28-SSH接入Pass认证典型配置举例

1、H3CSSH接入Password认证典型配置举例Copyright ? 2014杭州华三通信技术有限公司 版权所有，保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 1简介1 HYPERLINK l bookmark4 o Current Document 2配置前提 1 HYPERLINK l bookmark6 o Current Document 3配置举例1 HYPERLIN

2、K l bookmark8 o Current Document 组网需求 1 HYPERLINK l bookmark10 o Current Document 配置注意事项 1 HYPERLINK l bookmark12 o Current Document 配置步骤2AC的配置 2Switch 的配置 4 HYPERLINK l bookmark53 o Current Document 验证配置 5 HYPERLINK l bookmark80 o Current Document 配置文件7 HYPERLINK l bookmark86 o Current Document 4相关

3、资料91简介本文档介绍了 SSH接入Password认证配置举例。2配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品 手册，或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺 省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置 不冲突。本文档假设您已了解 SSH特性。3配置举例3.1组网需求如图1所示,AC作为Stelnet服务器，并采用 password认证方式对无线客户端 Client进行认证, Client的用户名和密码保存在 AC本地，使Clien

4、t可以安全的登录到 AC上，且Client的用户级别 为管理级。图1无线控制器作为Stelnet服务器配置组网图DHCP server- Vlan-int100l|一L8.1/24 Vlan-int300/24ACSwitchAPClient配置注意事项由于不同客户端支持的公钥算法不同，为了确保所有的无线客户端都能够成功登录AC,需要在AC上同时生成 DSA和RSA两种密钥对。* 配置AP的序列号时请确保该序列号与 AP唯一对应，AP的序列号可以通过 AP设备背面的标 签获取。配置步骤AC的配置配置AC的接口创建VLAN 100及其对应的VLAN接口，并为该接口配置IP地址。AC将使用该接口的

5、IP地址与 AP建立LWAPP隧道。 system-viewAC vlan 100AC-vlan100 quitAC interface vlan-interface 100AC-Vlan-interface100 ip address 24AC-Vlan-interface100 quit创建 VLAN 200 作为 WLAN-ESS 接口的缺省 VLAN。AC vlan 200AC-vlan200 quit创建VLAN 300作为Client接入的业务 VLAN ,并为该接口配置IP地址。AC vlan 300AC-vlan300 quitAC interface vlan-interfa

6、ce 300AC-Vlan-interface300 ip address 24AC-Vlan-interface300 quit配置AC与Switch相连的GigabitEthernet1/0/1接口的链路类型为 Trunk ,PVID为100，允许VLAN100和VLAN 300的报文通过。AC interface gigabitethernet 1/0/1AC-GigabitEthernet1/0/1 port link-type trunkAC-GigabitEthernet1/0/1 port trunk permit vlan 100 300AC-GigabitEthernet1/

7、0/1 port trunk pvid vlan 100AC-GigabitEthernet1/0/1 quit创建 WLAN-ESS 1接口，并设置端口的链路类型为Hybrid。AC interface wlan-ess 1AC-WLAN-ESS1 port link-type hybrid配置当前Hybrid端口的PVID为200,禁止VLAN 1通过并允许 VLAN 200不带Tag通过。AC-WLAN-ESS1 undo port hybrid vlan 1AC-WLAN-ESS1 port hybrid vlan 200 untaggedAC-WLAN-ESS1 port hybri

8、d pvid vlan 200在Hybrid端口上使能 MAC VLAN 功能。AC-WLAN-ESS1 mac-vlan enableAC-WLAN-ESS1 quit配置Stelnet服务器在AC上生成 RSA密钥对。AC public-key local create rsaThe range of public key size is (512 2048).NOTES: If the key modulus is greater than 512,It will take a few minutes.Press CTRL+C to abort.Input the bits of the

9、 modulusdefault = 1024:Generating Keys.+ +在AC上生成 DSA密钥对。AC public-key local create dsaThe range of public key size is (512 2048).NOTES: If the key modulus is greater than 512, It will take a few minutes.Press CTRL+C to abort.Input the bits of the modulusdefault = 1024:512Generating Keys.+ +*+ + + +

10、+ +*+ +使能SSH服务器功能。AC ssh server enable设置Stelnet客户端登录用户界面的认证方式为AAA认证。AC user-interface vty 0 4AC-ui-vty0-4 authentication-mode scheme设置AC上远程用户登录协议为SSH。AC-ui-vty0-4 protocol inbound sshAC-ui-vty0-4 quit创建本地用户 client001 ,密码为aabbcc ,服务类型为 SSH ,本地用户的级别为3 (管理级)。AC local-user client001AC-luser-client001 pa

11、ssword simple aabbccAC-luser-client001 service-type sshAC-luser-client001 authorization-attribute level 3AC-luser-client001 quit配置SSH用户client001的服务类型为 Stelnet ,认证方式为password认证。AC ssh user client001 service-type stelnet authentication-type password配置无线服务创建clear类型的服务模板1。AC wlan service-template 1 clea

12、r设置当前服务模板的SSID为service 。AC-wlan-st-1 ssid service将WLAN-ESS 1接口绑定到服务模板1。AC-wlan-st-1 bind wlan-ess 1启用无线服务。AC-wlan-st-1 service-template enableAC-wlan-st-1 quit配置射频接口并绑定服务模板创建AP的管理模板，名称为 officeap ,型号名称选择 WA2620E-AGN。AC wlan ap officeap model WA2620E-AGN设置 AP 的序列号为 21023529G007C000020。AC-wlan-ap-offic

13、eap serial-id 21023529G007C000020进入radio 2射频视图。AC-wlan-ap-officeap radio 2将在AC上配置的clear类型的服务模板1与射频2进行关联。AC-wlan-ap-officeap-radio-2 service-template 1 vlan-id 300使能 AP 的 radio 2。AC-wlan-ap-officeap-radio-2 radio enableAC-wlan-ap-officeap-radio-2 returnSwitch 的配置创建VLAN 100和VLAN 300，其中VLAN 100用于转发 AC和

14、AP间LWAPP隧道内的流量，VLAN 300为无线客户端接入的VLAN。 system-viewSwitch vlan 100Switch-vlan100 quitSwitch vlan 300Switch-vlan300 quit配置 Switch 与 AC 相连的 GigabitEthernet1/0/1 接口属性为 Trunk , PVID 为 100 ,允许 VLAN 100 通过。Switch interface gigabitethernet 1/0/1Switch-GigabitEthernet1/0/1 port link-type trunkSwitch-GigabitEt

15、hernet1/0/1 port trunk permit vlan 100Switch-GigabitEthernet1/0/1 port trunk pvid vlan 100Switch-GigabitEthernet1/0/1 quit配置Switch与AP相连的 GigabitEthernet1/0/2 接口属性为 Access ,并允许 VLAN 100 通过，并 使能PoE功能。Switch interface gigabitethernet 1/0/2Switch-GigabitEthernet1/0/2 port link-type accessSwitch-GigabitE

16、thernet1/0/2 port access vlan 100Switch-GigabitEthernet1/0/2 poe enableSwitch-GigabitEthernet1/0/2 quit配置 Switch 与 DHCP server 相连的 GigabitEthernet1/0/3 接口属性为 Access，并允许 VLAN 100 通过。Switch interface gigabitethernet 1/0/3Switch-GigabitEthernet1/0/3 port link-type accessSwitch-GigabitEthernet1/0/3 port

17、 access vlan 100验证配置B说明Stelnet客户端软件有很多，例如 PuTTY、OpenSSH等，本文中仅以客户端软件 PuTTY0.58为例, 说明Stelnet客户端的配置方法。#在AC上通过display local-user命令查看本地用户的信息，可以看到无线用户client001的服务类型为SSH ,且用户级别为管理级。 display local-userThe contents of local user admin:State:ActiveServiceType:telnetAccess-limit:DisabledCurrent AccessNum: 0Use

18、r-group:systemBind attributes:Authorization attributes: TOC o 1-5 h z User Privilege:3The contents of local user client001:|State:ActiveServiceType:ssh|Access-limit:DisabledCurrent AccessNum: 0User-group:systemBind attributes:Authorization attributes:User Privilege:3|Total 2 local user(s) matched.#在

19、Client上打开PuTTY .exe程序，出现如 图2所示的客户端配置界面。在“ Host Name (or IP address) ”文本框中输入 Stelnet服务器的IP地址为 ,单击按钮。图2 Stelnet客户端配置界面图3所示,单击Yes按钮。#若首次登录，客户端会弹出警告信息如 图3首次登录时弹出的警告信息192.163.11 - PuTRPuTiy Secunty AlertEflThe serves hri?t h守 if not 仃巾H in the rpgicny nu ha/f no giiarHFTPf1 Thar rhf，卓rver tHf fampufpr yo

20、u think rt k.The e rsa2 kpy finger print iessh-rca 021 女空 7eSee5:eQ6:t 1:e&7a97 3fi)2ft信If you truit th is host, hit Ves to add thie key仁 PuTTY c cahe arid carry on conrb#ciing.If you wint to cariy cn ccmciiriij juft 口nt. without addrg tht key to- the ochc. ht ixio.If you do n oit trurt th-G 卜白叱 hit

21、 Cineel tc ibindon th c&nniertcin-/esNoCancel#如图4所示，按提示车入用户名client001及密码aabbcc ,即可进入 AC的配置界面。图4输入用户名和密码后登录到 AC配置界面当Stelnet客户端成功登录时，在 AC上会显示用户client001上线的日志信息。#Feb 19 11:23:43:342 2014 AC SHELL/4/LOGIN:Trap 1.36141.11.1:client001 login from VTY |%Feb 19 11:23:43:362 2014 AC SHELL/5/SHELL_LOGIN: clien

22、t001 logged in from .通过display ssh server session命令查看会话信息，可以看到用户 client001已上线。AC display ssh server sessionConn Ver Encry State Retry SerType UsernameVTY 0 2.0 AES Established 0 Stelnet client001当Stelnet客户端退出时，在 AC上会显示用户client001下线的日志信息。#Feb 19 11:24:17:994 2014 AC SHELL/4/LOGOUT:Trap 41.11.2:client

23、001 logout from VTY .%Feb 19 11:24:18:015 2014 AC SHELL/5/SHELL_LOGOUT: client001 logged out from .通过display ssh server session命令查看会话信息，可以看到显示为空，表示之前上线的用户client001 已下线。AC display ssh server sessionConn Ver Encry State Retry SerType Username3.5配置文件* AC的配置文件:#vlan 100#vlan 200vlan 300#local-user clien

24、t001password cipher $c$3$quTLFMdNMvGbzJHtkzp0LjIlmQKSc9SJ5w=authorization-attribute level 3service-type ssh#wlan service-template 1 clearssid servicebind WLAN-ESS 1service-template enable#wlan ap-group default_groupap officeap#interface Vlan-interface100ip address #interface Vlan-interface300ip address #interface GigabitEthernet1/0/1port link-type trunkport trunk permit vlan 100 300port trunk pvid vlan 100#interface WLAN-ESS1port link-type hybridundo port hybrid vlan 1port hybrid vla