Протокол Secure Shell (SSH) реализует безопасный удаленный вход в ненадежные сети, что обеспечивает целостность и надежность данных и гарантирует безопасную передачу данных. STelnet, основанный на протоколе SSH, обеспечивает защиту информации и обеспечивает мощную функцию аутентификации. STelnet защищает коммутатор от атак типа IP-спуфинг. По умолчанию вы не можете войти в систему с помощью STelnet. Необходимо войти в систему с помощью консольного порта или Telnet, и сначала настроить параметры STelnet и пользовательский интерфейс.
RADIUS использует модель клиента/сервера в распределенном режиме и защищает сеть от несанкционированного доступа. Он часто используется в сетях, требующих высокой безопасности и удаленного контроля доступа пользователей. После настройки входа STelnet на основе аутентификации RADIUS коммутатор отправляет имя пользователя и пароль пользователя входа на сервер RADIUS. Затем сервер RADIUS аутентифицирует пользователя и записывает пользовательские операции, увеличивая безопасность сети.
Примечания по конфигурации
- STelnet V1 является небезопасным протоколом. Рекомендуется использовать STelnet V2.
- Перед настройкой входа в STelnet убедитесь, что на пользовательском терминале установлено программное обеспечение входа на сервер SSH. В этом примере в качестве программного обеспечения для входа в систему SSH используется программное обеспечение сторонних разработчиков PuTTY.
- Убедитесь, что пользовательский терминал имеет доступные маршруты к коммутатору и серверу RADIUS.
- Убедитесь, что IP-адрес, номер порта и общий ключ сервера RADIUS настроены правильно на коммутаторе и такие же, как на сервере RADIUS.
- Убедитесь, что пользователь настроен на сервере RADIUS. В этом примере сконфигурирован пользователь admin@huawei.com (в формате имя
пользователя@имя домена) и пароль Huawei@1234.
- Этот пример относится ко всем версиям всех коммутаторов серии S.
Требования к сети
Сетевому администратору требуется удаленный вход в коммутатор и высокая сетевая безопасность для защиты сети от несанкционированного доступа. Чтобы выполнить требования, настройте вход STelnet на основе аутентификации RADIUS.
Как показано на рисунке ниже Switch функционирует в качестве сервера SSH и имеет доступный маршрут к серверу RADIUS. IP-адрес и номер порта RADIUS-сервера - 10.2.1.1/24 и 1812 соответственно.
Схема настройки выглядит следующим образом:
1. Создайте локальную пару ключей на сервере SSH для реализации безопасного обмена данными между сервером и клиентом.
2. Настройте протокол STelnet, чтобы пользователи могли войти в Switch с помощью STelnet.
3. Настройте протокол RADIUS для реализации аутентификации RADIUS. После завершения настройки можете использовать имя пользователя и пароль,
настроенные на сервере RADIUS, для входа в Switch с использованием STelnet, обеспечивающего безопасность входа пользователя.
Шаг 1 Настройте вход в STelnet.
# Создать локальную пару ключей на сервере. <HUAWEI> system-view [HUAWEI] sysname Switch [HUAWEI] dsa local-key-pair create //Создайте локальную пару ключей DSA. Info: The key name will be: HUAWEI_Host_DSA. Info: The key modulus can be any one of the following : 1024, 2048. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [default=2048]: Info: Generating keys... Info: Succeeded in creating the DSA host keys. # Настроить пользовательский интерфейс VTY. [Switch] stelnet server enable //Включите функцию сервера STelnet. [Switch] user-interface vty 0 14 //Войдите в виды пользовательского интерфейса от VTY 0 до VTY 14. [Switch-ui-vty0-14] user privilege level 15 //Установите уровень пользователей от VTY 0 до VTY 14 на 15. [Switch-ui-vty0-14] authentication-mode aaa //Установите режим проверки подлинности пользователей в VTY 0 на VTY 14 на AAA. [Switch-ui-vty0-14] protocol inbound ssh //Настройте виды пользовательского интерфейса от VTY 0 до VTY 14 для поддержки SSH. [Switch-ui-vty0-14] quit # Задать режим аутентификации пользователя SSH admin для аутентификации по паролю и тип услуги для STelnet. [Switch] ssh user admin authentication-type password //Установите аутентификацию пользователя SSH admin для аутентификации пароля. [Switch] ssh user admin service-type stelnet //Установите тип службы пользователя SSH admin для STelnet.
ПРИМЕЧАНИЕ
Чтобы настроить аутентификацию по паролю для нескольких пользователей SSH, запустите команду ssh authentication-type default password, чтобы указать аутентификацию по паролю в качестве режима аутентификации по умолчанию для пользователей SSH. По завершении этой конфигурации нет необходимости настраивать режим аутентификации и тип услуги для каждого пользователя SSH, упрощая настройку и повышая эффективность.
Шаг 2 Настройте аутентификацию RADIUS.
# Настроить шаблон сервера RADIUS на коммутаторе для реализации связи с сервером RADIUS. [Switch] radius-server template 1 //Войдите в вид шаблона сервера RADIUS. [Switch-radius-1] radius-server authentication 10.2.1.1 1812 //Настройте сервер RADIUS. [Switch-radius-1] radius-server shared-key cipher Huawei@6789 //Установите общий ключ сервера RADIUS на Huawei@6789. [Switch-radius-1] quit
ПРИМЕЧАНИЕ
Если сервер RADIUS не поддерживает имя пользователя, содержащее имя домена, запустите команду undo radius-server user-name domain-included для настройки коммутатора в целях отправки пакетов с именем пользователя без имени домена на сервер RADIUS.
# Настроить схему аутентификации AAA, при этом режим аутентификации - RADIUS. [Switch] aaa [Switch-aaa] authentication-scheme sch1 //Создайте схему аутентификации с именем sch1. [Switch-aaa-authen-sch1] authentication-mode radius //Установите режим аутентификации на RADIUS. [Switch-aaa-authen-sch1] quit # Создать домен, применить схему аутентификации AAA и шаблон сервера RADIUS в домене. [Switch-aaa] domain huawei.com //Создайте домен с именем huawei.com и войдите в вид домена. [Switch-aaa-domain-huawei.com] authentication-scheme sch1 //Настройте схему аутентификации sch1 для домена. [Switch-aaa-domain-huawei.com] radius-server 1 //Примените шаблона сервера RADIUS 1 к домену. [Switch-aaa-domain-huawei.com] quit [Switch-aaa] quit # Настроить домен huawei.com как домен глобального управления по умолчанию, поэтому администратору не нужно вводить имя домена для входа в коммутатор. [Switch] domain huawei.com admin
Шаг 3 Проверьте конфигурацию.
# Войти в Switch, используя PuTTY на ПК. Введите IP-адрес Switch и установить тип протокола SSH, как показано на рисунке ниже.
# Нажать Open. В интерфейсе входа введите имя пользователя admin и пароль Huawei@1234, как было предложено, и нажмите Enter. Аутентификация завершается успешно, и вы успешно входите в Switch с помощью STelnet. (Следующая информация приведена исключительно в справочных целях)
login as: admin password: Info: The max number of VTY users is 8, and the number of current VTY users online is 2. The current login time is 2014-07-30 09:54:02+08:00. <Switch>