28SSH接入Password认证典型配置举例.docx
- 文档编号:26583573
- 上传时间:2023-06-20
- 格式:DOCX
- 页数:15
- 大小:122.96KB
28SSH接入Password认证典型配置举例.docx
《28SSH接入Password认证典型配置举例.docx》由会员分享,可在线阅读,更多相关《28SSH接入Password认证典型配置举例.docx(15页珍藏版)》请在冰豆网上搜索。
28SSH接入Password认证典型配置举例
SSH接入Password认证典型配置举例
Copyright©2014杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,
并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
目录
1简介1
2配置前提1
3配置举例1
3.1组网需求1
3.2配置注意事项1
3.3配置步骤2
3.3.1AC的配置2
3.3.2Switch的配置4
3.4验证配置5
3.5配置文件7
4相关资料9
1简介
本文档介绍了SSH接入Password认证配置举例。
2配置前提
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解SSH特性。
3配置举例
3.1组网需求
如图1所示,AC作为Stelnet服务器,并采用password认证方式对无线客户端Client进行认证,Client的用户名和密码保存在AC本地,使Client可以安全的登录到AC上,且Client的用户级别为管理级。
图1无线控制器作为Stelnet服务器配置组网图
3.2配置注意事项
∙由于不同客户端支持的公钥算法不同,为了确保所有的无线客户端都能够成功登录AC,需要在AC上同时生成DSA和RSA两种密钥对。
∙配置AP的序列号时请确保该序列号与AP唯一对应,AP的序列号可以通过AP设备背面的标签获取。
3.3配置步骤
3.3.1AC的配置
(1)配置AC的接口
#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址。
AC将使用该接口的IP地址与AP建立LWAPP隧道。
[AC]vlan100
[AC-vlan100]quit
[AC]interfacevlan-interface100
[AC-Vlan-interface100]ipaddress192.168.1.124
[AC-Vlan-interface100]quit
#创建VLAN200作为WLAN-ESS接口的缺省VLAN。
[AC]vlan200
[AC-vlan200]quit
#创建VLAN300作为Client接入的业务VLAN,并为该接口配置IP地址。
[AC]vlan300
[AC-vlan300]quit
[AC]interfacevlan-interface300
[AC-Vlan-interface300]ipaddress192.168.3.124
[AC-Vlan-interface300]quit
#配置AC与Switch相连的GigabitEthernet1/0/1接口的链路类型为Trunk,PVID为100,允许VLAN100和VLAN300的报文通过。
[AC]interfacegigabitethernet1/0/1
[AC-GigabitEthernet1/0/1]portlink-typetrunk
[AC-GigabitEthernet1/0/1]porttrunkpermitvlan100300
[AC-GigabitEthernet1/0/1]porttrunkpvidvlan100
[AC-GigabitEthernet1/0/1]quit
#创建WLAN-ESS1接口,并设置端口的链路类型为Hybrid。
[AC]interfacewlan-ess1
[AC-WLAN-ESS1]portlink-typehybrid
#配置当前Hybrid端口的PVID为200,禁止VLAN1通过并允许VLAN200不带Tag通过。
[AC-WLAN-ESS1]undoporthybridvlan1
[AC-WLAN-ESS1]porthybridvlan200untagged
[AC-WLAN-ESS1]porthybridpvidvlan200
#在Hybrid端口上使能MACVLAN功能。
[AC-WLAN-ESS1]mac-vlanenable
[AC-WLAN-ESS1]quit
(2)配置Stelnet服务器
#在AC上生成RSA密钥对。
[AC]public-keylocalcreatersa
Therangeofpublickeysizeis(512~2048).
NOTES:
Ifthekeymodulusisgreaterthan512,
Itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthebitsofthemodulus[default=1024]:
GeneratingKeys...
++++++++
++++++++++++++
+++++
++++++++
#在AC上生成DSA密钥对。
[AC]public-keylocalcreatedsa
Therangeofpublickeysizeis(512~2048).
NOTES:
Ifthekeymodulusisgreaterthan512,
Itwilltakeafewminutes.
PressCTRL+Ctoabort.
Inputthebitsofthemodulus[default=1024]:
512
GeneratingKeys...
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++*++
+++
#使能SSH服务器功能。
[AC]sshserverenable
#设置Stelnet客户端登录用户界面的认证方式为AAA认证。
[AC]user-interfacevty04
[AC-ui-vty0-4]authentication-modescheme
#设置AC上远程用户登录协议为SSH。
[AC-ui-vty0-4]protocolinboundssh
[AC-ui-vty0-4]quit
#创建本地用户client001,密码为aabbcc,服务类型为SSH,本地用户的级别为3(管理级)。
[AC]local-userclient001
[AC-luser-client001]passwordsimpleaabbcc
[AC-luser-client001]service-typessh
[AC-luser-client001]authorization-attributelevel3
[AC-luser-client001]quit
#配置SSH用户client001的服务类型为Stelnet,认证方式为password认证。
[AC]sshuserclient001service-typestelnetauthentication-typepassword
(3)配置无线服务
#创建clear类型的服务模板1。
[AC]wlanservice-template1clear
#设置当前服务模板的SSID为service。
[AC-wlan-st-1]ssidservice
#将WLAN-ESS1接口绑定到服务模板1。
[AC-wlan-st-1]bindwlan-ess1
#启用无线服务。
[AC-wlan-st-1]service-templateenable
[AC-wlan-st-1]quit
(4)配置射频接口并绑定服务模板
#创建AP的管理模板,名称为officeap,型号名称选择WA2620E-AGN。
[AC]wlanapofficeapmodelWA2620E-AGN
#设置AP的序列号为21023529G007C000020。
[AC-wlan-ap-officeap]serial-id21023529G007C000020
#进入radio2射频视图。
[AC-wlan-ap-officeap]radio2
#将在AC上配置的clear类型的服务模板1与射频2进行关联。
[AC-wlan-ap-officeap-radio-2]service-template1vlan-id300
#使能AP的radio2。
[AC-wlan-ap-officeap-radio-2]radioenable
[AC-wlan-ap-officeap-radio-2]return
3.3.2Switch的配置
#创建VLAN100和VLAN300,其中VLAN100用于转发AC和AP间LWAPP隧道内的流量,VLAN300为无线客户端接入的VLAN。
[Switch]vlan100
[Switch-vlan100]quit
[Switch]vlan300
[Switch-vlan300]quit
#配置Switch与AC相连的GigabitEthernet1/0/1接口属性为Trunk,PVID为100,允许VLAN100通过。
[Switch]interfacegigabitethernet1/0/1
[Switch-GigabitEthernet1/0/1]portlink-typetrunk
[Switch-GigabitEthernet1/0/1]porttrunkpermitvlan100
[Switch-GigabitEthernet1/0/1]porttrunkpvidvlan100
[Switch-GigabitEthernet1/0/1]quit
#配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN100通过,并使能PoE功能。
[Switch]interfacegigabitethernet1/0/2
[Switch-GigabitEthernet1/0/2]portlink-typeaccess
[Switch-GigabitEthernet1/0/2]portaccessvlan100
[Switch-GigabitEthernet1/0/2]poeenable
[Switch-GigabitEthernet1/0/2]quit
#配置Switch与DHCPserver相连的GigabitEthernet1/0/3接口属性为Access,并允许VLAN100通过。
[Switch]interfacegigabitethernet1/0/3
[Switch-GigabitEthernet1/0/3]portlink-typeaccess
[Switch-GigabitEthernet1/0/3]portaccessvlan100
3.4验证配置
Stelnet客户端软件有很多,例如PuTTY、OpenSSH等,本文中仅以客户端软件PuTTY0.58为例,说明Stelnet客户端的配置方法。
#在AC上通过displaylocal-user命令查看本地用户的信息,可以看到无线用户client001的服务类型为SSH,且用户级别为管理级。
Thecontentsoflocaluseradmin:
State:
Active
ServiceType:
telnet
Access-limit:
DisabledCurrentAccessNum:
0
User-group:
system
Bindattributes:
Authorizationattributes:
UserPrivilege:
3
Thecontentsoflocaluserclient001:
State:
Active
ServiceType:
ssh
Access-limit:
DisabledCurrentAccessNum:
0
User-group:
system
Bindattributes:
Authorizationattributes:
UserPrivilege:
3
Total2localuser(s)matched.
#在Client上打开PuTTY.exe程序,出现如图2所示的客户端配置界面。
在“HostName(orIPaddress)”文本框中输入Stelnet服务器的IP地址为192.168.3.1,单击
图1Stelnet客户端配置界面
#若首次登录,客户端会弹出警告信息如图3所示,单击
图2首次登录时弹出的警告信息
#如图4所示,按提示输入用户名client001及密码aabbcc,即可进入AC的配置界面。
图3输入用户名和密码后登录到AC配置界面
#当Stelnet客户端成功登录时,在AC上会显示用户client001上线的日志信息。
#Feb1911:
23:
43:
3422014ACSHELL/4/LOGIN:
Trap1.3.6.1.4.1.11.2.14.11.15.2.2.1.1.3.0.1:
client001loginfromVTY
%Feb1911:
23:
43:
3622014ACSHELL/5/SHELL_LOGIN:
client001loggedinfrom192.168.3.5.
#通过displaysshserversession命令查看会话信息,可以看到用户client001已上线。
ConnVerEncryStateRetrySerTypeUsername
VTY02.0AESEstablished0Stelnetclient001
#当Stelnet客户端退出时,在AC上会显示用户client001下线的日志信息。
#Feb1911:
24:
17:
9942014ACSHELL/4/LOGOUT:
Trap1.3.6.1.4.1.11.2.14.11.15.2.2.1.1.3.0.2:
client001logoutfromVTY
%Feb1911:
24:
18:
0152014ACSHELL/5/SHELL_LOGOUT:
client001loggedoutfrom192.168.3.5.
#通过displaysshserversession命令查看会话信息,可以看到显示为空,表示之前上线的用户client001已下线。
ConnVerEncryStateRetrySerTypeUsername
3.5配置文件
∙AC的配置文件:
#
vlan100
#
vlan200
#
vlan300
#
local-userclient001
passwordcipher$c$3$quTLFMdNMvGbzJHtkzp0LjIlmQKSc9SJ5w==
authorization-attributelevel3
service-typessh
#
wlanservice-template1clear
ssidservice
bindWLAN-ESS1
service-templateenable
#
wlanap-groupdefault_group
apofficeap
#
interfaceVlan-interface100
ipaddress192.168.1.1255.255.255.0
#
interfaceVlan-interface300
ipaddress192.168.3.1255.255.255.0
#
interfaceGigabitEthernet1/0/1
portlink-typetrunk
porttrunkpermitvlan100300
porttrunkpvidvlan100
#
interfaceWLAN-ESS1
portlink-typehybrid
undoporthybridvlan1
porthybridvlan200untagged
porthybridpvidvlan200
mac-vlanenable
#
wlanapap1modelWA2620E-AGNid1
serial-id21023529G007C000020
radio1
radio2
service-template1vlan-id300
radioenable
#
sshserverenable
sshuserclient001service-typestelnetauthentication-typepassword
#
user-interfacevty04
authentication-modescheme
userprivilegelevel3
protocolinboundssh
#
∙Switch的配置文件:
#
vlan100
#
vlan300
#
interfaceGigabitEthernet1/0/1
portlink-typetrunk
porttrunkpermitvlan100
porttrunkpvidvlan100
#
interfaceGigabitEthernet1/0/2
portlink-typeaccess
portaccessvlan100
poeenable
#
interfaceGigabitEthernet1/0/3
portlink-typeaccess
portaccessvlan100
#
4相关资料
∙《H3CWX系列无线控制器产品配置指导》“二层技术配置指导”。
∙《H3CWX系列无线控制器产品命令参考》“二层技术命令参考”。
∙《H3CWX系列无线控制器产品配置指导》“WLAN配置指导”。
∙《H3CWX系列无线控制器产品命令参考》“WLAN命令参考”。
∙《H3CWX系列无线控制器产品配置指导》“安全配置指导”。
∙《H3CWX系列无线控制器产品命令参考》“安全命令参考”。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 28 SSH 接入 Password 认证 典型 配置 举例