配置服务器设置
服务器设置 时间:2021-01-30 阅读:()
H3CAAA配置举例Copyright2017新华三技术有限公司版权所有,保留一切权利.
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
本文档中的信息可能变动,恕不另行通知.
i目录1简介·12配置前提·13Telnet用户的HWTACACS认证和授权配置举例13.
1组网需求·13.
2配置思路·13.
3使用版本·23.
4配置步骤·23.
4.
1配置HWTACACS·23.
4.
2配置Device·63.
5验证配置·73.
6配置文件·74SSH用户的RADIUS认证和授权配置举例84.
1组网需求·84.
2配置思路·94.
3使用版本·94.
4配置注意事项·94.
5配置步骤·104.
5.
1配置RADIUS服务器·104.
5.
2配置Device·114.
6验证配置·134.
7配置文件·145相关资料·1511简介本文档介绍了Telnet、SSH用户通过AAA服务器进行登录认证和授权的配置举例.
2配置前提本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置.
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突.
本文假设您已了解AAA特性.
3Telnet用户的HWTACACS认证和授权配置举例3.
1组网需求如图3-1所示,通过在作为NAS的Device上配置远程HWTACACS认证、授权功能,实现Telnet用户的安全登录.
要求在Device上配置实现:HWTACACS服务器对登录Device的Telnet用户进行认证和授权,登录用户名为user@bbb,密码为aabbcc;用户通过认证后可执行系统所有功能和资源的相关display命令.
图3-1Telnet用户的远端HWTACACS认证和授权配置组网图3.
2配置思路为了使HWTACACS服务器能够识别合法的用户,在HWTACACS服务器上添加合法的Telnet用户名和密码.
DeviceHWTACACSserver10.
1.
1.
1/24InternetVlan-int2192.
168.
57.
12/24Vlan-int310.
1.
1.
2/24Telnetuser192.
168.
57.
1/242为了使用户通过认证后可执行系统所有功能和资源的相关display命令,在HWTACACS服务器上设置用户角色为network-operator.
由于本例中用户登录Device要通过AAA处理,因此Telnet用户登录的用户界面认证方式配置为scheme.
为了实现通过HWTACACS来进行认证和授权,需要在Device上配置HWTACACS方案并指定相应的认证和授权服务器,并将其应用于Telnet用户所属的ISP域.
为了在Device和HWTACACS服务器之间安全地传输用户密码,并且能在Device上验证服务器响应报文未被篡改,在Device和HWTACACS服务器上都要设置交互报文时所使用的共享密钥.
3.
3使用版本本举例是在S7600-CMW710-R7536P05版本上进行配置和验证的.
3.
4配置步骤3.
4.
1配置HWTACACS本文以HWTACACS服务器ACS4.
0为例,说明该例中HWTACACS的基本配置.
1.
增加设备管理用户#登录进入HWTACACS管理平台,点击左侧导航栏"User-Setup"增加设备管理用户.
在界面上输入用户名"user@bbb";点击按钮"Add/Edit"进入用户编辑页面.
3图3-2用户创建界面2.
配置设备管理用户#在用户编辑页面上配置设备管理用户.
配置用户密码"aabbcc";为用户选择组"Group1";单击"Submit"完成操作.
4图3-3用户密码配置界面3.
配置网络#点击左侧导航栏"NetworkConfiguration",在"AAAClientHostname"处任意命名(本例为"Device")后开始配置网络.
"AAAClientIPAddress"一栏填写Device与HWTACACS服务器相连的接口的IP地址"10.
1.
1.
2".
"Key"一栏填写HWTACACS服务器和设备通信时的共享密钥"expert",必须和Device上HWTACACS方案里配置的认证、授权和计费共享密钥相同.
在"AuthenticateUsing"的下拉框里选择"TACACS+(CiscoIOS)".
单击"Submit+Apply"按钮完成配置.
5图3-4网络配置界面4.
设置组#单击左侧导航栏"GroupSetup",选取"Group1"(与配置设备管理用户时为用户选择的组一致),单击"EditSettings"进入编辑区.
在多选框中选择"Shell"(用户可以执行命令);在多选框中选择"Customattributes",并在文本框中输入:roles=\"network-operator\";单击"Submit"后完成操作.
图3-5选择组界面6图3-6组配置界面3.
4.
2配置Device#创建VLAN2,并将GigabitEthernet2/0/2加入VLAN2.
system-view[Device]vlan2[Device-vlan2]portgigabitethernet2/0/2[Device-vlan2]quit#配置VLAN接口2的IP地址.
[Device]interfacevlan-interface2[Device-Vlan-interface2]ipaddress192.
168.
57.
12255.
255.
255.
0[Device-Vlan-interface2]quit#创建VLAN3,并将GigabitEthernet2/0/1加入VLAN3.
[Device]vlan3[Device-vlan3]portgigabitethernet2/0/1[Device-vlan3]quit#配置VLAN接口3的IP地址.
[Device]interfacevlan-interface3[Device-Vlan-interface3]ipaddress10.
1.
1.
2255.
255.
255.
0[Device-Vlan-interface3]quit#开启Device的Telnet服务器功能.
7[Device]telnetserverenable#配置Telnet用户登录的用户界面采用scheme方式.
[Device]linevty063[Device-line-vty0-63]authentication-modescheme[Device-line-vty0-63]quit#配置HWTACACS方案hwtac.
[Device]hwtacacsschemehwtac#配置主认证、授权和计费服务器的IP地址为10.
1.
1.
1,认证、授权和计费的端口号为49(HWTACACS服务器的认证、授权和计费端口为TCP端口49).
[Device-hwtacacs-hwtac]primaryauthentication10.
1.
1.
149[Device-hwtacacs-hwtac]primaryauthorization10.
1.
1.
149[Device-hwtacacs-hwtac]primaryaccounting10.
1.
1.
149#配置与认证、授权和计费服务器交互报文时的共享密钥均为明文expert.
[Device-hwtacacs-hwtac]keyauthenticationsimpleexpert[Device-hwtacacs-hwtac]keyauthorizationsimpleexpert[Device-hwtacacs-hwtac]keyaccountingsimpleexpert[Device-hwtacacs-hwtac]quit#配置ISP域的AAA方案,为login用户配置AAA认证方法为HWTACACS认证、授权和计费.
[Device]domainbbb[Device-isp-bbb]authenticationloginhwtacacs-schemehwtac[Device-isp-bbb]authorizationloginhwtacacs-schemehwtac[Device-isp-bbb]accountingloginhwtacacs-schemehwtac[Device-isp-bbb]quit3.
5验证配置Telnet用户可以使用用户名user@bbb和密码aabbcc通过认证,并且获得用户角色network-operator(用户通过认证后可执行系统所有功能和资源的相关display命令).
3.
6配置文件#telnetserverenable#vlan2to3#interfaceVlan-interface2ipaddress192.
168.
57.
12255.
255.
255.
0#interfaceVlan-interface3ipaddress10.
1.
1.
2255.
255.
255.
0#interfaceGigabitEthernet2/0/2portlink-modebridgeportaccessvlan2#8interfaceGigabitEthernet2/0/1portlink-modebridgeportaccessvlan3#linevty063authentication-modeschemeuser-rolenetwork-operator#hwtacacsschemehwtacprimaryauthentication10.
1.
1.
1primaryauthorization10.
1.
1.
1primaryaccounting10.
1.
1.
1keyauthenticationcipher$c$3$X3oR/wjLFjDqIyjdAmvjwAhiuqewGABglQ==keyauthorizationcipher$c$3$5pmuq0RJ9UWMWDkRNNERX6HFM0aRv5txFg==keyaccountingcipher$c$3$FSdSiBY1u+ZNkAYYlPw9YkGxJA4iR8MDjw==#domainbbbauthenticationloginhwtacacs-schemehwtacauthorizationloginhwtacacs-schemehwtacaccountingloginhwtacacs-schemehwtac#4SSH用户的RADIUS认证和授权配置举例4.
1组网需求如图4-1所示,通过在作为NAS的Device上配置远程RADIUS认证、授权功能,实现SSH用户的安全登录.
在网络架构上采用主从RADIUS服务器的方式来提高用户认证的稳定性.
要求在Device上配置实现:使用RADIUS服务器对登录Device的SSH用户进行认证和授权,登录用户名为hello@bbb,密码为aabbcc;Device向RADIUS服务器发送的用户名带域名,服务器根据用户名携带的域名来区分提供给用户的服务.
用户通过认证后可执行系统所有功能和资源的相关display命令.
9图4-1SSH用户的远端RADIUS认证和授权配置组网图4.
2配置思路为了使主/从RADIUS服务器能够识别合法的用户,在主/从RADIUS服务器上添加合法的用户名和密码.
为了使用户通过认证后可执行系统所有功能和资源的相关display命令,在主/从RADIUS服务器上设置用户角色为network-operator.
因为SSH用户登录Device要通过AAA处理,因此SSH用户登录的用户界面认证方式配置为scheme.
为了实现通过RADIUS来进行认证和授权,需要在Device上配置RADIUS方案并指定相应的主/从认证和授权服务器,并将其应用于SSH用户所属的ISP域.
为了在Device和主/从RADIUS服务器之间安全地传输用户密码,并且能在Device上验证主/从RADIUS服务器响应报文未被篡改,在Device和主/从RADIUS服务器上都要设置交互报文时所使用的共享密钥.
4.
3使用版本本举例是在S7600-CMW710-R7536P05版本上进行配置和验证的.
4.
4配置注意事项SSH服务器支持的ECDSA密钥对的类型为secp256r1和secp384r1.
SSH服务器仅支持默认名称的本地密钥对,不支持指定名称的本地密钥对.
104.
5配置步骤4.
5.
1配置RADIUS服务器本节以iMC为例(使用iMC版本为:iMCPLAT7.
0(E0102)、iMCEIA7.
0(E0201)),说明该例中RADIUS服务器的基本配置.
主从RADIUS服务器设置相同,本节以主RADIUS服务器设置为例.
1.
增加接入设备#登录进入iMC管理平台,选择"用户"页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击"增加"按钮,进入增加接入设备页面.
设置与Device交互报文时使用的认证和授权共享密钥为"expert";设置认证及计费的端口号分别为"1812"(RADIUS服务器的认证端口为UDP端口1812)和"1813"(RADIUS服务器的计费端口为UDP端口1813);选择业务类型为"设备管理业务";选择接入设备类型为"H3C(General)";选择或手工增加接入设备,添加IP地址为10.
1.
1.
2的接入设备;其它参数采用缺省值,并单击按钮完成操作.
图4-2增加接入设备2.
增加设备管理用户#选择"用户"页签,单击导航树中的[接入用户管理视图/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击按钮,进入增加设备管理用户页面.
11输入用户名"hello@bbb"和密码.
选择服务类型为"SSH".
输入用户角色名"network-operator"添加所管理设备的IP地址,IP地址范围为"10.
1.
1.
0~10.
1.
1.
255".
单击按钮完成操作.
添加的所管理设备的IP地址范围要包含添加的接入设备的IP地址.
图4-3增加设备管理用户4.
5.
2配置Device#创建VLAN2,并将GigabitEthernet2/0/2加入VLAN2.
system-view[Device]vlan2[Device-vlan2]portgigabitethernet2/0/2[Device-vlan2]quit#配置VLAN接口2的IP地址.
12[Device]interfacevlan-interface2[Device-Vlan-interface2]ipaddress192.
168.
1.
70255.
255.
255.
0[Device-Vlan-interface2]quit#创建VLAN3,并将GigabitEthernet2/0/1加入VLAN3.
[Device]vlan3[Device-vlan3]portgigabitethernet2/0/1[Device-vlan3]quit#配置VLAN接口3的IP地址.
[Device]interfacevlan-interface3[Device-Vlan-interface3]ipaddress10.
1.
1.
2255.
255.
255.
0[Device-Vlan-interface3]quit#生成RSA密钥对.
[Device]public-keylocalcreatersaTherangeofpublickeysizeis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
.
.
Createthekeypairsuccessfully.
#生成DSA密钥对.
[Device]public-keylocalcreatedsaTherangeofpublickeysizeis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
.
.
Createthekeypairsuccessfully.
#生成secp256r1类型的ECDSA密钥对.
[Device]public-keylocalcreateecdsasecp256r1GeneratingKeys.
.
.
.
Createthekeypairsuccessfully.
#生成secp384r1类型的ECDSA密钥对.
[Device]public-keylocalcreateecdsasecp384r1GeneratingKeys.
.
.
.
Createthekeypairsuccessfully.
#使能SSH服务器功能.
[Device]sshserverenable#配置SSH用户登录采用AAA认证方式.
[Device]linevty063[Device-line-vty0-63]authentication-modescheme[Device-line-vty0-63]quit#创建RADIUS方案rad.
13[Device]radiusschemerad#配置主认证服务器的IP地址为10.
1.
1.
1,认证端口号为1812.
[Device-radius-rad]primaryauthentication10.
1.
1.
11812#配置从认证服务器的IP地址为10.
1.
1.
11,认证端口号为1812.
[Device-radius-rad]secondaryauthentication10.
1.
1.
111812#配置主计费服务器的IP地址为10.
1.
1.
1,计费端口号为1813.
[Device-radius-rad]primaryaccounting10.
1.
1.
11813#配置从计费服务器的IP地址为10.
1.
1.
11,计费端口号为1813.
[Device-radius-rad]secondaryaccounting10.
1.
1.
111813#配置与认证和计费服务器交互报文时的共享密钥为明文expert.
[Device-radius-rad]keyauthenticationsimpleexpert[Device-radius-rad]keyaccountingsimpleexpert#配置向RADIUS服务器发送的用户名要携带域名.
[Device-radius-rad]user-name-formatwith-domain[Device-radius-rad]quit#创建ISP域bbb,为login用户配置AAA认证方法为RADIUS认证、授权和计费.
[Device]domainbbb[Device-isp-bbb]authenticationloginradius-schemerad[Device-isp-bbb]authorizationloginradius-schemerad[Device-isp-bbb]accountingloginradius-schemerad[Device-isp-bbb]quit4.
6验证配置用户向Device发起SSH连接,在SSH客户端按照提示输入用户名hello@bbb和密码aabbcc通过认证,并且获得用户角色network-operator(用户通过认证后可执行系统所有功能和资源的相关display命令).
主服务器可达时,设备与主RADIUS服务器进行交互.
#显示主服务器可达时的RADIUS方案的配置信息.
displayradiusschemeTotal1RADIUSschemesRADIUSschemename:radIndex:0Primaryauthenticationserver:IP:10.
1.
1.
1Port:1812VPN:NotconfiguredState:ActiveTestprofile:NotconfiguredWeight:0Primaryaccountingserver:IP:10.
1.
1.
1Port:1813VPN:NotconfiguredState:Active14Weight:0Secondauthenticationserver:IP:10.
1.
1.
11Port:1812VPN:NotconfiguredState:ActiveTestprofile:NotconfiguredWeight:0Secondaccountingserver:IP:10.
1.
1.
11Port:1813VPN:NotconfiguredState:ActiveWeight:0Accounting-Onfunction:Disabledextendedfunction:Disabledretransmissiontimes:50retransmissioninterval(seconds):3TimeoutInterval(seconds):3RetransmissionTimes:3RetransmissionTimesforAccountingUpdate:5ServerQuietPeriod(minutes):5RealtimeAccountingInterval(seconds):720Stop-accountingpacketsbuffering:EnabledRetransmissiontimes:500NASIPAddress:NotconfiguredVPN:NotconfiguredUserNameFormat:with-domainDataflowunit:BytePacketunit:OneAttribute15check-mode:StrictAttribute25:StandardAttributeRemanent-Volumeunit:Kiloserver-load-sharing:DisabledAttribute31MACformat:HH-HH-HH-HH-HH-HH主服务器不可达时,再查看RADIUS方案的配置信息,会发现主服务器的状态从Active变为Block.
此时,设备变成与从RADIUS服务器进行交互.
4.
7配置文件#vlan2to3#interfaceVlan-interface2ipaddress192.
168.
1.
70255.
255.
255.
0#interfaceVlan-interface3ipaddress10.
1.
1.
2255.
255.
255.
0#interfaceGigabitEthernet2/0/215portlink-modebridgeportaccessvlan2#interfaceGigabitEthernet2/0/1portlink-modebridgeportaccessvlan3#linevty063authentication-modeschemeuser-rolenetwork-operator#sshserverenable#radiusschemeradprimaryauthentication10.
1.
1.
1primaryaccounting10.
1.
1.
1secondaryauthentication10.
1.
1.
11secondaryaccounting10.
1.
1.
11keyauthenticationcipher$c$3$GBZ1jhslcGwSOpSejsESMnOr8Gb8SIT5ew==keyaccountingcipher$c$3$nGb/DWK8pxbHaLXQVc+xsmbUr1etIZVd7Q==#domainbbbauthenticationloginradius-schemeradauthorizationloginradius-schemeradaccountingloginradius-schemerad#5相关资料H3CS7600系列交换机安全配置指导-R7536P05H3CS7600系列交换机安全命令参考-R7536P05
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播.
本文档中的信息可能变动,恕不另行通知.
i目录1简介·12配置前提·13Telnet用户的HWTACACS认证和授权配置举例13.
1组网需求·13.
2配置思路·13.
3使用版本·23.
4配置步骤·23.
4.
1配置HWTACACS·23.
4.
2配置Device·63.
5验证配置·73.
6配置文件·74SSH用户的RADIUS认证和授权配置举例84.
1组网需求·84.
2配置思路·94.
3使用版本·94.
4配置注意事项·94.
5配置步骤·104.
5.
1配置RADIUS服务器·104.
5.
2配置Device·114.
6验证配置·134.
7配置文件·145相关资料·1511简介本文档介绍了Telnet、SSH用户通过AAA服务器进行登录认证和授权的配置举例.
2配置前提本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置.
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突.
本文假设您已了解AAA特性.
3Telnet用户的HWTACACS认证和授权配置举例3.
1组网需求如图3-1所示,通过在作为NAS的Device上配置远程HWTACACS认证、授权功能,实现Telnet用户的安全登录.
要求在Device上配置实现:HWTACACS服务器对登录Device的Telnet用户进行认证和授权,登录用户名为user@bbb,密码为aabbcc;用户通过认证后可执行系统所有功能和资源的相关display命令.
图3-1Telnet用户的远端HWTACACS认证和授权配置组网图3.
2配置思路为了使HWTACACS服务器能够识别合法的用户,在HWTACACS服务器上添加合法的Telnet用户名和密码.
DeviceHWTACACSserver10.
1.
1.
1/24InternetVlan-int2192.
168.
57.
12/24Vlan-int310.
1.
1.
2/24Telnetuser192.
168.
57.
1/242为了使用户通过认证后可执行系统所有功能和资源的相关display命令,在HWTACACS服务器上设置用户角色为network-operator.
由于本例中用户登录Device要通过AAA处理,因此Telnet用户登录的用户界面认证方式配置为scheme.
为了实现通过HWTACACS来进行认证和授权,需要在Device上配置HWTACACS方案并指定相应的认证和授权服务器,并将其应用于Telnet用户所属的ISP域.
为了在Device和HWTACACS服务器之间安全地传输用户密码,并且能在Device上验证服务器响应报文未被篡改,在Device和HWTACACS服务器上都要设置交互报文时所使用的共享密钥.
3.
3使用版本本举例是在S7600-CMW710-R7536P05版本上进行配置和验证的.
3.
4配置步骤3.
4.
1配置HWTACACS本文以HWTACACS服务器ACS4.
0为例,说明该例中HWTACACS的基本配置.
1.
增加设备管理用户#登录进入HWTACACS管理平台,点击左侧导航栏"User-Setup"增加设备管理用户.
在界面上输入用户名"user@bbb";点击按钮"Add/Edit"进入用户编辑页面.
3图3-2用户创建界面2.
配置设备管理用户#在用户编辑页面上配置设备管理用户.
配置用户密码"aabbcc";为用户选择组"Group1";单击"Submit"完成操作.
4图3-3用户密码配置界面3.
配置网络#点击左侧导航栏"NetworkConfiguration",在"AAAClientHostname"处任意命名(本例为"Device")后开始配置网络.
"AAAClientIPAddress"一栏填写Device与HWTACACS服务器相连的接口的IP地址"10.
1.
1.
2".
"Key"一栏填写HWTACACS服务器和设备通信时的共享密钥"expert",必须和Device上HWTACACS方案里配置的认证、授权和计费共享密钥相同.
在"AuthenticateUsing"的下拉框里选择"TACACS+(CiscoIOS)".
单击"Submit+Apply"按钮完成配置.
5图3-4网络配置界面4.
设置组#单击左侧导航栏"GroupSetup",选取"Group1"(与配置设备管理用户时为用户选择的组一致),单击"EditSettings"进入编辑区.
在多选框中选择"Shell"(用户可以执行命令);在多选框中选择"Customattributes",并在文本框中输入:roles=\"network-operator\";单击"Submit"后完成操作.
图3-5选择组界面6图3-6组配置界面3.
4.
2配置Device#创建VLAN2,并将GigabitEthernet2/0/2加入VLAN2.
system-view[Device]vlan2[Device-vlan2]portgigabitethernet2/0/2[Device-vlan2]quit#配置VLAN接口2的IP地址.
[Device]interfacevlan-interface2[Device-Vlan-interface2]ipaddress192.
168.
57.
12255.
255.
255.
0[Device-Vlan-interface2]quit#创建VLAN3,并将GigabitEthernet2/0/1加入VLAN3.
[Device]vlan3[Device-vlan3]portgigabitethernet2/0/1[Device-vlan3]quit#配置VLAN接口3的IP地址.
[Device]interfacevlan-interface3[Device-Vlan-interface3]ipaddress10.
1.
1.
2255.
255.
255.
0[Device-Vlan-interface3]quit#开启Device的Telnet服务器功能.
7[Device]telnetserverenable#配置Telnet用户登录的用户界面采用scheme方式.
[Device]linevty063[Device-line-vty0-63]authentication-modescheme[Device-line-vty0-63]quit#配置HWTACACS方案hwtac.
[Device]hwtacacsschemehwtac#配置主认证、授权和计费服务器的IP地址为10.
1.
1.
1,认证、授权和计费的端口号为49(HWTACACS服务器的认证、授权和计费端口为TCP端口49).
[Device-hwtacacs-hwtac]primaryauthentication10.
1.
1.
149[Device-hwtacacs-hwtac]primaryauthorization10.
1.
1.
149[Device-hwtacacs-hwtac]primaryaccounting10.
1.
1.
149#配置与认证、授权和计费服务器交互报文时的共享密钥均为明文expert.
[Device-hwtacacs-hwtac]keyauthenticationsimpleexpert[Device-hwtacacs-hwtac]keyauthorizationsimpleexpert[Device-hwtacacs-hwtac]keyaccountingsimpleexpert[Device-hwtacacs-hwtac]quit#配置ISP域的AAA方案,为login用户配置AAA认证方法为HWTACACS认证、授权和计费.
[Device]domainbbb[Device-isp-bbb]authenticationloginhwtacacs-schemehwtac[Device-isp-bbb]authorizationloginhwtacacs-schemehwtac[Device-isp-bbb]accountingloginhwtacacs-schemehwtac[Device-isp-bbb]quit3.
5验证配置Telnet用户可以使用用户名user@bbb和密码aabbcc通过认证,并且获得用户角色network-operator(用户通过认证后可执行系统所有功能和资源的相关display命令).
3.
6配置文件#telnetserverenable#vlan2to3#interfaceVlan-interface2ipaddress192.
168.
57.
12255.
255.
255.
0#interfaceVlan-interface3ipaddress10.
1.
1.
2255.
255.
255.
0#interfaceGigabitEthernet2/0/2portlink-modebridgeportaccessvlan2#8interfaceGigabitEthernet2/0/1portlink-modebridgeportaccessvlan3#linevty063authentication-modeschemeuser-rolenetwork-operator#hwtacacsschemehwtacprimaryauthentication10.
1.
1.
1primaryauthorization10.
1.
1.
1primaryaccounting10.
1.
1.
1keyauthenticationcipher$c$3$X3oR/wjLFjDqIyjdAmvjwAhiuqewGABglQ==keyauthorizationcipher$c$3$5pmuq0RJ9UWMWDkRNNERX6HFM0aRv5txFg==keyaccountingcipher$c$3$FSdSiBY1u+ZNkAYYlPw9YkGxJA4iR8MDjw==#domainbbbauthenticationloginhwtacacs-schemehwtacauthorizationloginhwtacacs-schemehwtacaccountingloginhwtacacs-schemehwtac#4SSH用户的RADIUS认证和授权配置举例4.
1组网需求如图4-1所示,通过在作为NAS的Device上配置远程RADIUS认证、授权功能,实现SSH用户的安全登录.
在网络架构上采用主从RADIUS服务器的方式来提高用户认证的稳定性.
要求在Device上配置实现:使用RADIUS服务器对登录Device的SSH用户进行认证和授权,登录用户名为hello@bbb,密码为aabbcc;Device向RADIUS服务器发送的用户名带域名,服务器根据用户名携带的域名来区分提供给用户的服务.
用户通过认证后可执行系统所有功能和资源的相关display命令.
9图4-1SSH用户的远端RADIUS认证和授权配置组网图4.
2配置思路为了使主/从RADIUS服务器能够识别合法的用户,在主/从RADIUS服务器上添加合法的用户名和密码.
为了使用户通过认证后可执行系统所有功能和资源的相关display命令,在主/从RADIUS服务器上设置用户角色为network-operator.
因为SSH用户登录Device要通过AAA处理,因此SSH用户登录的用户界面认证方式配置为scheme.
为了实现通过RADIUS来进行认证和授权,需要在Device上配置RADIUS方案并指定相应的主/从认证和授权服务器,并将其应用于SSH用户所属的ISP域.
为了在Device和主/从RADIUS服务器之间安全地传输用户密码,并且能在Device上验证主/从RADIUS服务器响应报文未被篡改,在Device和主/从RADIUS服务器上都要设置交互报文时所使用的共享密钥.
4.
3使用版本本举例是在S7600-CMW710-R7536P05版本上进行配置和验证的.
4.
4配置注意事项SSH服务器支持的ECDSA密钥对的类型为secp256r1和secp384r1.
SSH服务器仅支持默认名称的本地密钥对,不支持指定名称的本地密钥对.
104.
5配置步骤4.
5.
1配置RADIUS服务器本节以iMC为例(使用iMC版本为:iMCPLAT7.
0(E0102)、iMCEIA7.
0(E0201)),说明该例中RADIUS服务器的基本配置.
主从RADIUS服务器设置相同,本节以主RADIUS服务器设置为例.
1.
增加接入设备#登录进入iMC管理平台,选择"用户"页签,单击导航树中的[接入策略管理/接入设备管理/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击"增加"按钮,进入增加接入设备页面.
设置与Device交互报文时使用的认证和授权共享密钥为"expert";设置认证及计费的端口号分别为"1812"(RADIUS服务器的认证端口为UDP端口1812)和"1813"(RADIUS服务器的计费端口为UDP端口1813);选择业务类型为"设备管理业务";选择接入设备类型为"H3C(General)";选择或手工增加接入设备,添加IP地址为10.
1.
1.
2的接入设备;其它参数采用缺省值,并单击按钮完成操作.
图4-2增加接入设备2.
增加设备管理用户#选择"用户"页签,单击导航树中的[接入用户管理视图/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击按钮,进入增加设备管理用户页面.
11输入用户名"hello@bbb"和密码.
选择服务类型为"SSH".
输入用户角色名"network-operator"添加所管理设备的IP地址,IP地址范围为"10.
1.
1.
0~10.
1.
1.
255".
单击按钮完成操作.
添加的所管理设备的IP地址范围要包含添加的接入设备的IP地址.
图4-3增加设备管理用户4.
5.
2配置Device#创建VLAN2,并将GigabitEthernet2/0/2加入VLAN2.
system-view[Device]vlan2[Device-vlan2]portgigabitethernet2/0/2[Device-vlan2]quit#配置VLAN接口2的IP地址.
12[Device]interfacevlan-interface2[Device-Vlan-interface2]ipaddress192.
168.
1.
70255.
255.
255.
0[Device-Vlan-interface2]quit#创建VLAN3,并将GigabitEthernet2/0/1加入VLAN3.
[Device]vlan3[Device-vlan3]portgigabitethernet2/0/1[Device-vlan3]quit#配置VLAN接口3的IP地址.
[Device]interfacevlan-interface3[Device-Vlan-interface3]ipaddress10.
1.
1.
2255.
255.
255.
0[Device-Vlan-interface3]quit#生成RSA密钥对.
[Device]public-keylocalcreatersaTherangeofpublickeysizeis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
.
.
Createthekeypairsuccessfully.
#生成DSA密钥对.
[Device]public-keylocalcreatedsaTherangeofpublickeysizeis(512~2048).
Ifthekeymodulusisgreaterthan512,itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthemoduluslength[default=1024]:GeneratingKeys.
.
.
.
.
Createthekeypairsuccessfully.
#生成secp256r1类型的ECDSA密钥对.
[Device]public-keylocalcreateecdsasecp256r1GeneratingKeys.
.
.
.
Createthekeypairsuccessfully.
#生成secp384r1类型的ECDSA密钥对.
[Device]public-keylocalcreateecdsasecp384r1GeneratingKeys.
.
.
.
Createthekeypairsuccessfully.
#使能SSH服务器功能.
[Device]sshserverenable#配置SSH用户登录采用AAA认证方式.
[Device]linevty063[Device-line-vty0-63]authentication-modescheme[Device-line-vty0-63]quit#创建RADIUS方案rad.
13[Device]radiusschemerad#配置主认证服务器的IP地址为10.
1.
1.
1,认证端口号为1812.
[Device-radius-rad]primaryauthentication10.
1.
1.
11812#配置从认证服务器的IP地址为10.
1.
1.
11,认证端口号为1812.
[Device-radius-rad]secondaryauthentication10.
1.
1.
111812#配置主计费服务器的IP地址为10.
1.
1.
1,计费端口号为1813.
[Device-radius-rad]primaryaccounting10.
1.
1.
11813#配置从计费服务器的IP地址为10.
1.
1.
11,计费端口号为1813.
[Device-radius-rad]secondaryaccounting10.
1.
1.
111813#配置与认证和计费服务器交互报文时的共享密钥为明文expert.
[Device-radius-rad]keyauthenticationsimpleexpert[Device-radius-rad]keyaccountingsimpleexpert#配置向RADIUS服务器发送的用户名要携带域名.
[Device-radius-rad]user-name-formatwith-domain[Device-radius-rad]quit#创建ISP域bbb,为login用户配置AAA认证方法为RADIUS认证、授权和计费.
[Device]domainbbb[Device-isp-bbb]authenticationloginradius-schemerad[Device-isp-bbb]authorizationloginradius-schemerad[Device-isp-bbb]accountingloginradius-schemerad[Device-isp-bbb]quit4.
6验证配置用户向Device发起SSH连接,在SSH客户端按照提示输入用户名hello@bbb和密码aabbcc通过认证,并且获得用户角色network-operator(用户通过认证后可执行系统所有功能和资源的相关display命令).
主服务器可达时,设备与主RADIUS服务器进行交互.
#显示主服务器可达时的RADIUS方案的配置信息.
displayradiusschemeTotal1RADIUSschemesRADIUSschemename:radIndex:0Primaryauthenticationserver:IP:10.
1.
1.
1Port:1812VPN:NotconfiguredState:ActiveTestprofile:NotconfiguredWeight:0Primaryaccountingserver:IP:10.
1.
1.
1Port:1813VPN:NotconfiguredState:Active14Weight:0Secondauthenticationserver:IP:10.
1.
1.
11Port:1812VPN:NotconfiguredState:ActiveTestprofile:NotconfiguredWeight:0Secondaccountingserver:IP:10.
1.
1.
11Port:1813VPN:NotconfiguredState:ActiveWeight:0Accounting-Onfunction:Disabledextendedfunction:Disabledretransmissiontimes:50retransmissioninterval(seconds):3TimeoutInterval(seconds):3RetransmissionTimes:3RetransmissionTimesforAccountingUpdate:5ServerQuietPeriod(minutes):5RealtimeAccountingInterval(seconds):720Stop-accountingpacketsbuffering:EnabledRetransmissiontimes:500NASIPAddress:NotconfiguredVPN:NotconfiguredUserNameFormat:with-domainDataflowunit:BytePacketunit:OneAttribute15check-mode:StrictAttribute25:StandardAttributeRemanent-Volumeunit:Kiloserver-load-sharing:DisabledAttribute31MACformat:HH-HH-HH-HH-HH-HH主服务器不可达时,再查看RADIUS方案的配置信息,会发现主服务器的状态从Active变为Block.
此时,设备变成与从RADIUS服务器进行交互.
4.
7配置文件#vlan2to3#interfaceVlan-interface2ipaddress192.
168.
1.
70255.
255.
255.
0#interfaceVlan-interface3ipaddress10.
1.
1.
2255.
255.
255.
0#interfaceGigabitEthernet2/0/215portlink-modebridgeportaccessvlan2#interfaceGigabitEthernet2/0/1portlink-modebridgeportaccessvlan3#linevty063authentication-modeschemeuser-rolenetwork-operator#sshserverenable#radiusschemeradprimaryauthentication10.
1.
1.
1primaryaccounting10.
1.
1.
1secondaryauthentication10.
1.
1.
11secondaryaccounting10.
1.
1.
11keyauthenticationcipher$c$3$GBZ1jhslcGwSOpSejsESMnOr8Gb8SIT5ew==keyaccountingcipher$c$3$nGb/DWK8pxbHaLXQVc+xsmbUr1etIZVd7Q==#domainbbbauthenticationloginradius-schemeradauthorizationloginradius-schemeradaccountingloginradius-schemerad#5相关资料H3CS7600系列交换机安全配置指导-R7536P05H3CS7600系列交换机安全命令参考-R7536P05
香港服务器多少钱一个月?香港云服务器最便宜价格
香港服务器多少钱一个月?香港服务器租用配置价格一个月多少,现在很多中小型企业在建站时都会租用香港服务器,租用香港服务器可以使网站访问更流畅、稳定性更好,安全性会更高等等。香港服务器的租用和其他地区的服务器租用配置元素都是一样的,那么为什么香港服务器那么受欢迎呢,香港云服务器最便宜价格多少钱一个月呢?阿里云轻量应用服务器最便宜的是1核1G峰值带宽30Mbps,24元/月,288元/年。不过我们一般选...
RAKsmart美国洛杉矶独立服务器 E3-1230 16GB内存 限时促销月$76
RAKsmart 商家我们应该较多的熟悉的,主营独立服务器和站群服务器业务。从去年开始有陆续的新增多个机房,包含韩国、日本、中国香港等。虽然他们家也有VPS主机,但是好像不是特别的重视,价格上特价的时候也是比较便宜的1.99美元月付(年中活动有促销)。不过他们的重点还是独立服务器,毕竟在这个产业中利润率较大。正如上面的Megalayer商家的美国服务器活动,这个同学有需要独立服务器,这里我一并整理...
个人网站备案流程及注意事项(内容方向和适用主机商)
如今我们还有在做个人网站吗?随着自媒体和短视频的发展和兴起,包括我们很多WEB2.0产品的延续,当然也包括个人建站市场的低迷和用户关注的不同,有些个人已经不在做网站。但是,由于我们有些朋友出于网站的爱好或者说是有些项目还是基于PC端网站的,还是有网友抱有信心的,比如我们看到有一些老牌个人网站依旧在运行,且还有新网站的出现。今天在这篇文章中谈谈有网友问关于个人网站备案的问题。这个也是前几天有他在选择...
服务器设置为你推荐
-
秦殇内存修改器秦殇1.30内存修改器Vista不能用吗??!美国10次啦导航美国GPS导航卫星百度空间首页请问怎样自己弄百度空间的主页图啊?登陆qq空间首页手机怎么没法登陆QQ空间首页了?麒麟820和980哪个好麒麟980跟骁龙855哪个好一点?轿车和suv哪个好轿车和SUV 哪个开起来更舒适闪迪和金士顿哪个好闪迪和金士顿哪个好手机浏览器哪个好用手机用哪个浏览器好一点云盘哪个好网络云盘哪个好用qq空间登录电脑求助,怎么登陆电脑版的qq空间