微思网络www.xmws.cn,2002年成立,专业IT认证培训21年,面向全国招生!
微 信 号 咨 询: xmws-IT
华为HCIA试听课程:超级实用,华为VRP系统文件详解【视频教学】华为VRP系统文件详解
华为HCIA试听课程:不会传输层协议,HCIA都考不过【视频教学】华为传输层协议
华为HCIA试听课程:网络工程师的基本功:网络地址转换NAT 【视频教学】网络地址转换NAT
在现网中,登录设备的方式主要有以下两种:本地Console口和远程STelnet。
本地Console口登录安全配置示例
通过Console口(也称串口)登录交换机是登录设备的最基本方式,也是其他登录方式(如Telnet和STelnet)的基础。一旦攻击者接触到Console口后,交换机将暴露给攻击者,交换机的安全无法保障。通过配置Console口用户界面的认证方式、用户的认证信息和用户级别,可以保证Console登录的安全性。
部署注意事项
-
如果用户通过Console口登录设备再进行Console用户界面配置,所配置的属性需退出当前登录,再次通过Console口登录才会生效。
-
为充分保证设备安全,首次登录设备时,必须按照要求修改缺省密码,并定期修改密码。
配置步骤
-
配置Console用户界面的认证方式。
<HUAWEI> system-view [HUAWEI] user-interface console 0 //进入Console用户界面 [HUAWEI-console0] authentication-mode aaa //配置认证方式为AAA,默认情况下即AAA [HUAWEI-console0] quit
-
配置Console用户的认证信息及用户级别。
[HUAWEI] aaa [HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206 //创建本地用户admin123,登录密码为YsHsjx_202206 [HUAWEI-aaa] local-user admin123 privilege level 15 //配置本地用户admin123的级别为15 Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y [HUAWEI-aaa] local-user admin123 service-type terminal //配置本地用户admin123的接入类型为终端用户,即Console用户
-
通过Console口连接设备,提示用户输入用户名和密码,实现Console口登录设备。(本举例配置的用户名为admin123,密码为YsHsjx_202206)
Login authentication Username:admin123 Password: <HUAWEI>
远程STelnet登录安全配置示例
Telnet和STelnet是远程登录交换机两种方式,Telnet协议存在安全风险,而STelnet则基于SSH协议,实现了在不安全网络上提供安全的远程登录,提供安全信息保障和强大认证功能,保护交换机不受IP欺骗等攻击。
部署注意事项
-
登录设备前,需要确保终端PC和设备之间路由可达。
-
使用STelnet V1协议存在安全风险,建议使用STelnet V2登录设备。
-
配置STelnet登录交换机前,用户终端应该已安装SSH服务器登录软件。本举例中,SSH服务器登录软件以第三方软件PuTTY为例。
-
通过STelnet登录设备需配置用户界面支持的协议是SSH,必须设置VTY用户界面认证方式为AAA认证。
-
为充分保证设备安全,请定期修改密码。
配置步骤
-
配置VTY用户界面的支持协议类型、认证方式和用户级别。
[HUAWEI] user-interface vty 0 4 [HUAWEI-ui-vty0-4] authentication-mode aaa //配置VTY用户界面认证方式为AAA认证 [HUAWEI-ui-vty0-4] protocol inbound ssh //配置VTY用户界面支持的协议为SSH,默认情况下即SSH [HUAWEI-ui-vty0-4] user privilege level 15 //配置VTY用户界面的级别为15 [HUAWEI-ui-vty0-4] quit
-
开启STelnet服务器功能并创建SSH用户。
[HUAWEI] stelnet server enable //使能设备的STelnet服务器功能 [HUAWEI] ssh user admin123 //创建SSH用户admin123 [HUAWEI] ssh user admin123 service-type stelnet //配置SSH用户的服务方式为STelnet
-
配置SSH用户认证方式。
配置SSH用户认证方式为Password。 使用Password认证方式时,需要在AAA视图下配置与SSH用户同名的本地用户。 [HUAWEI] ssh user admin123 authentication-type password //配置SSH用户认证方式为password [HUAWEI] aaa [HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206 //创建与SSH用户同名的本地用户和对应的登录密码 [HUAWEI-aaa] local-user admin123 privilege level 15 //配置本地用户级别为15 [HUAWEI-aaa] local-user admin123 service-type ssh //配置本地用户的服务方式为SSH [HUAWEI-aaa] quit 配置SSH用户认证方式为RSA、DSA或ECC。(以ECC认证方式为例,RSA、DSA认证方式步骤类似) 使用RSA、DSA或ECC认证方式时,需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。这样当客户端登录服务器时,自己的私钥如果与输入的公钥匹配成功,则认证通过。客户端公钥的生成请参见相应的SSH客户端软件的帮助文档。 [HUAWEI] ssh user admin123 authentication-type ecc //配置SSH用户认证方式为ecc [HUAWEI] ecc peer-public-key key01 encoding-type pem //配置ECC公共密钥编码格式,并进入ECC公共密钥视图,key01为公共密钥名称 Enter "ECC public key" view, return system view with "peer-public-key end". [HUAWEI-ecc-public-key] public-key-code begin //进入公共密钥编辑视图 Enter "ECC key code" view, return last view with "public-key-code end". [HUAWEI-dsa-key-code] 308188 //拷贝复制客户端的公钥,为十六进制字符串 [HUAWEI-dsa-key-code] 028180 [HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB [HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F [HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B [HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5 [HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931 [HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2 [HUAWEI-ecc-key-code] 171896FB 1FFC38CD [HUAWEI-ecc-key-code] 0203 [HUAWEI-ecc-key-code] 010001 [HUAWEI-ecc-key-code] public-key-code end //退回到公共密钥视图 [HUAWEI-ecc-public-key] peer-public-key end //退回到系统视图 [HUAWEI] ssh user admin123 assign ecc-key key01 //为用户admin123分配一个已经存在的公钥key01
-
在服务器端生成本地密钥对。
system-view [HUAWEI] ecc local-key-pair create Info: The key name will be: HUAWEI_Host_ECC. Info: The key modulus can be any one of the following: 256, 384, 521. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [default=521]:521 Info: Generating keys.......... Info: Succeeded in creating the ECC host keys.
-
客户端STelnet登录设备。
PC端用Password认证方式连接SSH服务器。
通过PuTTY软件登录设备,输入设备的IP地址,选择协议类型为SSH。
文章来源:https://www.toymoban.com/news/detail-665900.html点击“Open”,出现如下界面,输入用户名和密码,并按Enter键,至此已登录到SSH服务器。(以下显示信息仅为示例)文章来源地址https://www.toymoban.com/news/detail-665900.html
login as: admin123 Sent username "admin123" admin123@10.10.10.20's password: Info: The max number of VTY users is 8, and the number of current VTY users on line is 5. The current login time is 2022-12-22 09:35:28+00:00. <HUAWEI>
到了这里,关于【分享】华为设备登录安全配置案例的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!