【分享】华为设备登录安全配置案例

这篇具有很好参考价值的文章主要介绍了【分享】华为设备登录安全配置案例。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

微思网络www.xmws.cn,2002年成立,专业IT认证培训21年,面向全国招生!

微 信 号 咨 询: xmws-IT

华为HCIA试听课程:超级实用,华为VRP系统文件详解【视频教学】华为VRP系统文件详解

华为HCIA试听课程:不会传输层协议,HCIA都考不过【视频教学】华为传输层协议

华为HCIA试听课程:网络工程师的基本功:网络地址转换NAT 【视频教学】网络地址转换NAT


在现网中,登录设备的方式主要有以下两种:本地Console口和远程STelnet。
本地Console口登录安全配置示例

通过Console口(也称串口)登录交换机是登录设备的最基本方式,也是其他登录方式(如Telnet和STelnet)的基础。一旦攻击者接触到Console口后,交换机将暴露给攻击者,交换机的安全无法保障。通过配置Console口用户界面的认证方式、用户的认证信息和用户级别,可以保证Console登录的安全性。

部署注意事项
  • 如果用户通过Console口登录设备再进行Console用户界面配置,所配置的属性需退出当前登录,再次通过Console口登录才会生效。

  • 为充分保证设备安全,首次登录设备时,必须按照要求修改缺省密码,并定期修改密码。

配置步骤
  1. 配置Console用户界面的认证方式。

    <HUAWEI> system-view
    [HUAWEI] user-interface console 0    //进入Console用户界面
    [HUAWEI-console0] authentication-mode aaa    //配置认证方式为AAA,默认情况下即AAA
    [HUAWEI-console0] quit
    
  2. 配置Console用户的认证信息及用户级别。

    [HUAWEI] aaa
    [HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206   //创建本地用户admin123,登录密码为YsHsjx_202206
    [HUAWEI-aaa] local-user admin123 privilege level 15    //配置本地用户admin123的级别为15
    Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
    [HUAWEI-aaa] local-user admin123 service-type terminal    //配置本地用户admin123的接入类型为终端用户,即Console用户
    
  3. 通过Console口连接设备,提示用户输入用户名和密码,实现Console口登录设备。(本举例配置的用户名为admin123,密码为YsHsjx_202206)

    Login authentication
    
    Username:admin123 
    Password: 
    <HUAWEI> 
    
远程STelnet登录安全配置示例

Telnet和STelnet是远程登录交换机两种方式,Telnet协议存在安全风险,而STelnet则基于SSH协议,实现了在不安全网络上提供安全的远程登录,提供安全信息保障和强大认证功能,保护交换机不受IP欺骗等攻击。

部署注意事项
  • 登录设备前,需要确保终端PC和设备之间路由可达。

  • 使用STelnet V1协议存在安全风险,建议使用STelnet V2登录设备。

  • 配置STelnet登录交换机前,用户终端应该已安装SSH服务器登录软件。本举例中,SSH服务器登录软件以第三方软件PuTTY为例。

  • 通过STelnet登录设备需配置用户界面支持的协议是SSH,必须设置VTY用户界面认证方式为AAA认证。

  • 为充分保证设备安全,请定期修改密码。

配置步骤

  1. 配置VTY用户界面的支持协议类型、认证方式和用户级别。

    [HUAWEI] user-interface vty 0 4
    [HUAWEI-ui-vty0-4] authentication-mode aaa    //配置VTY用户界面认证方式为AAA认证
    [HUAWEI-ui-vty0-4] protocol inbound ssh    //配置VTY用户界面支持的协议为SSH,默认情况下即SSH
    [HUAWEI-ui-vty0-4] user privilege level 15    //配置VTY用户界面的级别为15
    [HUAWEI-ui-vty0-4] quit
    
  2. 开启STelnet服务器功能并创建SSH用户。

    [HUAWEI] stelnet server enable    //使能设备的STelnet服务器功能
    [HUAWEI] ssh user admin123    //创建SSH用户admin123
    [HUAWEI] ssh user admin123 service-type stelnet    //配置SSH用户的服务方式为STelnet
    
  3. 配置SSH用户认证方式。

    配置SSH用户认证方式为Password。
    使用Password认证方式时,需要在AAA视图下配置与SSH用户同名的本地用户。
    [HUAWEI] ssh user admin123 authentication-type password    //配置SSH用户认证方式为password
    [HUAWEI] aaa
    [HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206    //创建与SSH用户同名的本地用户和对应的登录密码
    [HUAWEI-aaa] local-user admin123 privilege level 15    //配置本地用户级别为15
    [HUAWEI-aaa] local-user admin123 service-type ssh    //配置本地用户的服务方式为SSH
    [HUAWEI-aaa] quit
    
    配置SSH用户认证方式为RSA、DSA或ECC。(以ECC认证方式为例,RSA、DSA认证方式步骤类似)
    使用RSA、DSA或ECC认证方式时,需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。这样当客户端登录服务器时,自己的私钥如果与输入的公钥匹配成功,则认证通过。客户端公钥的生成请参见相应的SSH客户端软件的帮助文档。
    [HUAWEI] ssh user admin123 authentication-type ecc    //配置SSH用户认证方式为ecc
    [HUAWEI] ecc peer-public-key key01 encoding-type pem    //配置ECC公共密钥编码格式,并进入ECC公共密钥视图,key01为公共密钥名称
    Enter "ECC public key" view, return system view with "peer-public-key end".
    [HUAWEI-ecc-public-key] public-key-code begin    //进入公共密钥编辑视图
    Enter "ECC key code" view, return last view with "public-key-code end".
    [HUAWEI-dsa-key-code] 308188    //拷贝复制客户端的公钥,为十六进制字符串
    [HUAWEI-dsa-key-code] 028180
    [HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
    [HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
    [HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
    [HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
    [HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
    [HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
    [HUAWEI-ecc-key-code] 171896FB 1FFC38CD
    [HUAWEI-ecc-key-code] 0203
    [HUAWEI-ecc-key-code] 010001
    [HUAWEI-ecc-key-code] public-key-code end    //退回到公共密钥视图
    [HUAWEI-ecc-public-key] peer-public-key end    //退回到系统视图
    [HUAWEI] ssh user admin123 assign ecc-key key01    //为用户admin123分配一个已经存在的公钥key01
    
  4. 在服务器端生成本地密钥对。

     system-view
    [HUAWEI] ecc local-key-pair create
    Info: The key name will be: HUAWEI_Host_ECC.
    Info: The key modulus can be any one of the following: 256, 384, 521.
    Info: If the key modulus is greater than 512, it may take a few minutes.
    Please input the modulus [default=521]:521
    Info: Generating keys..........
    Info: Succeeded in creating the ECC host keys.
    
  5. 客户端STelnet登录设备。

    PC端用Password认证方式连接SSH服务器。

    通过PuTTY软件登录设备,输入设备的IP地址,选择协议类型为SSH。
     

    【分享】华为设备登录安全配置案例,网络工程师-华为认证/思科认证,华为,安全,网络,HCIA,HCIP,HCIE


     

    点击“Open”,出现如下界面,输入用户名和密码,并按Enter键,至此已登录到SSH服务器。(以下显示信息仅为示例)文章来源地址https://www.toymoban.com/news/detail-665900.html

    login as: admin123
    Sent username "admin123"
    
    admin123@10.10.10.20's password:
    
    Info: The max number of VTY users is 8, and the number
          of current VTY users on line is 5.
          The current login time is 2022-12-22 09:35:28+00:00.
    <HUAWEI>

到了这里,关于【分享】华为设备登录安全配置案例的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 华为交换机、路由器设备怎样配置console登录密码

    华为交换机路由器设备怎样配置console密码 方式一,只使用密码验证登录console口 [R1]user-interface console 0 //配置console口 [R1-ui-console0]authentication-mode password //配置认证模式为密码模式 Please configure the login password (maximum length 16):admin123 //配置密码 输入密码后进入登录进来 如果想修改

    2024年02月05日
    浏览(49)
  • 华为端口安全常用3种方法配置案例

    [Huawei]int g0/0/01 interface GigabitEthernet0/0/1 port-security enable //开启安全 port-security max-mac-num 2 //最多为2个mac地址学习 port-security protect-action restrict //丢包带警告 port-security aging-time 1 //mac地址的老化时间配置一分钟,这个看情况要不要配 interface GigabitEthernet0/0/2 port-security enable port-se

    2024年02月21日
    浏览(42)
  • 华为ENSP网络设备配置实战6(简单的链路聚合)

    1、创建聚合组,添加端口成员 2、PC1网段为vlan10,PC2网段为vlan20 3、LSW1为核心网关设备,正确配置PC网关 4、PC1与PC2互通 1.1、 按照拓扑图,各个设备起名 1.2、给LSW2做端口聚合 在设备LSW2上: 1.3、给LSW3做端口聚合 在设备LSW3上: 1.4、给LSW1做端口聚合 在设备LSW1上: 至此,PC

    2024年02月12日
    浏览(45)
  • 高级网络安全管理员 - 网络设备和安全配置:SSH 配置

    Cisco Packet Tracer 是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况

    2024年01月25日
    浏览(50)
  • 高级网络安全管理员 - 网络设备和安全配置:交换机端口安全配置

    Cisco Packet Tracer 是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况

    2024年02月03日
    浏览(58)
  • 高级网络安全管理员 - 网络设备和安全配置:标准的ACL配置

    Cisco Packet Tracer 是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况

    2024年02月04日
    浏览(48)
  • 网络安全设备配置练习题1

    1.  ( 单选题, 5分) 如图所示,客户端A和服务器B之间建立TCP连接,图中两处“?”报文序号应该是下列哪项? A. a+1:a B. a:a+1 C. b+1:b D. a+1:a+1 正确答案:  D:a+1:a+1; 2.  ( 单选题, 5分) 如图所示为配置 NAT Server 后生成的两条 Server Map 表项,关于该图所呈现的信息,以下哪项描述是错误的?[单选

    2024年02月11日
    浏览(44)
  • 分享从零开始学习网络设备配置--任务3.7 使用动态路由RIPv2实现网络连通

    任务描述 某公司随着规模的不断扩大,路由器的数量开始有所增加。网络管理员发现原有的静态路由已经不适合现在的公司,实施动态路由RIPv2协议配置,实现网络中所有主机之间互相通信。   在路由器较多的网络环境中,手工配置静态路由会给管理人员带来很大的工作负担

    2024年02月06日
    浏览(47)
  • 思科设备命令,网络工程师收藏!

    一.静态路由配置命令 ​Router(config)# ip route network 192.168.1.1 10.0.0.1 192.168.1.1(IP地址) 10.0.0.1(下一跳) 二.默认路由配置命令 Router (config)# ip route 0.0.0.0 0.0.0.0 10.0.0.1 0.0.0.0 0.0.0.0(所有网段)10.0.0.1(下一跳) 通过show ip route (查看路由表) 使用ping命令测试连通性 排除物

    2024年02月09日
    浏览(43)
  • 高级网络安全管理员 - 网络设备和安全配置:三层交换机和ACL配置

    Cisco Packet Tracer 是由Cisco公司发布的一个辅助学习工具,为学习思科网络课程的初学者去设计、配置、排除网络故障提供了网络模拟环境。用户可以在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况

    2024年01月16日
    浏览(51)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包