问
H3C 交换机 是否可以ssh登录设备输入账号密码进入之后再输入一个动态密码认证
5天前提问
- 0关注
- 0收藏,95浏览
zhiliao_Gixe
三段
可以,通过配置双因素认证实现。
配置步骤:
1. 配置RADIUS服务器对接动态令牌系统
radius scheme rs1
primary authentication 192.168.1.100
key authentication simple h3c
user-name-format without-domain
2. 配置认证域引用RADIUS方案
domain dm1
authentication default radius-scheme rs1
authorization default radius-scheme rs1
accounting default radius-scheme rs1
3. 启用SSH并指定认证域
ssh server enable
line vty 0 63
authentication-mode scheme
user-role network-admin
domain dm1
登录流程:用户输入用户名+静态密码→RADIUS服务器验证→返回动态密码挑战→用户输入动态密码→认证通过。
注意:需要部署支持双因素认证的RADIUS服务器(如H3C IMC+动态令牌)。
配置步骤:
1. 配置RADIUS服务器对接动态令牌系统
radius scheme rs1
primary authentication 192.168.1.100
key authentication simple h3c
user-name-format without-domain
2. 配置认证域引用RADIUS方案
domain dm1
authentication default radius-scheme rs1
authorization default radius-scheme rs1
accounting default radius-scheme rs1
3. 启用SSH并指定认证域
ssh server enable
line vty 0 63
authentication-mode scheme
user-role network-admin
domain dm1
登录流程:用户输入用户名+静态密码→RADIUS服务器验证→返回动态密码挑战→用户输入动态密码→认证通过。
注意:需要部署支持双因素认证的RADIUS服务器(如H3C IMC+动态令牌)。
可以的,H3C交换机支持在SSH登录时实现账号+静态密码+动态密码的双因素认证。
核心思路是:第一步静态密码验证由交换机完成,第二步动态密码验证交给外部AAA服务器(如RADIUS/HWTACACS)处理。用户输入用户名+静态密码+动态密码后,交换机会一次性将所有凭据发送给AAA服务器统一验证,验证通过即可登录
两步验证的逻辑:
交换机本地验证:验证用户是否存在、服务类型是否匹配
外部服务器验证:验证静态密码+动态密码的组合是否正确
用户输入时,只需将动态密码拼接到静态密码后面(或作为单独字段),AAA服务器收到后会拆分解码并验证。
配置步骤(以HWTACACS方案为例)
第一步:在交换机上配置AAA认证
# 进入系统视图
# 创建HWTACACS方案
hwtacacs scheme hwtac
primary authentication 10.1.1.1 49 # TACACS服务器地址和端口
key authentication simple expert # 共享密钥
user-name-format without-domain # 用户名不带域名
quit
# 创建ISP域,关联认证方案
domain hwtac_domain
authentication login hwtacacs-scheme hwtac
authorization login hwtacacs-scheme hwtac
accounting login hwtacacs-scheme hwtac
quit
# 设置默认域(可选)
domain default enable hwtac_domain
第二步:配置VTY线路使用AAA认证
# 配置VTY线路
authentication-mode scheme # 使用AAA认证
protocol inbound ssh # 仅允许SSH登录
user-role network-admin # 默认角色(会被AAA返回角色覆盖)
quit
# 启用SSH服务
ssh server enable
第三步:创建本地用户(可选,作为逃生通道)
# 创建本地管理员账号,防止AAA服务器故障时无法登录
password simple strong_backup_password
service-type ssh
authorization-attribute user-role network-admin
quit
第四步:AAA服务器侧配置
在HWTACACS/RADIUS服务器上需要:
配置交换机的IP地址和共享密钥
创建用户账号,并绑定动态令牌(如RSA SecurID、Google Authenticator等)
确保服务器能验证静态密码+动态密码的组合
说明:动态密码的生成和验证完全由AAA服务器和配套的动态令牌系统完成,交换机只负责转发认证请求。
方案对比
| 对比项 | 说明 |
|---|---|
| 支持的协议 | RADIUS、HWTACACS(TACACS+)均可 |
| 交换机要求 | 支持AAA和SSH的H3C交换机(S10508XG完全支持) |
| 是否需要额外硬件 | 需要一台AAA服务器(可用开源FreeRADIUS自建) |
| 动态密码方式 | 短信验证码、硬件令牌(RSA)、软件令牌(Google Authenticator)等 |
暂无评论
华三交换机(Comware V7/V5)完全支持「静态账号密码 + 动态密码(二次认证)」的双层 SSH 登录认证,核心是通过 AAA 认证联动 RADIUS/TACACS+ 服务器 实现(支持主流动态口令平台:华三 iMC、华为 eSight、RSA SecurID、阿里云盾 / 腾讯云动态口令等)。
简单说:
- SSH 登录→输入静态账号密码(第一层);
- 系统联动动态口令服务器→要求输入 6/8 位动态验证码(第二层);
- 双重验证通过后,才获得设备操作权限。
一、核心实现方案(推荐)
方案 1:AAA + RADIUS 联动动态口令服务器(通用)
适用于有集中认证服务器的场景(企业级),是最标准、可扩展的方式。
1. 基础配置(交换机侧)
plaintext
# 1. 进入系统视图
system-view
# 2. 配置RADIUS服务器(动态口令平台)
radius scheme DYNAMIC-PWD
primary authentication 192.168.1.100 1812 # 动态口令服务器IP+端口
primary accounting 192.168.1.100 1813
key authentication simple Admin@123 # 与服务器约定的共享密钥
key accounting simple Admin@123
user-name-format without-domain # 用户名不带域名
authentication-mode pap # 认证模式(按服务器要求选pap/chap)
# 3. 配置AAA方案,关联RADIUS
aaa
authentication-scheme SSH-DOUBLE
authentication-mode radius local # 优先RADIUS(动态口令),本地兜底
authorization-scheme SSH-DOUBLE
authorization-mode radius local
accounting-scheme SSH-DOUBLE
accounting-mode radius local
domain DEFAULT # 绑定到默认域(所有用户生效)
authentication-scheme SSH-DOUBLE
authorization-scheme SSH-DOUBLE
accounting-scheme SSH-DOUBLE
radius scheme DYNAMIC-PWD
# 4. 配置SSH服务(仅允许SSH,禁用Telnet)
ssh server enable
user-interface vty 0 15
protocol inbound ssh # 仅SSH登录
authentication-mode aaa # 启用AAA认证(联动RADIUS)
idle-timeout 3 0 # 超时退出
# 5. 保存配置
save
2. 动态口令服务器配置(关键)
- 在 RADIUS/TACACS+ 服务器(如 iMC、RSA)中:
- 添加交换机为「认证客户端」(配置共享密钥,与交换机一致);
- 为用户绑定「静态密码 + 动态口令令牌」(硬件令牌 / 手机 APP 令牌);
- 开启「二次认证」,要求用户先输静态密码、再输动态验证码(或拼接输入:静态密码 + 动态码)。
方案 2:本地脚本 + 一次性口令(简易版,无服务器)
若没有集中认证服务器,可通过「本地账号 + 定时更新一次性口令」实现轻量化二次认证(适合小型场景):
plaintext
# 1. 创建本地用户,绑定权限
aaa
local-user admin password irreversible-cipher Admin@123 # 静态密码
local-user admin service-type ssh
local-user admin privilege level 3 # 最高权限
# 2. 配置登录脚本,要求输入动态口令(需交换机支持Python脚本)
user-interface vty 0 15
auto-execute command python /flash/dynamic_pwd.py # 登录后自动执行验证脚本
- 脚本逻辑:用户登录后,脚本弹出提示「请输入 6 位动态口令」,验证通过后释放操作权限;
- 缺点:动态口令需手动维护(如短信 / 微信推送),无集中管理,仅适合临时场景。
二、登录流程(用户侧)
- 打开 SSH 客户端(Xshell/SecureCRT),连接交换机 IP;
- 输入静态账号 → 输入静态密码(第一层认证);
- 系统提示「请输入动态验证码」→ 输入手机 APP / 硬件令牌的 6/8 位动态码(第二层认证);
- 双重验证通过 → 进入交换机命令行,获得操作权限。
三、关键注意事项(避坑)
- 版本要求:
- Comware V7(S6850/S5560 等):完全支持 RADIUS 联动动态口令;
- Comware V5(S5120/S3100 等):需升级到最新版本,部分老版本不支持 Python 脚本;
- 认证模式:
- 动态口令服务器通常用
PAP认证模式,需与服务器配置一致; - 若提示「认证失败」,优先检查共享密钥和认证模式;
- 动态口令服务器通常用
- 兜底方案:
- 配置
authentication-mode radius local,确保 RADIUS 服务器故障时,可通过本地账号登录,避免断联;
- 配置
- 安全增强:
- 禁用 Console 口远程登录,仅保留本地 Console 应急;
- 限制 SSH 登录的源 IP(ACL):plaintext
acl number 2000 rule permit source 192.168.1.0 0.0.0.255 # 仅允许管理员网段 rule deny any user-interface vty 0 15 acl 2000 inbound
四、验证配置是否生效
plaintext
# 1. 查看RADIUS配置
display radius scheme DYNAMIC-PWD
# 2. 查看AAA认证方案
display aaa authentication-scheme SSH-DOUBLE
# 3. 查看SSH登录记录(验证二次认证)
display ssh server session
display security log login # 查看登录日志
总结
- 企业级场景优先用 AAA + RADIUS/TACACS+ 联动动态口令服务器,实现标准化双层认证;
- 小型场景可通过「本地脚本 + 一次性口令」轻量化实现,但需手动维护动态口令;
- 核心是交换机侧配置 AAA 关联动态口令服务器,用户登录时需完成「静态账号密码 + 动态验证码」双重验证,才能获得操作权限。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论