组网图形

图1 基于ACL规则和RADIUS认证限制Telnet登录交换机组网图
  • 基于ACL规则和RADIUS认证限制Telnet登录交换机
  • 配置注意事项
  • 组网需求
  • 配置思路
  • 操作步骤
  • 配置文件
  • 相关信息

基于ACL规则和RADIUS认证限制Telnet登录交换机

通过Telnet登录交换机便于对交换机进行远程管理和维护,不需要为每一台交换机都连接一个终端。缺省情况下,用户不能直接通过Telnet方式登录交换机,而是需要先通过Console口登录交换机配置Telnet功能,详细配置请参见配置通过Console口登录交换机示例。

访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性又允许远程用户访问的各种网络环境中。配置了基于RADIUS认证的Telnet登录后,当用户登录交换机时,交换机将用户的用户名和密码等信息发送给RADIUS服务器,由RADIUS服务器来进行统一认证,同时记录这些用户的操作行为,从而有效的保证了网络的安全性。

如果同时配置了ACL规则和Radius认证,那么只有满足了ACL规则的报文到达设备上层协议模块后,才开始使用Radius认证方式对用户的用户名和密码进行认证。基于ACL规则和RADIUS认证的Telnet登录方式可以保证网络的安全性。

配置注意事项

  • 使用Telnet协议存在安全风险,建议使用STelnet V2登录交换机。
  • 请确保用户终端和登录的交换机及RADIUS服务器之间均路由可达。
  • 请确保交换机上配置的RADIUS服务器的地址、端口号和共享密钥配置正确,并且和RADIUS服务器上的配置保持一致。
  • 请确保已在RADIUS服务器上配置了用户。本例中假设RADIUS服务器上已配置了用户admin123@huawei.com(用户名@域名),其密码为Example@123

组网需求

网络管理员希望能够对交换机进行远程管理与维护,同时对网络的安全性要求较高,希望网络不受未授权访问的干扰。可以通过配置基于ACL规则以及RADIUS认证的Telnet登录方式满足用户的需求。

如图1所示,网络管理员和Switch之间、Switch与RADIUS服务器之间路由可达。RADIUS服务器的IP地址为10.2.1.1/24,认证端口号为1812。

配置思路

采用如下思路配置通过Telnet登录交换机(基于ACL规则和RADIUS认证):

  1. 配置Telnet协议,实现用户可以通过Telnet登录交换机。
  2. 配置ACL规则,保证只有满足该规则的用户才能登录设备。
  3. 配置RADIUS协议,实现RADIUS认证。用户通过Telnet登录交换机时使用RADIUS服务器上配置的用户名和密码,从而保证用户登录的安全性。

操作步骤

1.配置Telnet登录

<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] telnet server enable  //使能Telnet功能。
[Switch] telnet server-source -i Vlanif 10    //配置服务器端的源接口为10.1.1.1对应的接口,假设该接口为Vlanif 10。
[Switch] user-interface vty 0 14    //进入VTY 0~VTY 14用户界面视图。
[Switch-ui-vty0-14] protocol inbound telnet    //配置VTY用户界面支持的协议为Telnet,V200R006及之前版本缺省使用的协议为Telnet协议,可以不配置该项;V200R007及之后版本缺省使用的协议为SSH协议,必须配置。
[Switch-ui-vty0-14] authentication-mode aaa    //配置VTY 0~VTY 14的用户认证方式为AAA认证。
[Switch-ui-vty0-14] user privilege level 15    //配置VTY 0~VTY 14的用户级别为15级。
[Switch-ui-vty0-14] quit

2.配置基本ACL规则

[Switch] acl 2008
[Switch-acl-basic-2008] rule permit source 10.137.217.177 0
[Switch-acl-basic-2008] quit
[Switch] user-interface vty 0 14
[Switch-ui-vty0-14] acl 2008 inbound    //配置只允许满足ACL 2008规则的VTY 0~VTY 14用户登录本设备。
[Switch-ui-vty0-14] quit

3.配置RADIUS认证

# 配置RADIUS服务器模板,实现与RADIUS服务器的通信。

[Switch] radius-server template 1    //进入RADIUS服务器模板视图。
[Switch-radius-1] radius-server authentication 10.2.1.1 1812    //配置RADIUS认证服务器。
[Switch-radius-1] radius-server shared-key cipher Huawei@6789    //配置RADIUS服务器的共享密钥为Huawei@6789。
[Switch-radius-1] quit

如果RADIUS服务器不接受包含域名的用户名,还需要配置命令undo radius-server user-name domain-included使交换机向RADIUS服务器发送的报文中的用户名不包含域名。

# 配置AAA认证方案,指定认证方式为RADIUS。

[Switch] aaa
[Switch-aaa] authentication-scheme sch1    //创建名为sch1的认证方案。
[Switch-aaa-authen-sch1] authentication-mode radius    //配置认证模式为RADIUS认证。
[Switch-aaa-authen-sch1] quit

# 创建域,并在域下引用AAA认证方案及RADIUS服务器模板。

[Switch-aaa] domain huawei.com    //创建名为huawei.com的域并进入域视图。
[Switch-aaa-domain-huawei.com] authentication-scheme sch1    //配置域的认证方案为sch1。
[Switch-aaa-domain-huawei.com] radius-server 1    //指定域的RADIUS服务器模板为1。
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit

# 配置huawei.com为全局默认管理域,这样管理员登录交换机时就不需要输入域名。

[Switch] domain huawei.com admin

检查配置结果

配置完成后,管理员在PC上单击“开始”->“运行”,输入“cmd”,进入Windows的命令行提示符界面。输入telnet 10.1.1.1,并按Enter键。

C:\Documents and Settings\Administrator> telnet 10.1.1.1

在登录界面根据提示输入RADIUS服务器上配置的用户名admin123和密码Example@123,并按Enter键,验证通过,用户成功通过Telnet登录到Switch。(以下显示仅为示意)

Login authentication


Username:admin123
Password:
Info: The max number of VTY users is 8, and the number
      of current VTY users on line is 2.
      The current login time is 2014-07-30 09:54:02+08:00. 
<Switch>

配置文件

Switch的配置文件

#
sysname Switch
#
domain huawei.com admin
#
telnet server enable
telnet server-source -i Vlanif 10
#
radius-server template 1
 radius-server shared-key cipher %^%#}+ysUO*B&+p'NRQR0{ZW7[GA*Z*!X@o:Va15dxQAj+,$>NP>63de|G~ws,9G%^%#
 radius-server authentication 10.2.1.1 1812 weight 80
#
acl number 2008
 rule 5 permit source 10.137.217.177 0
#
aaa
 authentication-scheme sch1    
  authentication-mode radius  
 domain huawei.com            
  authentication-scheme sch1     
  radius-server 1 
#
user-interface vty 0 14
 acl 2008 inbound
 authentication-mode aaa
 user privilege level 15 
 protocol inbound telnet 
#
return