S2000-EA系列交换机充当SSH服务器并采用password远程RADIUS认证功能的配置

S2000-EA系列交换机充当SSH服务器并采用password远程RADIUS认证功能的配置

 

一、  组网需求：

当用户通过一个不能保证安全的网络远程登录到交换机时，为保证数据信息交换的安全性，使用SSH来实现此目的，并采用password远程RADIUS认证。

（1）PC终端（SSH Client）上运行支持SSH2.0的客户端软件，与交换机（SSH Server）建立本地连接。

（2）配置交换机实现RADIUS服务器对登录交换机的SSH用户进行认证。

二、  组网图：

三、  配置步骤：

1、配置RADIUS server，本文以CAMS服务器V2.10为例，说明该例中RADIUS server的基本配置。

# 增加接入设备。

登录进入CAMS管理平台，点击左侧菜单树中[系统管理]->[系统配置]的“接入设备配置”->“修改”->“增加”后，进入接入设备配置页面。

（1）添加Switch的IP地址192.168.1.70；

（2）设置与Switch交互报文时的共享密钥为expert；

（3）选择协议类型为LAN接入业务；

（4）设置端口列表分别为1812，1813；

（5）选择RADIUS协议类型为扩展协议；

（6）选择RADIUS报文类型为标准报文。

# 增加设备管理用户。

点击左侧菜单树中[用户管理]->[设备管理用户]的“增加”后，进入设备管理用户配置页面。

（1）添加用户名hello和密码；

（2）选择服务类型为SSH；

（3）添加所管理主机IP地址范围。

2、SSH服务器端配置

# 在交换机上创建VLAN接口，并为其分配IP地址，作为客户端连接的SSH服务器地址。

<Switch> system-view

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.1.70 255.255.255.0

[Switch-Vlan-interface2] quit

# 生成RSA和DSA密钥对。

[Switch] public-key local create rsa

[Switch] public-key local create dsa

# 设置用户接口上的认证模式为AAA认证。

[Switch] user-interface vty 0 4

[Switch-ui-vty0-4] authentication-mode scheme

# 设置用户接口上支持SSH协议。

[Switch-ui-vty0-4] protocol inbound ssh

[Switch-ui-vty0-4] quit

# 配置RADIUS方案。

[Switch] radius scheme rad

[Switch-radius-rad] accounting optional

[Switch-radius-rad] primary authentication 10.1.1.1 1812

[Switch-radius-rad] key authentication expert

[Switch-radius-rad] server-type extended

[Switch-radius-rad] user-name-format without-domain

[Switch-radius-rad] quit

# 配置ISP域的AAA方案。

[Switch] domain bbb

[Switch-isp-bbb] scheme radius-scheme rad

[Switch-isp-bbb] quit

3、SSH客户端配置

# 客户端主机配置IP地址

客户端主机的IP地址必须同交换机上的VLAN接口的IP地址位于同一个网段，这里设置为“192.168.1.1”。

# 建立与SSH服务器端的连接

SSH客户端软件的配置（以Putty0.58为例）。

（1）打开PuTTY.exe程序，出现如下客户端配置界面。

在“Host Name（or IP address）”文本框中输入SSH服务器的IP地址。

（2）单击SSH客户端配置界面左边目录树（“Category”）中的连接协议（“Connection”）中的“SSH”，出现下图界面。

在“Protocol options”区域中，选择“Preferred SSH protocol version”参数的值为2。

在上图中，单击<Open>按钮，如果连接正常则会提示用户输入用户名hello及密码。认证成功后，即可登录到服务器端。用户登录系统后所能访问的命令级别由CAMS服务器授权，可通过设备管理用户界面的EXEC权限级别来设置。

四、  配置关键点：

生成服务器端的RSA和DSA密钥对是完成SSH登录的必要操作。