No se encuentran recursos de mapeo en el idioma seleccionado.

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo para configurar el inicio de sesión de STelnet (En función de la autenticación RADIUS)

Ejemplo para configurar el inicio de sesión de STelnet (En función de la autenticación RADIUS)

Descripción general

El protocolo Secure Shell (SSH) implementa el inicio de sesión remoto seguro en las redes inseguras, lo que garantiza la integridad y fiabilidad de los datos y garantiza la transmisión segura de los datos. STelnet, en función del protocolo SSH, garantiza la seguridad de la información y proporciona una poderosa función de autenticación. STelnet protege un switch contra los ataques tal como IP spoofing (suplantación de IP). De forma predeterminada, no puede iniciar sesión en un switch mediante STelnet. Debe iniciar sesión en un switch mediante un puerto de consola o Telnet, y configurar primero la función de STelnet y los parámetros de la interfaz del usuario.

RADIUS utiliza el modelo de cliente / servidor en modo distribuido y protege una red contra el acceso no autorizado. A menudo se usa en redes que requieren alta seguridad y control remoto de acceso de usuarios. Después de configurar el inicio de sesión de STelnet en función de la autenticación de RADIUS, un switch envía el nombre de usuario y la contraseña de un usuario de inicio de sesión al servidor RADIUS. El servidor RADIUS luego autentica al usuario y registra las operaciones del usuario, lo que asegura la seguridad de la red.

Notas de configuración

  • STelnet V1 es un protocolo inseguro. Se recomienda el uso de STelnet V2.
  • Asegúrese de que el terminal del usuario tenga instalado el software de inicio de sesión del servidor SSH antes de configurar el inicio de sesión de STelnet. En este ejemplo, el software de terceros PuTTY se utiliza como el software de inicio de sesión del servidor SSH.
  • Asegúrese de que el terminal de usuario tenga rutas alcanzables para el switch y el servidor RADIUS.
  • Asegúrese de que la dirección IP, el número de puerto y la clave compartida del servidor RADIUS estén configurados correctamente en el switch y sean iguales a los del servidor RADIUS.
  • Asegúrese de que se haya configurado un usuario en el servidor RADIUS. En este ejemplo, el usuario admin@huawei.com (en el formato de user name@domain name) y la contraseña Huawei@1234 han sido configurados.
  • Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.
NOTA:

A continuación, se utilizan las líneas de comando y las salidas del S9300 que ejecuta V200R006C00 como ejemplo.

Requisitos de red

El administrador de red requiere un inicio de sesión remoto a un switch y una alta seguridad de red para proteger la red contra el acceso no autorizado. Para cumplir con los requisitos, configure el inicio de sesión de STelnet en función de la autenticación RADIUS.

Como se muestra en Figura 3-6, el Switch funciona como el servidor SSH y tiene una ruta alcanzable al servidor RADIUS. La dirección IP y el número de puerto del servidor RADIUS son 10.2.1.1/24 y 1812 respectivamente.

Figura 3-6  Diagrama de redes para configurar el inicio de sesión STelnet en función de la autenticación RADIUS

Hoja de ruta de configuración

La hoja de ruta de la configuración es la siguiente:

  1. Genere un par de claves locales en el servidor SSH para implementar un intercambio seguro de datos entre el servidor y el cliente.

  2. Configure el protocolo STelnet para que los usuarios puedan iniciar sesión en el Switch mediante STelnet.

  3. Configure el protocolo RADIUS para implementar la autenticación RADIUS. Una vez completada la configuración, puede usar el nombre de usuario y la contraseña configurados en el servidor RADIUS para iniciar sesión en el Switch mediante STelnet, lo que garantiza la seguridad de inicio de sesión del usuario.

Procedimiento

  1. Configure el inicio de sesión de STelnet.

    # Genera un par de claves locales en el servidor.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Quidway] dsa local-key-pair create    //Genere un par de claves DSA locales.
    Info: The key name will be: HUAWEI_Host_DSA.
    Info: The key modulus can be any one of the following : 1024, 2048.
    Info: If the key modulus is greater than 512, it may take a few minutes.
    Please input the modulus [default=2048]:
    Info: Generating keys...
    Info: Succeeded in creating the DSA host keys.

    # Configure la interfaz de usuario de VTY.

    [Switch] stelnet server enable    //Habilite la función del servidor STelnet.
    [Switch] user-interface vty 0 14    //Introduzca las vistas de la interfaz de usuario de VTY 0 a VTY 14.
    [Switch-ui-vty0-14] user privilege level 15    //Establezca el nivel de usuarios en VTY 0 a VTY 14 a 15.
    [Switch-ui-vty0-14] authentication-mode aaa    //Set the authentication mode of users in VTY 0 to VTY 14 to AAA.
    [Switch-ui-vty0-14] protocol inbound ssh    //Configure las vistas de la interfaz de usuario en VTY 0 a VTY 14 para admitir SSH.
    [Switch-ui-vty0-14] quit

    # Configure el modo de autenticación del usuario SSH admin para la autenticación de contraseña y configure el tipo de servicio a STelnet.

    [Switch] ssh user admin authentication-type password    //Establezca la autenticación del usuario SSH admin para la autenticación con contraseña. 
    [Switch] ssh user admin service-type stelnet    //Establezca el tipo de servicio del usuario SSH admin para STelnet.
    NOTA:

    Para configurar la autenticación de contraseña para múltiples usuarios de SSH, ejecute el comando de ssh authentication-type default password para especificar la autenticación de contraseña como el modo de autenticación predeterminado de los usuarios de SSH. Una vez completada esta configuración, no es necesario configurar el modo de autenticación y el tipo de servicio para cada usuario de SSH, lo que simplifica la configuración y mejora la eficiencia.

  2. Configurar la autenticación RADIUS.

    # Configure una plantilla de servidor RADIUS en el Switch para implementar la comunicación con el servidor RADIUS.
    [Switch] radius-server template 1    //Introduzca la vista de la plantilla del servidor RADIUS.
    [Switch-radius-1] radius-server authentication 10.2.1.1 1812    //Configure el servidor RADIUS.
    [Switch-radius-1] radius-server shared-key cipher Huawei@6789    //Establezca la clave compartida del servidor RADIUS para Huawei@6789.
    [Switch-radius-1] quit
    
    NOTA:

    Si el servidor RADIUS no es compatible con un nombre de usuario que contenga el nombre de dominio, ejecute el comando undo radius-server user-name domain-included para configurar el Switch para enviar paquetes con un nombre de usuario sin el nombre de dominio al servidor RADIUS.

    # Configure un esquema de autenticación AAA, con el modo de autenticación siendo RADIUS.
    [Switch] aaa
    [Switch-aaa] authentication-scheme sch1    //Cree un esquema de autenticación llamado sch1.
    [Switch-aaa-authen-sch1] authentication-mode radius    //Establezca el modo de autenticación a RADIUS.
    [Switch-aaa-authen-sch1] quit
    
    # Crea un dominio y aplica el esquema de autenticación AAA y la plantilla del servidor RADIUS en el dominio.
    [Switch-aaa] domain huawei.com    //Cree un dominio llamado huawei.com y introduzca la vista del dominio.
    [Switch-aaa-domain-huawei.com] authentication-scheme sch1    //Configure el esquema de autenticación sch1 para el dominio.
    [Switch-aaa-domain-huawei.com] radius-server 1    //Aplique la plantilla de servidor RADIUS 1 al dominio.
    [Switch-aaa-domain-huawei.com] quit
    [Switch-aaa] quit
    
    # Configure el dominio huawei.com como el dominio de gestión global predeterminado para que un administrador no necesite introducir el nombre de dominio para iniciar sesión en el Switch.
    [Switch] domain huawei.com admin

  3. Verifique la configuración

    # Inicie sesión en el Switch mediante PuTTY en el ordenador. Introduzca la dirección IP del Switch y configure el tipo de protocolo a SSH, como se muestra en Figura 3-7.

    Figura 3-7  Conexión al servidor SSH mediante PuTTY

    # Haga clic en Open. En la interfaz de inicio de sesión, escriba el nombre de usuario admin y la contraseña Huawei@1234 cuando se le solicite y presione Enter. Se realiza la autenticación correctamente y puede iniciar sesión correctamente en Switch mediante STelnet. (La siguiente información es solo para referencia.)

    login as: admin
    
    password:
    
    Info: The max number of VTY users is 8, and the number 
          of current VTY users online is 2.
          The current login time is 2014-07-30 09:54:02+08:00.
    <Switch>

Archivos de configuración

Archivo de configuración del switch

#
sysname Switch
#
domain huawei.com admin
#
radius-server template 1
 radius-server shared-key cipher %^%#}+ysUO*B&+p'NRQR0{ZW7[GA*Z*!X@o:Va15dxQAj+,$>NP>63de|G~ws,9G%^%#
 radius-server authentication 10.2.1.1 1812 weight 80
#
aaa
 authentication-scheme sch1    
  authentication-mode radius  
 domain huawei.com            
  authentication-scheme sch1     
  radius-server 1 
#
user-interface vty 0 14          
 authentication-mode aaa          
 user privilege level 15    
#
stelnet server enable
ssh user admin
ssh user admin authentication-type password
ssh user admin service-type stelnet
#
return

Contenido relacionado

Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15798

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente