选择区域语言: EN CN HK

10-安全配置举例

00-H3C S12500 AAA典型配置举例

本章节下载  (172.86 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S12500/S12500/Configure/Typical_Configuration_Example/H3C_S12500-R1825P01-6W100/10/201308/794670_30005_0.htm

00-H3C S12500 AAA典型配置举例

H3C S12500 AAA配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2013 杭州华三通信技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

H3C_彩色.emf



1  简介

本文档介绍了Telnet、SSH用户通过AAA服务器进行登录认证和授权的配置举例。

AAA是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解AAA特性。

3  SSH用户通过RADIUS服务器认证和授权配置举例

3.1  组网需求

图1所示,要求在Switch上配置实现:RADIUS服务器对登录Switch的SSH用户进行认证和授权,登录用户名为userid@bbb,密码为aabbcc。

图1 SSH用户通过RADIUS服务器认证和授权组网图

 

3.2  配置思路

·     为了使RADIUS服务器能够识别合法的用户,在RADIUS服务器上添加合法的用户名和密码。

·     因为SSH用户登录Switch要通过AAA处理,因此SSH用户登录的用户界面认证方式配置为scheme。

·     为了在Switch和RADIUS服务器之间安全地传输用户密码,并且能在Switch上验证RADIUS服务器响应报文未被篡改,在Switch和RADIUS服务器上都要设置交互报文时所使用的共享密钥。

·     为了实现通过RADIUS来进行认证和授权,需要在Switch上配置RADIUS方案并指定相应的认证和授权服务器,并将其应用于SSH用户所属的ISP域。

3.3  使用版本

本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。

3.4  配置步骤

3.4.1  配置RADIUS server

说明

下面以H3C iMC为例(使用iMC版本为:iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)),说明RADIUS server的基本配置。

 

# 增加接入设备。

登录进入iMC管理平台,选择“业务”页签,单击导航树中的[接入业务/接入设备配置]菜单项,进入接入设备配置页面,在该页面中单击“增加”按钮,进入增加接入设备页面。

·     设置与Switch交互报文时使用的认证共享密钥为“expert”;

·     设置认证及计费的端口号分别为“1812”(RADIUS服务器的认证端口为UDP端口1812)和“1813”(RADIUS服务器的计费端口为UDP端口1813);

·     选择业务类型为“设备管理业务”;

·     选择接入设备类型为“H3C”;

·     选择或手工增加接入设备,添加IP地址为10.1.1.2的接入设备;

·     单击<确定>按钮完成操作。

图2 增加接入设备

 

# 增加设备管理用户。

选择“用户”页签,单击导航树中的[接入用户视图/设备管理用户]菜单项,进入设备管理用户列表页面,在该页面中单击<增加>按钮,进入增加设备管理页面。

·     输入用户名“hello@bbb”和密码“aabbcc”;

·     选择服务类型为“SSH”;

·     设置EXEC权限级别为“3”,该值为SSH用户登录系统后的用户级别(缺省为0);

·     增加所管理设备的IP地址,IP地址范围为“10.1.1.0~10.1.1.255”;

·     单击<确定>按钮完成操作。

图3 增加设备管理用户

 

3.4.2  配置Switch

# 配置VLAN接口2的IP地址,SSH客户端将通过该地址连接SSH服务器。

<Switch> system-view

[Switch] vlan 2

[Switch-vlan] port GigabitEthernet 2/0/2 

[Switch-vlan] quit

[Switch] interface GigabitEthernet 2/0/2

[Switch-GigabitEthernet2/0/2] undo shutdown

[Switch-GigabitEthernet2/0/2] quit

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] undo shutdown

[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0

[Switch-Vlan-interface2] quit

# 配置VLAN接口3的IP地址,Switch通过该地址连接RADIUS服务器。

<Switch> system-view

[Switch] vlan 3

[Switch-vlan] port GigabitEthernet 2/0/3 

[Switch-vlan] quit

[Switch] interface GigabitEthernet 2/0/3

[Switch-GigabitEthernet2/0/3] undo shutdown

[Switch-GigabitEthernet2/0/3] quit

[Switch] interface vlan-interface 3

[Switch-Vlan-interface3] undo shutdown

[Switch-Vlan-interface3] ip address 10.1.1.2 255.255.255.0

[Switch-Vlan-interface3] quit

# 生成RSA及DSA密钥对,并启动SSH服务器。

[Switch] public-key local create rsa

[Switch] public-key local create dsa

[Switch] ssh server enable

# 配置SSH用户登录的用户界面采用scheme方式。

[Switch] user-interface vty 0 15

[Switch-ui-vty0-15] authentication-mode scheme

# 配置用户远程登录Switch的协议为SSH。

[Switch-ui-vty0-15] protocol inbound ssh

[Switch-ui-vty0-15] quit

# 配置RADIUS方案。

[Switch] radius scheme rad

[Switch-radius-rad] primary authentication 10.1.1.1 1812

[Switch-radius-rad] primary accounting 10.1.1.1 1813

[Switch-radius-rad] key authentication expert

[Switch-radius-rad] key accounting expert

[Switch-radius-rad] server-type extended

[Switch-radius-rad] quit

# 配置ISP域的AAA方案。

[Switch] domain bbb

[Switch-isp-bbb] authentication login radius-scheme rad

[Switch-isp-bbb] authorization login radius-scheme rad

[Switch-isp-bbb] accounting login radius-scheme rad

[Switch-isp-bbb] quit

3.5  验证配置

SSH用户可以使用用户名userid@bbb和密码aabbcc通过认证,并且获得操作权限。

3.6  配置文件

#

vlan 2

#

vlan 3

#

interface Vlan-interface2

 ip address 192.168.1.70 255.255.255.0

#

interface Vlan-interface3

 ip address 10.1.1.2 255.255.255.0

#

radius scheme rad

primary authentication  10.1.1.1

 primary accounting 10.1.1.1

key authentication cipher $c$3$pbM+tCZB0KFMcBBhntpvngLYGV+wQFqI+g==

key accounting cipher $c$3$nE6Jts3YPpMFfWnqJzFa+4KlbQn16ouXtw==

#

domain test

 authentication login radius-scheme rad

 authorization login radius-scheme rad

 accounting login radius-scheme rad

access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

user-interface vty 0 15

 authentication-mode scheme

protocol inbound ssh

#

interface GigabitEthernet2/0/2

port access vlan 2

#

interface GigabitEthernet2/0/3

 port access vlan 3

#

4  Telnet用户通过HWTACACS服务器认证和授权配置举例

4.1  组网需求

图4所示,要求在Switch上配置实现:HWTACACS服务器对登录Switch的Telnet用户进行认证和授权,登录用户名为userid@bbb,密码为aabbcc。

图4 Telnet用户通过HWTACACS服务器认证和授权组网图

 

4.2  配置思路

·     为了使HWTACACS服务器能够识别合法的用户,在HWTACACS服务器上添加合法的Telnet用户名和密码。

·     由于本例中用户登录Switch要通过AAA处理,因此Telnet用户登录的用户界面认证方式配置为scheme。

·     为了在Switch和HWTACACS服务器之间安全地传输用户密码,并且能在Switch上验证服务器响应报文未被篡改,在Switch和HWTACACS服务器上都要设置交互报文时所使用的共享密钥。

·     为了实现通过HWTACACS来进行认证和授权,需要在Switch上配置HWTACACS方案并指定相应的认证和授权服务器,并将其应用于Telnet用户所属的ISP域。

4.3  使用版本

本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。

4.4  配置步骤

1. 配置HWTACACS服务器

# 在HWTACACS服务器上设置与Switch交互报文时的共享密钥为expert;添加Telnet用户名及密码;配置用户的权限级别为3,具体配置步骤略。

2. 配置Switch

# 配置各接口的IP地址(略)。

# 开启Switch的Telnet服务器功能。

<Switch> system-view

[Switch] telnet server enable

# 配置Telnet用户登录的用户界面采用scheme方式。

[Switch] user-interface vty 0 15

[Switch-ui-vty0-15] authentication-mode scheme

[Switch-ui-vty0-15] quit

# 配置HWTACACS方案。

[Switch] hwtacacs scheme hwtac

[Switch-hwtacacs-hwtac] primary authentication 10.1.1.1 49

[Switch-hwtacacs-hwtac] primary authorization 10.1.1.1 49

[Switch-hwtacacs-hwtac] primary accounting 10.1.1.1 49

[Switch-hwtacacs-hwtac] key authentication expert

[Switch-hwtacacs-hwtac] key authorization expert

[Switch-hwtacacs-hwtac] key accounting expert

[Switch-hwtacacs-hwtac] quit

# 配置ISP域的AAA方案。

[Switch] domain bbb

[Switch-isp-bbb] authentication login hwtacacs-scheme hwtac

[Switch-isp-bbb] authorization login hwtacacs-scheme hwtac

[Switch-isp-bbb] accounting login hwtacacs-scheme hwtac

[Switch-isp-bbb] quit

4.5  验证配置

Telnet用户便可以使用用户名userid@bbb和密码aabbcc通过认证,并且获得操作权限。

4.6  配置文件

#

hwtacacs scheme hwtac

primary authentication 10.1.1.1

 primary authorization 10.1.1.1

 primary accounting 10.1.1.1

 key authentication cipher $c$3$pbM+tCZB0KFMcBBhntpvngLYGV+wQFqI+g==

 key authorization cipher $c$3$c4rjmlQu2fhJ7n6khYpaLIkTj8N6HT3/6A==

 key accounting cipher $c$3$nE6Jts3YPpMFfWnqJzFa+4KlbQn16ouXtw==

#  

  domain bbb

      authentication login hwtacacs-scheme hwtac       

      authorization login hwtacacs-scheme hwtac

      accounting login hwtacacs-scheme hwtac

#

5  相关资料

·     《H3C S12500系列路由交换机  安全配置指导》中的“AAA”

·     《H3C S12500系列路由交换机  安全命令参考》中的“AAA”

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!