Telnet вход на коммутатор облегчает дистанционное управление и обслуживание
коммутатора, т.к. не нужно подключать ПК к каждому коммутатору напрямую. По умолчанию вы не можете войти в систему с помощью Telnet. Вам нужно войти в систему через консольный порт и сначала настроить функцию Telnet.
Список контроля доступа (ACL) - это фильтр пакетов, который фильтрует пакеты на основе правил. Одно или несколько правил описывают условия согласования пакетов, такие как адрес источника, адрес назначения и номер порта пакетов. Для пакетов, которые соответствуют правилам ACL, настроенным на устройстве, устройство пересылает или отбрасывает эти пакеты в соответствии с политиками, используемыми сервисным модулем, к которому применяется ACL.
RADIUS использует модель сервер/клиент и защищает сеть от несанкционированного доступа. Он часто используется в сетях, требующих высокой безопасности и удаленного контроля доступа пользователей. После настройки входа в Telnet на основе аутентификации RADIUS коммутатор отправляет имя
пользователя и пароль пользователя входа на сервер RADIUS. Затем сервер RADIUS аутентифицирует пользователя и записывает пользовательские операции, обеспечивая безопасность сети.
Если ACL и аутентификация RADIUS настроены, пакеты, соответствующие правила ACL, попадают в модуль верхнего уровня, а затем аутентифицируются в режиме RADIUS на основе имени пользователя и пароля. Таким образом, режим входа в Telnet на основе правил ACL и аутентификации RADIUS повышает безопасность сети.
Замечания по конфигурации
-Telnet - это небезопасный протокол. Рекомендуется использовать STelnet V2.
- Убедитесь, что пользовательский терминал имеет доступные маршруты к коммутатору и серверу RADIUS.
- Убедитесь, что IP-адрес, номер порта и общий ключ сервера RADIUS настроены правильно на коммутаторе и такие же, как на сервере RADIUS.
- Убедитесь, что пользователь настроен на сервере RADIUS. В этом примере сконфигурирован пользователь admin@huawei.com (в формате имя
пользователя@имя домена) и пароль Huawei@1234.
- Этот пример относится ко всем версиям всех коммутаторов серии S.
Требования к сети
Сетевому администратору требуется дистанционное управление и обслуживание коммутатора и высокая сетевая безопасность для защиты сети от
несанкционированного доступа. Чтобы выполнить эти требования, настройте вход в Telnet на основе правил ACL и аутентификации RADIUS.
Как показано на рисунке ниже, коммутатор имеет доступные маршруты для администратора и сервера RADIUS. IP-адрес и номер порта RADIUS-сервера - 10.2.1.1/24 и 1812 соответственно.
Схема настройки
1. Настройте протокол Telnet, чтобы пользователи могли войти в коммутатор с помощью Telnet.
2. Настройте правило ACL, чтобы гарантировать, что на коммутатор могут войти только пользователи, соответствующие правилу ACL.
3. Настройте протокол RADIUS для реализации аутентификации RADIUS. По завершении настройки можете использовать имя пользователя и пароль,
настроенные на сервере RADIUS, для входа в коммутатор с использованием Telnet, обеспечивающего безопасность входа пользователя.
Процедура
Шаг 1 Настройте вход по Telnet.
<HUAWEI> system-view [HUAWEI] sysname Switch [Switch] telnet server enable [Switch] user-interface vty 0 14 //Установите тип доступа на telnet, то есть пользователь Telnet. [Switch-ui-vty0-14] protocol inbound telnet //Настройте пользовательский интерфейс VTY для поддержки Telnet. По умолчанию коммутаторы вV200R006 и более ранних версиях поддерживают Telnet, а коммутаторы в V200R007 и более поздних версиях поддерживают SSH. [Switch-ui-vty0-14] authentication-mode aaa //Установите режим проверки подлинности пользователей от VTY 0 до VTY 14 на AAA. [Switch-ui-vty0-14] user privilege level 15 //Установите уровень пользователей от VTY 0 до VTY 14 на 15. [Switch-ui-vty0-14] quit
Шаг 2 Настройте основное правило ACL.
[Switch] acl 2008 [Switch-acl-basic-2008] rule permit source 10.137.217.177 0 [Switch-acl-basic-2008] quit [Switch] user-interface vty 0 14 [Switch-ui-vty0-14] acl 2008 inbound //Разрешите только пользователям, сопоставляющим ACL 2008 от VTY 0 до VTY 14, чтобы войти в коммутатор. [Switch-ui-vty0-14] quit
Шаг 3 Настройте аутентификацию RADIUS.
# Настроить шаблон сервера RADIUS на коммутаторе для реализации связи с сервером RADIUS. [Switch] radius-server template 1 //Войдите в вид шаблона сервера RADIUS. [Switch-radius-1] radius-server authentication 10.2.1.1 1812 //Настройте сервер RADIUS. [Switch-radius-1] radius-server shared-key cipher Huawei@6789 //Установите общий ключ сервера RADIUS на Huawei@6789. [Switch-radius-1] quit
ПРИМЕЧАНИЕ
Если сервер RADIUS не поддерживает имя пользователя, содержащее имя домена, запустите команду undo radius-server user-name domain-included для настройки коммутатора в целях отправки пакетов с именем пользователя без имени домена на сервер RADIUS.
# Настроить схему аутентификации AAA, при этом режим аутентификации - RADIUS. [Switch] aaa [Switch-aaa] authentication-scheme sch1 //Создайте схему аутентификации с именем sch1. [Switch-aaa-authen-sch1] authentication-mode radius //Установите режим аутентификации на RADIUS. [Switch-aaa-authen-sch1] quit # Создать домен, применить схему аутентификации AAA и шаблон сервера RADIUS в домене. [Switch-aaa] domain huawei.com //Создайте домен с именем huawei.com и войдите в вид домена. [Switch-aaa-domain-huawei.com] authentication-scheme sch1 //Настройте схему аутентификации sch1 для домена. [Switch-aaa-domain-huawei.com] radius-server 1 //Примените шаблона сервера RADIUS 1 к домену. [Switch-aaa-domain-huawei.com] quit [Switch-aaa] quit # Настроить домен huawei.com как домен глобального управления по умолчанию, поэтому администратору не нужно вводить имя домена для входа в коммутатор.
[Switch] domain huawei.com admin
Шаг 4 Проверьте конфигурацию.
Выберите Start > Run в качестве администратора. Введите cmd для открытия окна командной строки Windows. Введите telnet 10.1.1.1 и нажмите Enter.
C:\Documents and Settings\Administrator> telnet 10.1.1.1
В интерфейсе входа введите имя пользователя admin и пароль Huawei@1234, как было предложено, и нажмите Enter. Аутентификация завершается успешно, и вы успешно входите в коммутатор с помощью Telnet. (Следующая информация приведена исключительно в справочных целях)
Login authentication Username:admin Password: Info: The max number of VTY users is 8, and the number of current VTY users on line is 2. The current login time is 2014-07-30 09:54:02+08:00. <Switch>