华为系列交换机远程登录安全优化——(结合NPS实现加密的SSH登录)

最新推荐文章于 2024-07-12 16:32:54 发布
最新推荐文章于 2024-07-12 16:32:54 发布
阅读量1.9k 收藏 10
点赞数 1
分类专栏: 网络 文章标签: 网络 其他 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cthomson/article/details/124114828
版权

背景:公司目前有大部分交换机(核心、汇聚、接入层)采用Telnet的方式进行远程管理及配置;由于telnet在网络上是用明文的方式进行密码交换,很容易被抓包工具捕获账号及密码,为了加强网络设备远程管理的安全性及可靠性,特撰写此文档进行优化说明。

针对设备:华为、思科、H3C各系列交换机(文档中涉及的交换机配置适用华为全系列交换机,思科及H3C配置不在文档中贴出)

实现效果:

网络交换机优先使用NPS服务器进行认证登录,若服务器失效,自动改为本地认证.

拓扑图:

 

主要过程

1:搭建NPS服务器,主要用于账号配置管理,交换机策略的配置及管理;

2:建立网络设备的本地SSH认证,主要用于服务器失效后,实现本地认证;

3:与服务器进行连接,并使用服务器进行远程认证;

4:测试;

一:服务器配置(WIN2012)

1:安装NPS服务,如下图

 

2:在RADIUS客户端新建一条与交换机连接的策略,如下图所示,交换机地址一定是要在线的交换机,共享秘钥很重要,此处的共享秘钥必须和交换机的共享秘钥一致;

 

3:在连接请求策略中,设置好请求条件,如下图所示

 

4:新建一个用户组,并添加一个账号,该账号主要用来管理网络设备;并在网络策略中添加该用户组;

 

二:交换机配置

1:设置本地SSH,用于本地认证,可以在服务器失效的情况下,也可以保证能够通过远程进行配置管理,如下图所示,为本地认证的具体配置;

 

三:设置交换机与服务器连接,此步骤的共享秘钥一定要和NPS服务器中的共享秘钥一致,否则,会出现认证失败的问题

 

四:测试

1:测试账号:ssh(NPS设置的账号),密码:sshtest2022,如下图所示,我们已经成功通过NPS服务器的认证

 

 

 2:停止NPS服务,模拟服务器故障,用本地账号进行认证登录。账号:ceepcb,密码:ceepcb2022

 

 

 

MuYiZi2018
关注
专栏目录
华为交换机密码认证
wyx152106的博客
02-29 2810
交换机 一、交换机实现同网段之间的通信(默认只有一个 vlan ) 学习动作:学习源mac地址和收接口的对应关系,形成mac地址表 泛洪动作:除了收接口外其他接口都不要向下进行泛洪(不知道目的mac地址) 转发动作:根据mac地址表进行转发 路由器:实现不同网段之间的通信,隔离广播域 转发理由:根据路由表进行转发 Preference 优先级 二、 Telnet:远程登录(密码认证) user...
交换机设备登录账号权限1_交换机上配置RADIUS登录认证
weixin_29182481的博客
12-29 3316
交换机上配置RADIUS登录认证我们可以以Telnet,SSH,Web或者console口等不同的方式登录交换机,获得普通或者特权模式的访问权限.在网络设备众多,对网络安全要求较高的企业里,仅仅使用交换机本地数据库的帐号,密码认证功能已经满足不了用户的要求,客户往往希望能够采用集中,多重的认证方式.这样也能在提高安全度的前提下减轻IT管理负担。RADIUS服务就是其中之一。这里我们以一个客户的需求...
交换机SSH+NPS+802.1x登陆配置
weixin_33836874的博客
12-20 930
一、前提条件服务器:Windows Server 2008 R2 NPS服务与AD结合交换机华为交换机、H3C交换机二、配置1.配置NPS服务器1.1安装角色添加角色“网络策略和访问服务”中的网络策略服务器;1.2添加网络策略未加密的身份验证(PAP,SPAP)(P),其他都用默认即可。1.3修改IAS数据库文件添加私有属性值a.打开C:\Windows\System32\...
华为交换机远程登录配置(ssh、telnet)
最新发布
zhanglongquan的博客
07-12 2584
1、配置如下:默认情况下交换机路由器只能通过console进入配置界面、此次使用模拟器操作、现实并无差异通过串口进入、相当于电脑的CRT命令行界面。
交换机的密码配置及远程管理
weixin_34380948的博客
11-07 1760
一、交换机的作用主机之间的相互通信需要通过网线连接; ——缺点:传输距离有限 ——解决方法:引入设备中继器中继器可以放大电信号,从而延长信号的传输距离; ——缺点:只有两个接口,不能解决多个主机之间的通信 ——解决方法:引入设备集线器 集线器相当于多个端口的中继器; ...
Python通过SSH控制NPS
weixin_33701294的博客
08-23 204
最近公司新进来一台WTI的NPS-8HD20-2,因为要实现电源开关的自动切换,所以我就试着用Python来写个脚本控制。 首先,NPS可以通过SSH登录登录的脚本很简单 importpxsshhostname='***'username='***'password='***'s=pxssh.pxssh()s.login(hostname,userna...
华为交换机安全配置
12-11
华为交换机安全配置包括华为交换机安全ACL,端口安全配置命令等
windows NPS 结合 Cisco 交换机实现802.1x身份验证
08-29
### Windows NPS 结合 Cisco 交换机实现802.1x身份验证 #### 实验背景及目标 本文档详细介绍了如何使用Windows Server 2008 R2上的网络策略服务器(NPS)服务与Cisco交换机结合实现802.1x身份验证的过程。实验的...
使用win2012的radius对华为交换机telnet进行认证
03-04
使用 Win2012 的 RADIUS 对华为交换机 Telnet 进行认证,需要添加 NPS 角色,建立 RADIUS 用户,新建 RADIUS 客户端,添加 RADIUS 属性,配置网络策略,测试认证,解决 CHAP 认证问题,并查看 Win2012 安全日志。
Winodws 网络策略服务器与华为、华三、思科网络设备的结合
weixin_42966180的博客
03-23 1173
Winodws NPS华为、华三、思科网络设备的结合 此次内容适合对radius有了解的同学,对初学者不太友好 关于Radius RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP(User Datagram Protocol)的RADIUS报文格式及其传输机制,并规定目的UDP端口号1812、1813分别作为默认的认证、计费端口号。 RADIUS最初仅是针对拨号用户的AAA协
树莓派使用NPS实现内网穿透
缘分丨随风
04-14 2071
树莓派使用NPS实现内网穿透
nps:一款轻量级、高性能、功能强大的内网穿透代理服务器。支持tcp、udp、socks5、http等几乎所有流量转发,可用来访问内网网站、本地支付接口调试、ssh访问、远程桌面,内网dns解析、内网socks5代理等等……,并带有功能强大的web管理端。a lightweight, high-performance, powerful intranet penetration proxy server, with a powerful web management terminal
05-12
NPS | NPS是具有功能强大的Web管理终端的轻型,高性能,功能强大的Intranet渗透代理服务器。 特征 全面的协议支持,与几乎所有常用协议兼容,例如tcp,udp,http(s),socks5,p2p,http代理... 全面的平台兼容性(Linux,Windows,MacOS,Synology等),仅支持安装为系统服务。 全面控制,允许客户端和服务器控制。 Https集成,支持将后端代理和Web服务转换为https,并支持多个证书。 只需在Web ui上进行简单配置即可完成大多数要求。 完整的信息显示,例如流量,系统信息,实时带宽,客户端版本等。 强大的扩展功能,一切可用(缓存,压缩,加密,流量限制,带宽限制,端口重用等) 域名解析具有诸如自定义标题,404页面配置,主机修改,站点保护,URL路由和全景解析之类的功能。 服务器上的多用户和用户注册支持。 找不
华为控制器AC配置文档
07-06
华为AC配置文档以及配置命令 配置需注意的关键点以及注意事项
华为交换机端口安全配置
xw19979790869的博客
11-23 2209
端口安全(Port Security)通过将接口学习到的动态MAC地址转换为安全MAC地址(包括安全动态MAC、安全静态MAC和Sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性。
通过WindowsServer2008R2 NPS完成对Cisco设备的Telnet/SSH 的Radius认证
weixin_34200628的博客
10-15 304
大家知道对于一个稍具规模的公司来说,网络设备几乎都在几十台到上百台,对于日常的管理来说如果只通过本地账号管理设备登陆是非常繁琐的,尤其是网络工程师流动性比较大的公司。对于入离职流程过程中的账号增删改不是一个小的工作量,所以我们就需要一个统一的登陆方式比如通过Raidus。下面是拿Cisco和Windows NPS 来举例说明:Cisco SSH 配置:第一步开启交换机的SS...
H3C 交换机 和windows NPS结合实现内网802.1X认证
weixin_34132768的博客
06-11 2152
环境介绍: windows server 2012 NPS 承担Radius Server 角色 Radius Client 设备型号 H3C S3100V2 由于802.1x 端口控制方式有两种,一种是基于接口的接入控制方式(PortBased),一种是基于Mac的接入控制方式(Macbased), 因此我们分开来测试。 NPS配置: 场景1 : 基于接口的接入控制方式(PortBase...
FRP-NPS-SSH 与反向代理
weixin_45846332的博客
10-06 196
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
【高危】Windows Server NPS 远程代码执行漏洞
OSCS开源安全社区
08-22 271
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
Windows NPS搭建(NPS配置交换机radius认证登录)
夜邢的博客
06-11 3779
Windows Radius搭建(NPS配置交换机SSH、CONSOLE登录) Windows NPS搭建(NPS配置交换机radius认证登录) 通过radius登录交换机
华为S系列交换机技术问题与解决方案
本文档详尽地列出了华为S系列交换机在实际操作中可能遇到的一系列技术问题,这些问题涉及到交换机的基础功能,如VLAN、端口镜像、ARP表管理、链路稳定性、NAT服务、热插拔单板、FTPServer安全、LDP连接、光接口性能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

MuYiZi2018

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值