引言:交换机、防火墙、路由器的远程管理telnetssh是不错的管理方式,但其账号的安全就成为了一种必须考虑的问题,下面我们就来通过aaa服务器来统一管理账号,并可以实现对网络设备的管理

实验拓扑:

实验要求:

   借助aaa服务器实现对交换机、防火墙、路由器telnetssh用户的远端认证

实验配置:

1、cisco-acs4.0安装

cisco-4.0依赖java环境,要先安装jdk

选择ACCEPT

选择四个复选框,查看是否满足要求:

a.终端用户能够连接上AAAclient(设备)

b.AAA客户端能够ping 通该ACS软件所在服务器

c.所有的AAA客户端运行的系统版本要在11.1 (包括11.1)以上

d.ACS所在服务器上的浏览器版本要求IE v6.0 sp1或者网警浏览器v7.02以上

设置安装路径

高级选项的选择,可根据需要选择;

安装完成后,发现打开桌面上的ACS admin页面是空白的,应修改Internet选项下的安全级别,

调为中低就可以,

安全级别调低后,就可以正常访问了

默认情况下,acs并没有华为设备的服务器类型,只能选用RadiusIETF,自适应类型,故下面可以自己添加huawei设备的服务器类型,

[User Defined Vendor]

Name=Huawei

IETF Code=2011

VSA 29=hw_Exec_Privilege

[hw_Exec_Privilege]

Type=INTEGER

Profile=IN OUT

Enums=hw_Exec_Privilege-Values

[hw_Exec_Privilege-Values]

0=Access

1=Monitor

2=Manager

3=Administrator

[Encryption-Type]

1=1

2=2

3=3

[Ftp_Directory]

Type=STRING

Profile=OUT

将上面文字另存为h3c.ini 可以放在根目录下,方面添加

打开命令行,切换到ACS的安装目录下

增加华为私有属性:>CSUtil -addUDV 0 c:\h3c.ini (其中表示在位置,上图中共有0-9个位置)

列举现在的私有属性,出现Huawei私有属性

添加过服务器类型后,就来分别添加aaa客户端,与修改aaa服务器

整体效果图:

勾选华为的私有属性

组用户属性设置

设置radius服务器类型为huawei时,修改权限为管理权限,默认为access,访问权限

添加用户,

案例一、路由器

[Router]radius server 192.168.101.160   #radius服务器的ip地址

[Router]radius shared-key 123456       #验证的密钥对,应与ACS中设置的相同

[Router]aaa authentication-scheme login default radius   #登录的用户默认到radius服务器上进行验证

[Router]aaa accounting-scheme optional   #设置审计可选

案例二、交换机

[Quidway]radius scheme  abc       #方案名称abc

[Quidway-radius-abc]primary authentication 192.168.101.160   #服务器ip

[Quidway-radius-abc]server huawei              #服务器类型

[Quidway-radius-abc]key authentication 123456    #密钥对

[Quidway-radius-abc]user-name without-domain  #用户发送账号信息时不带域名

[Quidway-radius-abc]accounting  optional       #审计可选

[Quidway]domain system                    #使用默认域

[Quidway-isp-system]radius-scheme  abc      #指明方案

[Quidway-isp-system]access-limit enable 10     #允许最大的连接数量10

[Quidway]user-interface vty 0 4                #进入虚拟终端配置

[Quidway-ui-vty0-4]authentication-mode scheme  #验证方式为账号 

[Quidway-ui-vty0-4]protocol inbound  all   #允许进入的协议为all(ssh + telnet)

[Quidway]rsa local-key-pair create          #创建密钥对

[Quidway]ssh user user1 authentication-type all   [S2403H-EI]

[Quidway]ssh authentication-type default all   [S2403H-HI] 

[Quidway]super password  simple 123   设置切换到管理员的密码,否则ssh用户登录后将无权限来管理交换机 

ssh登录,要将server-type 改为standard默认,也就是标准的,并且登录后其权限值也较低

案例三、防火墙

[H3C]firewall zone trust 

[H3C-zone-trust]add inter eth0/0    #加到信任域

[H3C]radius scheme  abc          #方案名称abc

[H3C-radius-abc]primary  authentication  192.168.101.160

[H3C-radius-abc]server-type standard

[H3C-radius-abc]key authentication 123456

[H3C-radius-abc]accounting optional 

[H3C-radius-abc]user without-domain

[H3C]domain system

[H3C-isp-system]radius-scheme abc

[H3C-isp-system]access-limit enab 10

[H3C-isp-system]accounting optional

[H3C]rsa local-key-pair create          #创建密钥对

[H3C]ssh authentication-type default all    #ssh的验证方式默认为所有方式 
将进入0级别 
可以先配置super 密码,切换到管理员级别 
[H3C]super password level 3 simple 123 设置切换到管理员级别的密码

也可以自己创建域,然后将其设为默认域,

例:[H3C]domain default enable example

结束了,以后就不用再担心设备的账号难管理了