基于ACL规则和RADIUS认证限制Telnet登录交换机
通过Telnet登录交换机便于对交换机进行远程管理和维护,不需要为每一台交换机都连接一个终端。缺省情况下,用户不能直接通过Telnet方式登录交换机,而是需要先通过Console口登录交换机配置Telnet功能,详细配置请参见配置通过Console口登录交换机示例。
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性又允许远程用户访问的各种网络环境中。配置了基于RADIUS认证的Telnet登录后,当用户登录交换机时,交换机将用户的用户名和密码等信息发送给RADIUS服务器,由RADIUS服务器来进行统一认证,同时记录这些用户的操作行为,从而有效的保证了网络的安全性。
如果同时配置了ACL规则和Radius认证,那么只有满足了ACL规则的报文到达设备上层协议模块后,才开始使用Radius认证方式对用户的用户名和密码进行认证。基于ACL规则和RADIUS认证的Telnet登录方式可以保证网络的安全性。
配置注意事项
- 使用Telnet协议存在安全风险,建议使用STelnet V2登录交换机。
- 请确保用户终端和登录的交换机及RADIUS服务器之间均路由可达。
- 请确保交换机上配置的RADIUS服务器的地址、端口号和共享密钥配置正确,并且和RADIUS服务器上的配置保持一致。
- 请确保已在RADIUS服务器上配置了用户。本例中假设RADIUS服务器上已配置了用户admin123@huawei.com(用户名@域名),其密码为Example@123。
组网需求
网络管理员希望能够对交换机进行远程管理与维护,同时对网络的安全性要求较高,希望网络不受未授权访问的干扰。可以通过配置基于ACL规则以及RADIUS认证的Telnet登录方式满足用户的需求。
如图1所示,网络管理员和Switch之间、Switch与RADIUS服务器之间路由可达。RADIUS服务器的IP地址为10.2.1.1/24,认证端口号为1812。
配置思路
采用如下思路配置通过Telnet登录交换机(基于ACL规则和RADIUS认证):
- 配置Telnet协议,实现用户可以通过Telnet登录交换机。
- 配置ACL规则,保证只有满足该规则的用户才能登录设备。
- 配置RADIUS协议,实现RADIUS认证。用户通过Telnet登录交换机时使用RADIUS服务器上配置的用户名和密码,从而保证用户登录的安全性。
操作步骤
1.配置Telnet登录
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] telnet server enable //使能Telnet功能。
[Switch] telnet server-source -i Vlanif 10 //配置服务器端的源接口为10.1.1.1对应的接口,假设该接口为Vlanif 10。
[Switch] user-interface vty 0 14 //进入VTY 0~VTY 14用户界面视图。
[Switch-ui-vty0-14] protocol inbound telnet //配置VTY用户界面支持的协议为Telnet,V200R006及之前版本缺省使用的协议为Telnet协议,可以不配置该项;V200R007及之后版本缺省使用的协议为SSH协议,必须配置。
[Switch-ui-vty0-14] authentication-mode aaa //配置VTY 0~VTY 14的用户认证方式为AAA认证。
[Switch-ui-vty0-14] user privilege level 15 //配置VTY 0~VTY 14的用户级别为15级。
[Switch-ui-vty0-14] quit
2.配置基本ACL规则
[Switch] acl 2008
[Switch-acl-basic-2008] rule permit source 10.137.217.177 0
[Switch-acl-basic-2008] quit
[Switch] user-interface vty 0 14
[Switch-ui-vty0-14] acl 2008 inbound //配置只允许满足ACL 2008规则的VTY 0~VTY 14用户登录本设备。
[Switch-ui-vty0-14] quit
3.配置RADIUS认证
# 配置RADIUS服务器模板,实现与RADIUS服务器的通信。
[Switch] radius-server template 1 //进入RADIUS服务器模板视图。
[Switch-radius-1] radius-server authentication 10.2.1.1 1812 //配置RADIUS认证服务器。
[Switch-radius-1] radius-server shared-key cipher Huawei@6789 //配置RADIUS服务器的共享密钥为Huawei@6789。
[Switch-radius-1] quit
如果RADIUS服务器不接受包含域名的用户名,还需要配置命令undo radius-server user-name domain-included使交换机向RADIUS服务器发送的报文中的用户名不包含域名。
# 配置AAA认证方案,指定认证方式为RADIUS。
[Switch] aaa
[Switch-aaa] authentication-scheme sch1 //创建名为sch1的认证方案。
[Switch-aaa-authen-sch1] authentication-mode radius //配置认证模式为RADIUS认证。
[Switch-aaa-authen-sch1] quit
# 创建域,并在域下引用AAA认证方案及RADIUS服务器模板。
[Switch-aaa] domain huawei.com //创建名为huawei.com的域并进入域视图。
[Switch-aaa-domain-huawei.com] authentication-scheme sch1 //配置域的认证方案为sch1。
[Switch-aaa-domain-huawei.com] radius-server 1 //指定域的RADIUS服务器模板为1。
[Switch-aaa-domain-huawei.com] quit
[Switch-aaa] quit
# 配置huawei.com为全局默认管理域,这样管理员登录交换机时就不需要输入域名。
[Switch] domain huawei.com admin
检查配置结果
配置完成后,管理员在PC上单击“开始”->“运行”,输入“cmd”,进入Windows的命令行提示符界面。输入telnet 10.1.1.1,并按Enter键。
C:\Documents and Settings\Administrator> telnet 10.1.1.1
在登录界面根据提示输入RADIUS服务器上配置的用户名admin123和密码Example@123,并按Enter键,验证通过,用户成功通过Telnet登录到Switch。(以下显示仅为示意)
Login authentication
Username:admin123
Password:
Info: The max number of VTY users is 8, and the number
of current VTY users on line is 2.
The current login time is 2014-07-30 09:54:02+08:00.
<Switch>
配置文件
Switch的配置文件
#
sysname Switch
#
domain huawei.com admin
#
telnet server enable
telnet server-source -i Vlanif 10
#
radius-server template 1
radius-server shared-key cipher %^%#}+ysUO*B&+p'NRQR0{ZW7[GA*Z*!X@o:Va15dxQAj+,$>NP>63de|G~ws,9G%^%#
radius-server authentication 10.2.1.1 1812 weight 80
#
acl number 2008
rule 5 permit source 10.137.217.177 0
#
aaa
authentication-scheme sch1
authentication-mode radius
domain huawei.com
authentication-scheme sch1
radius-server 1
#
user-interface vty 0 14
acl 2008 inbound
authentication-mode aaa
user privilege level 15
protocol inbound telnet
#
return