FAQ--S交换机SSH登录如何使用agile controller认证

发布时间:  2017-03-22 浏览次数:  162 下载次数:  0
问题描述

当网络中部署了RADIUS服务器,可以配置RADIUS认证,由RADIUS服务器统一创建和维护用户信息,当用户输入的帐号和密码与RADIUS服务器上配置的一致时,才可以登录设备,登录设备后的权限级别也是通过RADIUS服务器下发。RADIUS认证常应用在对安全性要求较高的网络环境中,例如金融、政府和运营商等行业。

某企业中AC-Campus作为RADIUS服务器,对SSH登录设备的管理员做认证和授权,只有认证通过的用户才能登录设备并获得相应权限。


数据规划如下:
G0/0/1-VLAN1-1.1.1.2/24
G0/0/2-VLAN2-192.168.153.200/24
radius认证和授权秘钥:Huawei@123 认证端口和计费端口1812和1813
radius服务器地址:192.168.153.130
解决方案

交换机和agile controller的配置如下所示:

一、交换机基本配置(VLAN、端口、IP地址)

vlan batch 2

interface GigabitEthernet0/0/2

 port link-type access

 port default vlan 2

interface Vlanif1

 ip address 1.1.1.2 255.255.255.0

interface Vlanif2

 ip address 192.168.153.200 255.255.255.0

二、配置radius服务器模板、认证计费方案和认证域

radius-server template test

 radius-server shared-key cipher Huawei@123

 radius-server authentication 192.168.153.130 1812

 radius-server accounting 192.168.153.130 1813

radius-server authorization 192.168.153.130 shared-key cipher Huawei@123

#

aaa

 authentication-scheme radius

  authentication-mode radius

 accounting-scheme radius

  accounting-mode radius

 domain default_admin //登录管理设备的默认域

  authentication-scheme radius

  accounting-scheme radius

  radius-server  test

#

三、配置交换机的SSH功能

user-interface vty 0 4

 authentication-mode aaa

 protocol inbound all

stelnet server enable

ssh authentication-type default password //由于所有的用户信息都在radius服务器上面,设备侧只配置SSH用户默认使用密码认证,不用在设备上面创建SSH用户;

四、在agile controller添加交换机,实现radius对接

资源-设备-设备管理-增加



五、配置认证规则、授权规则

认证规则使用默认的即可;(如果要修改的话在策略-准入控制-认证授权-认证规则修改或者新加)

配置授权规则,先配置授权结果,策略-准入控制-认证授权-授权结果-增加;


配置授权规则:(授权条件根据需求进行配置,基本参数和授权结果必须配置)



所有的配置都完成了,接下来就是验证结果了;


在管理员的终端设备(以交换机模拟终端设备)ssh登录交换机,结果如下:


Agile controller上面在线用户详细信息和radius认证日志和报文处理流程如下:

在线用户详细信息:


radius认证日志详细信息;



radiu认证报文处理步骤:



END