iMC EIA V7版本和Cisco设备配合telnet设备管理

当网络中的大量设备需要远程管理时，如果单独在每个设备上配置用户名和密码工作量巨大且不利于管理和维护，我们可以将设备远程登录的用户名密码信息配置在RADIUS服务器或者TACACS服务器上面，本案例简要介绍iMC EIA配合Cisco设备配置远程登录。

略

iMC配置如下：

①增加设备管理用户

服务类型：

使用该用户上线时，首先查询该用户中是否配置了服务类型，若配置了该值，则在回应报文中下发该值；若没有配置，则下发认证报文中携带的service_type属性值

• Login ： 用户应该被连接到主机上。
• Framed ： 应该为用户启用Framed协议，如PPP或者SLIP协议。
• Callback Login ： 用户应该被断开连接后回调，然后连接到主机上。
• Callback Framed ： 用户应该被断开后回调，然后应该为用户启用Framed协议，如PPP或者SLIP协议。
• Outbound ： 用户应该被授权访问（外出）设备。
• Administrative ： 用户应该被授权访问有管理NAS权限的接口，该接口可以执行特权命令。
• NAS Prompt ： 应该提供给用户一个NAS上的命令行提示信息，该NAS上不能执行特权命令。
• Authenticate Only : 只需要认证，在接入成功回应报文中不需要返回授权信息（典型用法是代理服务器，而不是NAS本身）。
• Callback NAS Prompt : 用户应该被断开后回调，然后提供给用户一个NAS上的命令行提示信息，该NAS上不能执行特权命令。
• Call Check : 由NAS用在接入请求报文中，表示接收到一个调用，RADIUS服务器应该返回一个接入成功回应报文来应答该调用，或者返回一个接入拒绝回应报文以拒绝该调用。典型的是基于Called-Station-Id或者Calling-Station-Id属性。推荐接入请求报文使用Calling-Station-Id属性的值做为User-Name属性的值。
• Callback Administrative : 用户应该被断开后回调，然后用户被授权访问有管理NAS权限的接口，该接口可以执行特权命令。

EXEC权限级别：

• EXEC权限级别是指在设备上执行命令的权限。该参数数值越大，权限越高，在设备上可执行的命令就越多。
• 该参数可以为空，为空表示使用设备缺省的EXEC权限级别。
• 选择以下登录类型的设备管理用户需要配置EXEC权限级别：Telnet、SSH、FTP或Terminal。

FTP目录：

• 只有登录类型选择为FTP时，页面才会显示FTP目录这一参数。该参数表示设备管理用户登录设备后进入的目录。

角色名：

• 该参数表示设备管理用户登录设备后被下发的角色，目前仅我司部分设备支持。

绑定的用户IP地址列表：

• 此列表是一组主机IP地址，表示在此列表中的主机才可以访问接入设备。

所管理设备IP地址列表：

• 此列表是一组接入设备的IP地址，表示设备管理用户只能访问在此列表中的接入设备。

②配置接入设备

设备配置如下：

version 12.2
no service pad
service timestamps debug uptime
service timestamps log datetime
no service password-encryption
service compress-config
!
hostname xinjiang-4507
!
boot system flash bootflash:cat4000-i9s-mz.122-18.EW.bin
aaa new-model
aaa authentication login default group radius local
aaa authentication login for-console group radius none
aaa authentication enable default none
aaa authorization exec default group for-console local none 
enable secret 5 $1$mZm6$N2OxJUvLlsRWqQUB7IDc01
!
username winet password 0 winet
username yunxing privilege 2 secret 5 $1$mZsb$bwVI.9ZurCBY6uvTKfYWz.
username css secret 5 $1$Ex3M$qkHS2wUPQio6fr7fat3uU.
qos
ip subnet-zero
ip dhcp excluded-address 10.24.153.1 10.24.153.197
ip dhcp excluded-address 10.24.153.200 10.24.153.255
!

interface Loopback0
 ip address 10.24.150.2 255.255.255.255
!
interface Vlan53
 ip address 139.53.11.250 255.255.0.0
!
ip radius source-interface Loopback0
!
logging source-interface Loopback0
logging 10.24.187.27
logging 10.24.32.1
snmp-server community spring07 RO
snmp-server community 15Session. RW
snmp-server community private RW
snmp-server trap-source Vlan253
snmp-server enable traps tty
snmp-server host 10.24.100.1 spring07 
snmp-server host 10.24.100.2 version 2c spring07 
!
radius-server host 10.24.100.1 auth-port 1812 acct-port 1813
radius-server host 10.24.100.2 auth-port 1812 acct-port 1813
radius-server attribute nas-port format c
radius-server key 123456
!
line con 0
 login authentication for-console
 stopbits 1
line vty 0 4
 exec-timeout 15 0
 password 123456
line vty 5 15
 exec-timeout 15 0
 password 123456
!
ntp clock-period 17180099
ntp server 10.24.100.124
end

设备发送radius协议报文的IP地址一定要和iMC接入设备里面添加的设备地址一致，否则会导致设备发过来radius请求报文，而iMC不会回应响应报文导致用户无法登录。