设备登录配置

在现网中，登录设备的方式主要有以下几种：Console、telnet、ssh等。

每种登录方式的认证方式主要有三种：

• none：不需要认证
• password：只通过密码认证
• AAA：通过用户名和密码认证

配置Console口登录

通过Console口（也称串口）登录交换机是登录设备的最基本方式，也是其他登录方式（如Telnet和STelnet）的基础。一旦攻击者接触到Console口后，交换机将暴露给攻击者，交换机的安全无法保障。通过配置Console口用户界面的认证方式、用户的认证信息和用户级别，可以保证Console登录的安全性。

注意：

• 如果用户通过Console口登录设备再进行Console用户界面配置，所配置的属性需退出当前登录，再次通过Console口登录才会生效。
• 为充分保证设备安全，首次登录设备时，需要按照要求修改缺省密码，并定期修改密码。

1.配置通过Console口登录设备时采用密码认证（password）

华三设备

[H3C]system-view
[H3C]line console 0  
[H3C-line-console0]authentication-mode password
[H3C-line-console0]set authentication password { hash | simple } 123@123
[H3C-line-console0]user-role network-admin  //可选，缺省情况下即为network-admin
[H3C-line-console0]quit
[H3C]save

华为设备

 

2.配置通过Console口登录设备时采用AAA认证（本地）

华三设备

[H3C]system-view
[H3C]line console 0
[H3C-line-console0]authentication-mode scheme
[H3C-line-console0]quit
[H3C]local-user hehe class manage  //创建本地用户hehe，缺省为manage类。
[H3C-luser-manage-hehe]service-type terminal  //本地用户缺省是无服务类型的，需要定义为terminal
[H3C-luser-manage-hehe]password { hash | simple } 12345@12345
[H3C-luser-manage-hehe]authorization-attribute user-role network-admin  //本地用户角色缺省为network-operator，需要修改为network-admin
[H3C-luser-manage-hehe]undo authorization-attribute user-role network-operator  //删除本地用户缺省角色
[H3C-luser-manage-hehe]quit
[H3C]save

 

华为设备

<HUAWEI> system-view
[HUAWEI] user-interface console 0    //进入Console用户界面
[HUAWEI-console0] authentication-mode aaa    //配置认证方式为AAA
[HUAWEI-console0] quit
[HUAWEI] aaa //aaa视图
[HUAWEI-aaa] local-user admin123 password irreversible-cipher abcd@123    //创建本地用户admin123，登录密码为abcd@123
[HUAWEI-aaa] local-user admin123 service-type terminal    //配置本地用户admin123的接入类型为终端用户，即Console用户
[HUAWEI-aaa] local-user admin123 privilege level 15    //配置本地用户admin123的级别为15
Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
[HUAWEI-aaa]quit
[HUAWEI]save

 

配置Telnet 登录：

1.配置通过Telnet登录设备时采用密码认证（password）

华三设备

<H3C> system-view
[H3C] telnet server enable  //开启telenet服务，默认关闭
[H3C] line vty 0 4
[H3C-line-vty0-4] authentication-mode password
[H3C-line-vty0-4]set authentication password simple 123@123
[H3C-line-vty0-4]user-role network-admin  //可选：配置从当前登录的用户的角色，默认network-operator
[H3C-line-vty0-4]user-role level-3  //可选：配置从当前登录的用户的运行级别
[H3C-line-vty0-4]idle-timeout 15  //可选：配置闲置超时时间
[H3C-line-vty0-4]quit
[H3C]save

 

华为设备

<HUAWEI> system-view
[HUAWEI]telnet server enable
[HUAWEI] user-interface vty 0 4
[HUAWEI-line-vty0-4] authentication-mode password    
[HUAWEI-line-vty0-4] set authentication password simple huawei@123
[HUAWEI-line-vty0-4]quit
[HUAWEI]save

 

2.配置Telnet登录设备时采用AAA认证（本地）

华三设备

<H3C> system-view
[H3C] telnet server enable  //开启telenet服务，默认关闭
[H3C] line vty 0 4
[H3C-line-vty0-4] authentication-mode scheme
[H3C-line-vty0-4]idle-timeout 15  //可选：闲置超时时间
[H3C-line-vty0-4]quit
[H3C] local-user haha class manage
[H3C-luser-manage-haha] authorization-attribute user-role network-admin
[H3C-luser-manage-haha] service-type telnet
[H3C-luser-manage-haha] password { hash | simple } 12345@12345
[H3C-luser-manage-haha] undo authorization-attribute user-role network-operator
[H3C-luser-manage-haha] quit
[H3C]save

 

限制通过telnet登录的用户权限：
<H3C> system-view
[H3C] telnet server enable  
[H3C]super password role level-15 simple 12345@54321  //定义super二级密码及拥有的权限
[H3C] line vty 0 4
[H3C-line-vty0-4] authentication-mode scheme
[H3C-line-vty0-4]idle-timeout 15  //闲置超时时间，可选
[H3C-line-vty0-4]quit
[H3C] local-user hehe class manage
[H3C-luser-manage-hehe] service-type telnet
[H3C-luser-manage-hehe] password { hash | simple } 12345@12345
[H3C-luser-manage-hehe]authorization-attribute user-role level-1  //设置当前用户的级别，如果需要更高级别需要super二级密码
[H3C-luser-manage-hehe] quit
[H3C]save

 

华为设备

<HUAWEI> system-view
[HUAWEI]telnet server enable
[HUAWEI] user-interface maximum-vty 15 //可选：配置VTY用户界面的登录用户最大数目为15
[HUAWEI] user-interface vty 0 14
[HUAWEI-ui-vty0-14] authentication-mode aaa //配置验证方式为AAA
[HUAWEI-ui-vty0-14] protocol inbound telnet //配置VTY用户界面支持的协议为Telnet，建议为all
[HUAWEI-ui-vty0-14] user privilege level 15  //vty0-14用户级别为15
[HUAWEI-ui-vty0-14] quit
[HUAWEI] aaa
[HUAWEI-aaa] local-user user1 password irreversible-cipher Huawei@1234 //创建本地用户user1并配置密码
[HUAWEI-aaa] local-user user1 service-type telnet //配置此用户user1的接入类型为Telnet
[HUAWEI-aaa] local-user user1 privilege level 15 //配置此用户user1的登录级别为15
[HUAWEI-aaa] quit
[HUAWEI]super password level 3 cipher Abc@123  //可选：设置二级密码
<HUAWEI>save

 

3.配置Telnet登录设备时采用AAA认证（Radius）

 

华为设备

---

 

 

配置思路

1. 使能Telnet服务。

2. 配置用户通过Telnet登录的认证方式为AAA。

3. 配置RADIUS认证：创建RADIUS服务器模板、AAA认证方案和业务方案并在域下引用。

4. 将管理员所属域设置为默认管理域，使管理员登录设备时可以不需要输入域名。

说明:

本例只介绍设备的配置，请同时确保已在RADIUS服务器上做了相关配置，如设备地址、共享密钥、创建用户等配置。

操作步骤

步骤1 配置接口和IP地址。

<HUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] vlan batch 10 20

[Switch] interface vlanif 10

[Switch-Vlanif10] ip address 10.1.2.10 24

[Switch-Vlanif10] quit

[Switch] interface vlanif 20

[Switch-Vlanif20] ip address 10.1.6.10 24

[Switch-Vlanif20] quit

[Switch] interface gigabitethernet1/0/1

[Switch-GigabitEthernet1/0/1] port link-type access

[Switch-GigabitEthernet1/0/1] port default vlan 10

[Switch-GigabitEthernet1/0/1] quit

[Switch] interface gigabitethernet1/0/2

[Switch-GigabitEthernet1/0/2] port link-type access

[Switch-GigabitEthernet1/0/2] port default vlan 20

[Switch-GigabitEthernet1/0/2] quit

步骤2 使能Telnet服务器功能。

[Switch] telnet server enable

步骤3 配置VTY用户界面的验证方式为AAA

[Switch] user-interface maximum-vty 15 //配置VTY用户界面的登录用户最大数目为15（该数目在不同版本和不同形态间有差异，具体以设备为准），缺省情况下Telnet用户最大数目为5

[Switch] user-interface vty 0 14 //进入0～14的VTY用户界面视图

[Switch-ui-vty0-14] authentication-mode aaa //配置VTY用户界面的验证方式为AAA

[Switch-ui-vty0-14] protocol inbound telnet //配置VTY用户界面支持的协议为Telnet，V200R006及之前版本缺省使用的协议为Telnet协议，可以不配置该项；V200R007及之后版本缺省使用的协议为SSH协议，必须配置。

[Switch-ui-vty0-14] quit

步骤4 配置RADIUS认证。

# 配置RADIUS服务器模板，实现设备与RADIUS服务器的通信。

[Switch] radius-server template 1

[Switch-radius-1] radius-server authentication 10.1.6.6 1812 //指定RADIUS认证服务器的IP地址和端口号

[Switch-radius-1] radius-server shared-key cipher Hello@1234 //指定RADIUS认证服务器的共享密钥，需要与RADIUS服务器上配置一致

[Switch-radius-1] quit

说明:

如果RADIUS服务器不接受包含域名的用户名，还需要配置命令undo radius-server user-namedomain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名。

# 配置AAA认证方案，指定认证方式为RADIUS。

[Switch] aaa

[Switch-aaa] authentication-scheme sch1

[Switch-aaa-authen-sch1] authentication-mode radius

[Switch-aaa-authen-sch1] quit

# 配置业务方案，指定用户级别为15。

[Switch-aaa] service-scheme sch1

[Switch-aaa-service-sch1] admin-user privilege level 15

[Switch-aaa-service-sch1] quit

# 在域下引用AAA认证方案、RADIUS服务器模板以及业务方案。

[Switch-aaa] domain huawei.com

[Switch-aaa-domain-huawei.com] authentication-scheme sch1

[Switch-aaa-domain-huawei.com] radius-server 1

[Switch-aaa-domain-huawei.com] service-scheme sch1

[Switch-aaa-domain-huawei.com] quit

[Switch-aaa] quit

步骤5 配置管理员所属域为默认管理域，这样管理员通过Telnet登录设备时就不需要输入域名。

[Switch] domain huawei.com admin

步骤6 验证配置结果。

# 在设备上执行命令test-aaa，测试该管理员用户能否通过认证。

[Switch] test-aaa user1 Huawei@1234 radius-template 1

# 管理员在PC上单击“运行”->输入“cmd”，进入Windows的命令行提示符界面，执行telnet命令，并输入用户名user1和密码Huawei@1234，通过Telnet方式登录设备成功。

C:\Documents and Settings\Administrator> telnet 10.1.2.10

Username:user1

Password:***********

<Switch>//管理员登录设备成功

---

远程STelnet登录安全配置示例

Telnet和STelnet是远程登录交换机两种方式，Telnet协议存在安全风险，而STelnet则基于SSH协议，实现了在不安全网络上提供安全的远程登录，提供安全信息保障和强大认证功能，保护交换机不受IP欺骗等攻击。

部署注意事项

• 登录设备前，需要确保终端PC和设备之间路由可达。
• 使用STelnet V1协议存在安全风险，建议使用STelnet V2登录设备。
• 配置STelnet登录交换机前，用户终端应该已安装SSH服务器登录软件。本举例中，SSH服务器登录软件以第三方软件PuTTY为例。
• 通过STelnet登录设备需配置用户界面支持的协议是SSH，必须设置VTY用户界面认证方式为AAA认证。

• 为充分保证设备安全，请定期修改密码。

配置步骤

1. 配置VTY用户界面的支持协议类型、认证方式和用户级别。

   [HUAWEI] user-interface vty 0 4
   [HUAWEI-ui-vty0-4] authentication-mode aaa    //配置VTY用户界面认证方式为AAA认证
   [HUAWEI-ui-vty0-4] protocol inbound ssh    //配置VTY用户界面支持的协议为SSH，默认情况下即SSH,建议为all
   [HUAWEI-ui-vty0-4] user privilege level 15    //配置VTY用户界面的级别为15
   [HUAWEI-ui-vty0-4] quit
   

    

2. 开启STelnet服务器功能并创建SSH用户。

   [HUAWEI] stelnet server enable    //使能设备的STelnet服务器功能
   [HUAWEI] ssh user admin123    //创建SSH用户admin123
   [HUAWEI] ssh user admin123 service-type stelnet    //配置SSH用户的服务方式为STelneta
   [HUAWEI] ssh user admin123 authentication-type password  //设置认证方式为password
   

    

3. 配置SSH用户密码。

   使用Password认证方式时，需要在AAA视图下配置与SSH用户同名的本地用户。

   [HUAWEI] aaa
   [HUAWEI-aaa] local-user admin123 password irreversible-cipher abcd@123    //创建与SSH用户同名的本地用户和对应的登录密码
   [HUAWEI-aaa] local-user admin123 privilege level 15    //配置本地用户级别为15
   [HUAWEI-aaa] local-user admin123 service-type ssh    //配置本地用户的服务方式为SSH
   [HUAWEI-aaa] quit
   

    

   # 配置SSH用户认证方式为RSA、DSA或ECC。（以ECC认证方式为例，RSA、DSA认证方式步骤类似）

   使用RSA、DSA或ECC认证方式时，需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。这样当客户端登录服务器时，自己的私钥如果与输入的公钥匹配成功，则认证通过。客户端公钥的生成请参见相应的SSH客户端软件的帮助文档。

   [HUAWEI] ssh user admin123 authentication-type ecc    //配置SSH用户认证方式为ecc
   [HUAWEI] ecc peer-public-key key01 encoding-type pem    //配置ECC公共密钥编码格式，并进入ECC公共密钥视图,key01为公共密钥名称
   Enter "ECC public key" view, return system view with "peer-public-key end".
   [HUAWEI-ecc-public-key] public-key-code begin    //进入公共密钥编辑视图
   Enter "ECC key code" view, return last view with "public-key-code end".
   [HUAWEI-dsa-key-code] 308188    //拷贝复制客户端的公钥，为十六进制字符串
   [HUAWEI-dsa-key-code] 028180
   [HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
   [HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
   [HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
   [HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
   [HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
   [HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
   [HUAWEI-ecc-key-code] 171896FB 1FFC38CD
   [HUAWEI-ecc-key-code] 0203
   [HUAWEI-ecc-key-code] 010001
   [HUAWEI-ecc-key-code] public-key-code end    //退回到公共密钥视图
   [HUAWEI-ecc-public-key] peer-public-key end    //退回到系统视图
   [HUAWEI] ssh user admin123 assign ecc-key key01    //为用户admin123分配一个已经存在的公钥key01

4. （使用RSA、DSA或ECC认证方式时配置）在服务器端生成本地密钥对。

   <HUAWEI> system-view
   [HUAWEI] ecc local-key-pair create
   Info: The key name will be: HUAWEI_Host_ECC.
   Info: The key modulus can be any one of the following: 256, 384, 521.
   Info: If the key modulus is greater than 512, it may take a few minutes.
   Please input the modulus [default=521]:521
   Info: Generating keys..........
   Info: Succeeded in creating the ECC host keys.

5. 客户端STelnet登录设备。

   PC端用Password认证方式连接SSH服务器。

   通过PuTTY软件登录设备，输入设备的IP地址，选择协议类型为SSH。

   
   

   点击“Open”，出现如下界面，输入用户名和密码，并按Enter键，至此已登录到SSH服务器。（以下显示信息仅为示例）

   login as: admin123
   Sent username "admin123"
   
   admin123@10.10.10.20's password:
   
   Info: The max number of VTY users is 8, and the number
         of current VTY users on line is 5.
         The current login time is 2018-12-22 09:35:28+00:00.
   <HUAWEI>