммутатору и серверу RADIUS.

- Убедитесь, что IP-адрес, номер порта и общий ключ сервера RADIUS настроены правильно на коммутаторе и такие же, как на сервере RADIUS.

- Убедитесь, что пользователь настроен на сервере RADIUS. В этом примере сконфигурирован пользователь admin@huawei.com (в формате имя

пользователя@имя домена) и пароль Huawei@1234.

- Этот пример относится ко всем версиям всех коммутаторов серии S.

 

Требования к сети

Сетевому администратору требуется удаленный вход в коммутатор и высокая сетевая безопасность для защиты сети от несанкционированного доступа. Чтобы выполнить требования, настройте вход STelnet на основе аутентификации RADIUS.

Как показано на рисунке ниже Switch функционирует в качестве сервера SSH и имеет доступный маршрут к серверу RADIUS. IP-адрес и номер порта RADIUS-сервера - 10.2.1.1/24 и 1812 соответственно.


1

Схема настройки выглядит следующим образом:

1. Создайте локальную пару ключей на сервере SSH для реализации безопасного обмена данными между сервером и клиентом.

2. Настройте протокол STelnet, чтобы пользователи могли войти в Switch с помощью STelnet.

3. Настройте протокол RADIUS для реализации аутентификации RADIUS. После завершения настройки можете использовать имя пользователя и пароль,

настроенные на сервере RADIUS, для входа в Switch с использованием STelnet, обеспечивающего безопасность входа пользователя.

Шаг 1 Настройте вход в STelnet.

# Создать локальную пару ключей на сервере.
<HUAWEI> system-view
[HUAWEI] sysname Switch
[HUAWEI] dsa local-key-pair create //Создайте локальную пару ключей DSA.
Info: The key name will be: HUAWEI_Host_DSA.
Info: The key modulus can be any one of the following : 1024, 2048.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=2048]:
Info: Generating keys...
Info: Succeeded in creating the DSA host keys.
# Настроить пользовательский интерфейс VTY.
[Switch] stelnet server enable //Включите функцию сервера STelnet.
[Switch] user-interface vty 0 14 //Войдите в виды пользовательского интерфейса от VTY 0 до VTY 14.
[Switch-ui-vty0-14] user privilege level 15 //Установите уровень пользователей от VTY 0 до VTY 14 на 15.
[Switch-ui-vty0-14] authentication-mode aaa //Установите режим проверки подлинности пользователей в VTY 0 на VTY 14 на AAA.
[Switch-ui-vty0-14] protocol inbound ssh //Настройте виды пользовательского интерфейса от VTY 0 до VTY 14 для поддержки SSH.
[Switch-ui-vty0-14] quit
# Задать режим аутентификации пользователя SSH admin для аутентификации по паролю и тип услуги для STelnet.
[Switch] ssh user admin authentication-type password //Установите аутентификацию пользователя SSH admin для аутентификации пароля.
[Switch] ssh user admin service-type stelnet //Установите тип службы пользователя SSH admin для STelnet.

ПРИМЕЧАНИЕ

Чтобы настроить аутентификацию по паролю для нескольких пользователей SSH, запустите команду ssh authentication-type default password, чтобы указать аутентификацию по паролю в качестве режима аутентификации по умолчанию для пользователей SSH. По завершении этой конфигурации нет необходимости настраивать режим аутентификации и тип услуги для каждого пользователя SSH, упрощая настройку и повышая эффективность.

 

Шаг 2 Настройте аутентификацию RADIUS.

# Настроить шаблон сервера RADIUS на коммутаторе для реализации связи с сервером RADIUS.
[Switch] radius-server template 1 //Войдите в вид шаблона сервера RADIUS.
[Switch-radius-1] radius-server authentication 10.2.1.1 1812 //Настройте сервер RADIUS.
[Switch-radius-1] radius-server shared-key cipher Huawei@6789 //Установите общий ключ сервера RADIUS на Huawei@6789.
[Switch-radius-1] quit

ПРИМЕЧАНИЕ

Если сервер RADIUS не поддерживает имя пользователя, содержащее имя домена, запустите команду undo radius-server user-name domain-included для настройки коммутатора в целях отправки пакетов с именем пользователя без имени домена на сервер RADIUS.

 

# Настроить схему аутентификации AAA, при этом режим аутентификации - RADIUS.
[Switch] aaa
[Switch-aaa] authentication-scheme sch1 //Создайте схему аутентификации с именем sch1.
[Switch-aaa-authen-sch1] authentication-mode radius //Установите режим аутентификации на RADIUS.
[Switch-aaa-authen-sch1] quit
# Создать домен, применить схему аутентификации AAA и шаблон сервера RADIUS в домене.
[Switch-aaa] domain huawei.com //Создайте домен с именем huawei.com и войдите в вид домена.
[Switch-aaa-domain-huawei.com] authentication-scheme sch1 //Настройте схему аутентификации sch1 для домена.
[Switch-aaa-domain-huawei.com] radius-server 1 //Примените шаблона сервера RADIUS 1 к домену.
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit
# Настроить домен huawei.com как домен глобального управления по умолчанию, поэтому администратору не нужно вводить имя домена для входа в коммутатор.
[Switch] domain huawei.com admin

Шаг 3 Проверьте конфигурацию.

# Войти в Switch, используя PuTTY на ПК. Введите IP-адрес Switch и установить тип протокола SSH, как показано на рисунке ниже.


2

# Нажать Open. В интерфейсе входа введите имя пользователя admin и пароль Huawei@1234, как было предложено, и нажмите Enter. Аутентификация завершается успешно, и вы успешно входите в Switch с помощью STelnet. (Следующая информация приведена исключительно в справочных целях)

login as: admin
password:
Info: The max number of VTY users is 8, and the number
of current VTY users online is 2.
The current login time is 2014-07-30 09:54:02+08:00.
<Switch>


  • x

user_2909167
Модератор Опубликовано 2019-11-15 10:26:22 Полезно(0) Полезно(0)

Добавлю конфиг свитча


#
sysname Switch
#
domain huawei.com admin
#
radius-server template 1
radius-server shared-key cipher %^%#}+ysUO*B&+p'NRQR0{ZW7[GA*Z*!X@o:Va15dxQAj+, $>NP>63de|G~ws,9G%^%#
radius-server authentication 10.2.1.1 1812 weight 80
#
aaa
authentication-scheme sch1
authentication-mode radius
domain huawei.com
authentication-scheme sch1
radius-server 1
#
user-interface vty 0 14
authentication-mode aaa
user privilege level 15
#
stelnet server enable
ssh user admin
ssh user admin authentication-type password
ssh user admin service-type stelnet
#
return



  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход