Пример настройки входа в Telnet (на основе правил ACL и аутентификации RADIUS)

Последний ответ ноя 14, 2019 17:57:52 65 3 1 0

 

Telnet вход на коммутатор облегчает дистанционное управление и обслуживание

коммутатора, т.к. не нужно подключать ПК к каждому коммутатору напрямую. По умолчанию вы не можете войти в систему с помощью Telnet. Вам нужно войти в систему через консольный порт и сначала настроить функцию Telnet.

 

Список контроля доступа (ACL) - это фильтр пакетов, который фильтрует пакеты на основе правил. Одно или несколько правил описывают условия согласования пакетов, такие как адрес источника, адрес назначения и номер порта пакетов. Для пакетов, которые соответствуют правилам ACL, настроенным на устройстве, устройство пересылает или отбрасывает эти пакеты в соответствии с политиками, используемыми сервисным модулем, к которому применяется ACL.

RADIUS использует модель сервер/клиент и защищает сеть от несанкционированного доступа. Он часто используется в сетях, требующих высокой безопасности и удаленного контроля доступа пользователей. После настройки входа в Telnet на основе аутентификации RADIUS коммутатор отправляет имя

пользователя и пароль пользователя входа на сервер RADIUS. Затем сервер RADIUS аутентифицирует пользователя и записывает пользовательские операции, обеспечивая безопасность сети.

Если ACL и аутентификация RADIUS настроены, пакеты, соответствующие правила ACL, попадают в модуль верхнего уровня, а затем аутентифицируются в режиме RADIUS на основе имени пользователя и пароля. Таким образом, режим входа в Telnet на основе правил ACL и аутентификации RADIUS повышает безопасность сети.

Замечания по конфигурации

-Telnet - это небезопасный протокол. Рекомендуется использовать STelnet V2.

- Убедитесь, что пользовательский терминал имеет доступные маршруты к коммутатору и серверу RADIUS.

- Убедитесь, что IP-адрес, номер порта и общий ключ сервера RADIUS настроены правильно на коммутаторе и такие же, как на сервере RADIUS.

- Убедитесь, что пользователь настроен на сервере RADIUS. В этом примере сконфигурирован пользователь admin@huawei.com (в формате имя

пользователя@имя домена) и пароль Huawei@1234.

- Этот пример относится ко всем версиям всех коммутаторов серии S.

 

Требования к сети

Сетевому администратору требуется дистанционное управление и обслуживание коммутатора и высокая сетевая безопасность для защиты сети от

несанкционированного доступа. Чтобы выполнить эти требования, настройте вход в Telnet на основе правил ACL и аутентификации RADIUS.

Как показано на рисунке ниже, коммутатор имеет доступные маршруты для администратора и сервера RADIUS. IP-адрес и номер порта RADIUS-сервера - 10.2.1.1/24 и 1812 соответственно.


1


Схема настройки

1. Настройте протокол Telnet, чтобы пользователи могли войти в коммутатор с помощью Telnet.

2. Настройте правило ACL, чтобы гарантировать, что на коммутатор могут войти только пользователи, соответствующие правилу ACL.

3. Настройте протокол RADIUS для реализации аутентификации RADIUS. По завершении настройки можете использовать имя пользователя и пароль,

настроенные на сервере RADIUS, для входа в коммутатор с использованием Telnet, обеспечивающего безопасность входа пользователя.

Процедура

Шаг 1 Настройте вход по Telnet.

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] telnet server enable
[Switch] user-interface vty 0 14 //Установите тип доступа на telnet, то есть пользователь Telnet.
[Switch-ui-vty0-14] protocol inbound telnet //Настройте пользовательский интерфейс VTY для поддержки Telnet. По умолчанию коммутаторы вV200R006 и более ранних версиях поддерживают Telnet, а коммутаторы в V200R007 и более поздних версиях поддерживают SSH.
[Switch-ui-vty0-14] authentication-mode aaa //Установите режим проверки подлинности пользователей от VTY 0 до VTY 14 на AAA.
[Switch-ui-vty0-14] user privilege level 15 //Установите уровень пользователей от VTY 0 до VTY 14 на 15.
[Switch-ui-vty0-14] quit

Шаг 2 Настройте основное правило ACL.

[Switch] acl 2008
[Switch-acl-basic-2008] rule permit source 10.137.217.177 0
[Switch-acl-basic-2008] quit
[Switch] user-interface vty 0 14
[Switch-ui-vty0-14] acl 2008 inbound //Разрешите только пользователям, сопоставляющим ACL 2008 от VTY 0 до VTY 14, чтобы войти в коммутатор.
[Switch-ui-vty0-14] quit

Шаг 3 Настройте аутентификацию RADIUS.

# Настроить шаблон сервера RADIUS на коммутаторе для реализации связи с сервером RADIUS.
[Switch] radius-server template 1 //Войдите в вид шаблона сервера RADIUS.
[Switch-radius-1] radius-server authentication 10.2.1.1 1812 //Настройте сервер RADIUS.
[Switch-radius-1] radius-server shared-key cipher Huawei@6789 //Установите общий ключ сервера RADIUS на Huawei@6789.
[Switch-radius-1] quit

ПРИМЕЧАНИЕ

Если сервер RADIUS не поддерживает имя пользователя, содержащее имя домена, запустите команду undo radius-server user-name domain-included для настройки коммутатора в целях отправки пакетов с именем пользователя без имени домена на сервер RADIUS.

# Настроить схему аутентификации AAA, при этом режим аутентификации - RADIUS.
[Switch] aaa
[Switch-aaa] authentication-scheme sch1 //Создайте схему аутентификации с именем sch1.
[Switch-aaa-authen-sch1] authentication-mode radius //Установите режим аутентификации на RADIUS.
[Switch-aaa-authen-sch1] quit
# Создать домен, применить схему аутентификации AAA и шаблон сервера RADIUS в домене.
[Switch-aaa] domain huawei.com //Создайте домен с именем huawei.com и войдите в вид домена.
[Switch-aaa-domain-huawei.com] authentication-scheme sch1 //Настройте схему аутентификации sch1 для домена.
[Switch-aaa-domain-huawei.com] radius-server 1 //Примените шаблона сервера RADIUS 1 к домену.
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit
# Настроить домен huawei.com как домен глобального управления по умолчанию, поэтому администратору не нужно вводить имя домена для входа в коммутатор.

[Switch] domain huawei.com admin

Шаг 4 Проверьте конфигурацию.

Выберите Start > Run в качестве администратора. Введите cmd для открытия окна командной строки Windows. Введите telnet 10.1.1.1 и нажмите Enter.

C:\Documents and Settings\Administrator> telnet 10.1.1.1

В интерфейсе входа введите имя пользователя admin и пароль Huawei@1234, как было предложено, и нажмите Enter. Аутентификация завершается успешно, и вы успешно входите в коммутатор с помощью Telnet. (Следующая информация приведена исключительно в справочных целях)

Login authentication
Username:admin
Password:
Info: The max number of VTY users is 8, and the number of current VTY users on line is 2.
The current login time is 2014-07-30 09:54:02+08:00.
<Switch>

  • x

user_2909167
Модератор Опубликовано 2019-11-14 14:25:16 Полезно(0) Полезно(0)

++

Файл конфигурации коммутатора

#
sysname Switch
#
domain huawei.com admin
#
telnet server enable
#
radius-server template 1
radius-server shared-key cipher %^%#}+ysUO*B&+p'NRQR0{ZW7[GA*Z*!X@o:Va15dxQAj+,$>NP>63de|G~ws,9G%^%#
radius-server authentication 10.2.1.1 1812 weight 80
#
acl number 2008
rule 5 permit source 10.137.217.177 0
#
aaa
authentication-scheme sch1
authentication-mode radius
domain huawei.com
authentication-scheme sch1
radius-server 1
#
user-interface vty 0 14
acl 2008 inbound
authentication-mode aaa
user privilege level 15
protocol inbound telnet
#
return

  • x

KKV
Опубликовано 2019-11-14 17:50:27 Полезно(0) Полезно(0)
Пожалуйста, скажите, а открытие сеанса связи с помощью telnet не приведёт к сбросу пользователей, залогиненых другим способом? На других устройствах сталкивался с ситуациями, когда таким образом "лечилось" зависание клиентской сессии на Web.
  • x

user_2909167
Модератор Опубликовано 2019-11-14 17:57:52 Полезно(0) Полезно(0)
На девайсе одновременно могут быть залогинены несколько пользователей telnet/ssh. По дефолту это 5, максимум до 15 (команда user-interface maximum-vty Х)
Также есть настраиваемый таймаут авто-отключения пользователей. по дефолту 10 минут (idle-timeout). Таймаут настраивается от 1 секунды до 35791 минут. А можно и авто-дисконект отключить (значением 0).
  • x

Комментарий

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.
Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход