第一篇：AR典型配置案例 RADIUS認(rèn)證登錄其他設(shè)備的示例大全

www.tmdps.cn

配置設(shè)備作為客戶端，采用RADIUS認(rèn)證登錄其他設(shè)備的示例

規(guī)格

適用于所有版本、所有形態(tài)的AR路由器。組網(wǎng)需求

用戶使用STelnet方式連接SSH服務(wù)器（即AR設(shè)備），要求在SSH認(rèn)證過(guò)程中，配置SSH服務(wù)器支持SSH客戶端通過(guò)RADIUS服務(wù)器進(jìn)行遠(yuǎn)端認(rèn)證。

RADIUS服務(wù)器認(rèn)證該用戶，將認(rèn)證結(jié)果返回給SSH服務(wù)器。SSH服務(wù)器根據(jù)認(rèn)證結(jié)果決定是否允許SSH客戶端建立連接。組網(wǎng)圖

圖1 配置SSH支持RADIUS認(rèn)證組網(wǎng)圖

操作步驟

1.在SSH服務(wù)器端生成本地密鑰對(duì)

system-view

[Huawei] sysname ssh server

[ssh server] rsa local-key-pair create The key name will be: Host The range of public key size is(512 ~ 2048).NOTES: If the key modulus is greater than 512, It will take a few minutes.Input the bits in the modulus[default = 2048]: 2048 Generating keys..........++++++++++++..........++++++++++++...................................++++++++......++++++++ 2.SSH Server的不同版本的配置存在差異，請(qǐng)關(guān)注對(duì)應(yīng)版本的配置 3.# 4.user-interface vty 0 4 5.authentication-mode aaa //指定配置VTY0～4用戶的驗(yàn)證方式為AAA 6.protocol inbound ssh //配置VTY支持SSH協(xié)議 www.tmdps.cn

7.8.9.# aaa local-user ssh1@ssh.com password cipher %@%@0qu:lj

# SSH客戶端采用RADIUS認(rèn)證連接SSH服務(wù)器。

system-view

[ssh client] stelnet 10.164.39.222

Please input the username: ssh1@ssh.com Trying 10.164.39.222...Press CTRL+K to abort Connected to 10.164.39.222...The server is not authenticated.Do you continue to access it?(Y/N):y Save the server's public key? [Y/N] :y The server's public key will be saved with the name: 10.164.39.222.Please wait...www.tmdps.cn

Enter password: 輸入密碼huawei，顯示登錄成功信息如下：

Info: The max number of VTY users is 10, and the current number of VTY users on line is 2.# 在SSH服務(wù)器端執(zhí)行display radius-server configuration命令和display ssh server session命令，可以查看到SSH服務(wù)器端關(guān)于RADIUS服務(wù)器的配置，并且看到STelnet客戶端采用RADIUS認(rèn)證已經(jīng)成功連接到SSH服務(wù)器。

[ssh server] display ssh server session

------Conn Ver Encry State Auth-type Username------VTY 0 2.0 AES run password ssh1@ssh.com------配置注意事項(xiàng)

在RADIUS服務(wù)器端添加對(duì)應(yīng)客戶端的用戶名。? 在RADIUS服務(wù)器端指定SSH服務(wù)器的地址和密鑰。? 如果配置SSH客戶端用戶使用password驗(yàn)證，只需在SSH服務(wù)器端生成本地RSA密鑰。如果配置SSH客戶端用戶使用RSA驗(yàn)證，則在SSH服務(wù)器端和客戶端都需生成本地RSA密鑰，并將客戶端上產(chǎn)生的RSA公鑰輸入到服務(wù)器端。?

第二篇：關(guān)于iMC操作員登錄控制的典型配置

[XXX級(jí)別] 關(guān)于iMC操作員登錄控制的典型配置

一、組網(wǎng)需求：

使用iMC產(chǎn)品的配置前臺(tái)，需要先使用操作員登錄進(jìn)入管理前臺(tái)，然后才能執(zhí)行各種業(yè)務(wù)功能和操作。

二、組網(wǎng)圖：

實(shí)際參考iMC服務(wù)器的部署組網(wǎng)即可。

三、配置步驟：

iMC操作員登錄控制特性提供如下管理手段：

1)不同的認(rèn)證方式：操作員可以使用iMC內(nèi)嵌的操作員管理功能對(duì)操作員進(jìn)行認(rèn)證，也可以與RADIUS或LDAP服務(wù)器聯(lián)動(dòng)實(shí)現(xiàn)操作員的身份認(rèn)證。

2)登錄地址控制：iMC可以控制客戶端的登錄地址，只允許用戶從特定的地址（范圍）登錄iMC。

3)密碼控制策略：如果操作員在iMC系統(tǒng)上進(jìn)行密碼認(rèn)證，則可以控制密碼的強(qiáng)度、失效日期等。

4)密碼防破解：iMC可以有效防范通過(guò)連續(xù)嘗試的方式破解密碼的非法行為。

? iMC管理員可使用不同的登錄認(rèn)證方式。iMC提供三種操作員登錄認(rèn)證方式：

華為3Com機(jī)密 未經(jīng)許可不得擴(kuò)散

[XXX級(jí)別] 1)簡(jiǎn)單密碼認(rèn)證：使用iMC系統(tǒng)數(shù)據(jù)庫(kù)中存放的操作員密碼進(jìn)行身份認(rèn)證，是最常用的身份認(rèn)證方式。

2)RADIUS認(rèn)證：使用iMC特定操作員的“操作員登錄名”或“操作員全稱”作為用戶名，以及用戶在登錄時(shí)輸入的密碼，到RADIUS服務(wù)器進(jìn)行身份認(rèn)證。

3)LDAP認(rèn)證：使用iMC特定操作員的“操作員登錄名”或“操作員全稱”作為用戶名，以及用戶在登錄時(shí)輸入的密碼，到LDAP服務(wù)器進(jìn)行身份認(rèn)證。

通過(guò)如下步驟，可配置不同的登錄認(rèn)證方式：

步驟一：配置操作員的登錄認(rèn)證方式。在增加或修改操作員界面，選擇“登錄認(rèn)證方式”中的一種。如果選擇了“簡(jiǎn)單密碼認(rèn)證”，則必須輸入“登錄密碼”和“登錄密碼確認(rèn)”；如果選擇了“RADIUS認(rèn)證”或“LDAP認(rèn)證”，則無(wú)需輸入登錄密碼信息。參考界面如下：

華為3Com機(jī)密 未經(jīng)許可不得擴(kuò)散

[XXX級(jí)別]

圖1-1 配置登錄認(rèn)證方式

步驟二：如果使用“RADIUS認(rèn)證”或“LDAP認(rèn)證”，則同時(shí)需要對(duì)認(rèn)證服務(wù)器進(jìn)行配置。使用iMC的管理員登錄iMC配置臺(tái)，在“系統(tǒng)管理”中，點(diǎn)擊“認(rèn)證服務(wù)器配置”，根據(jù)需要對(duì)RADIUS認(rèn)證服務(wù)器或LDAP認(rèn)證服務(wù)器進(jìn)行配置。參考界面如下：

華為3Com機(jī)密 未經(jīng)許可不得擴(kuò)散

[XXX級(jí)別]

圖1-2 認(rèn)證服務(wù)器配置界面

目前支持的RADIUS認(rèn)證方式包括“PAP”和“CHAP”兩種；支持的LDAP版本包括2和3兩個(gè)版本；支持的服務(wù)器類型包括“通用LDAP服務(wù)器”和“微軟活動(dòng)目錄”兩類。用戶可根據(jù)需要進(jìn)行配置，各參數(shù)的詳細(xì)說(shuō)明可參考聯(lián)機(jī)幫助。? 登錄地址控制。

iMC允許控制用戶的登錄客戶端地址，即允許或禁止從某些地址（范圍）登錄。

華為3Com機(jī)密 未經(jīng)許可不得擴(kuò)散

[XXX級(jí)別] 在增加或修改操作員時(shí)，在“操作員訪問(wèn)控制列表”部分進(jìn)行配置，如下圖所示：

圖1-3 登錄地址控制的配置界面

上圖的配置，只允許該操作員從“192.168.0.1-192.168.0.255”和“192.168.1.1-192.168.1.255”兩個(gè)地址區(qū)域進(jìn)行登錄。

iMC操作員訪問(wèn)控制列表的匹配策略為“首先命中匹配”。例如：假設(shè)同時(shí)配置了“允許”地址段和“禁止”地址段，則在操作員進(jìn)行登錄時(shí)，將客戶端的IP地址按照訪問(wèn)控制列表的順序從上到下逐行匹配，如果與某段地址匹配成功，則使用該段地址的“訪問(wèn)類型”進(jìn)行控制，即如果“訪問(wèn)類型”為“允許”，則允許登錄；反之則禁止登錄。如果所有地址段均不匹配，則使用“缺省訪問(wèn)控制列表匹配策略”的配置值進(jìn)行控制。

此外，為了增加地址段的可重用性，iMC系統(tǒng)還提供了“訪問(wèn)控制模板”配置功能。在配置特定操作員的訪問(wèn)控制列表時(shí)，可以直接從已經(jīng)配置好的模板中選取。? 密碼控制策略。

華為3Com機(jī)密 未經(jīng)許可不得擴(kuò)散

[XXX級(jí)別] iMC系統(tǒng)提供密碼控制策略的配置，用于對(duì)操作員的登錄密碼管理進(jìn)行監(jiān)控。密碼控制策略為全局配置，即對(duì)所有認(rèn)證方式為“簡(jiǎn)單密碼認(rèn)證”的操作員均有效。如果操作員的認(rèn)證方式為“RADIUS認(rèn)證”或“LDAP認(rèn)證”，則密碼控制策略對(duì)該操作員無(wú)效。

使用iMC的管理員登錄iMC配置臺(tái)，在“系統(tǒng)管理”中，找到“密碼控制策略”，點(diǎn)擊進(jìn)入如下配置界面：

圖1-4 密碼控制策略配置界面

各個(gè)參數(shù)的含義較明確，不再贅述。? 密碼防破解。

當(dāng)使用某個(gè)操作員在同一個(gè)客戶端連續(xù)嘗試執(zhí)行三次登錄操作，且均失敗時(shí)，iMC系統(tǒng)將在一分鐘內(nèi)禁止在該客戶端上使用相同操作員繼續(xù)執(zhí)行登錄操作（鎖定）。一分鐘后可以嘗試一次，如果還是失敗，則繼續(xù)鎖定一分鐘。

華為3Com機(jī)密 未經(jīng)許可不得擴(kuò)散

[XXX級(jí)別] 需要注意的是：“失敗”的原因不僅是密碼錯(cuò)誤，如果訪問(wèn)控制列表禁止或認(rèn)證服務(wù)器不可用，均會(huì)登錄失敗，這些失敗情況均用于密碼防破解策略的判斷條件。

該策略缺省啟用，不允許關(guān)閉。

四、配置關(guān)鍵點(diǎn)：

使用RADIUS認(rèn)證和LDAP認(rèn)證時(shí)，需注意：

1)采用RADIUS或LDAP認(rèn)證方式時(shí)，應(yīng)使用“操作員登錄名”或“操作員全稱”作為RADIUS或LDAP身份認(rèn)證的用戶。即在RADIUS或LDAP身份認(rèn)證時(shí)，首先嘗試使用“操作員登錄名+密碼”進(jìn)行認(rèn)證；如果失敗，則嘗試使用“操作員全稱+密碼”進(jìn)行認(rèn)證。只要任何一種方式認(rèn)證成功，則能成功登錄。

2)當(dāng)iMC的所有操作員（包括超級(jí)管理員“admin”）均使用RADIUS或LDAP方式進(jìn)行身份認(rèn)證時(shí)，如果由于意外故障導(dǎo)致RADIUS和LDAP服務(wù)器不可用，則無(wú)法再登錄iMC。此時(shí)可以通過(guò)密碼重置工具腳本（iMC安裝路徑clientbinresetpwd.bat），將操作員的認(rèn)證方式和密碼重置為缺省值（簡(jiǎn)單密碼認(rèn)證，缺省密碼為“admin”）。

華為3Com機(jī)密 未經(jīng)許可不得擴(kuò)散

第三篇：AR典型配置案例 配置路由器作為FTP Server升級(jí)系統(tǒng)文件的示例

www.tmdps.cn 17.Next startup system software: sd1:/software.cc 18.Backup system software for next startup: null 19.Startup saved-configuration file: sd1:/initcfg.cfg 20.Next startup saved-configuration file: sd1:/initcfg.cfg 21.在FTP Client端上傳系統(tǒng)文件，如圖2。www.tmdps.cn 2-rw-77,582,080 Dec 13 2011 16:31:17 software_new.cc 28.指定設(shè)備啟動(dòng)時(shí)使用的系統(tǒng)文件。

29. startup system-software software_new.cc 30.This operation will take several minutes, please wait.........Info: Succeeded in setting the file for booting system 31.重新啟動(dòng)設(shè)備。32. reboot

33.Info: The system is comparing the configuration, please wait.www.tmdps.cn 41.Next startup system software: sd1:/software_new.cc

42.Backup system software for next startup: null 43.Startup saved-configuration file: sd1:/initcfg.cfg 44.Next startup saved-configuration file: sd1:/initcfg.cfg 配置注意事項(xiàng)

設(shè)備操作期間，盡量避免出現(xiàn)斷電現(xiàn)象，如出現(xiàn)，可能會(huì)導(dǎo)致信息丟失，設(shè)備無(wú)法正常啟動(dòng)。

? FTP的工作目錄必須配置，除了使用local-user huawei ftp-directory設(shè)置本地用戶的授權(quán)目錄，還可以通過(guò)set default ftp-directory來(lái)設(shè)置FTP用戶的缺省工作目錄。?

第四篇：AR典型配置案例 通過(guò)BootROM FTP方式升級(jí)系統(tǒng)文件的示例

www.tmdps.cn 43.Ethernet ip address : 192.168.200.174 44.Ethernet ip mask : ffffff00 45.Gateway ip address : 46.Ftp host ip address : 192.168.200.1 47.Ftp user : huawei Ftp password : ********** 48.完成屬性配置后，自動(dòng)返回至網(wǎng)絡(luò)子菜單，選擇第4項(xiàng)，從FTP服務(wù)器上下載資源文件。

49.Network Menu 50.51.1.Display parameter 52.2.Modify parameter 53.3.Save parameter 54.4.Download file 55.0.Return 56.www.tmdps.cn] to file system........................................67.................................................................................68.................................................................................69................................................................................................................................OK!70.下載文件成功后返回主菜單，重啟設(shè)備。

71.Network Menu 72.73.1.Display parameter 74.2.Modify parameter 75.3.Save parameter 76.4.Download file 77.0.Return 78.79.Enter your choice(0-4):0 80.Main Menu 81.82.1.Default Startup 83.2.Serial Menu 84.3.Network Menu 85.4.Startup Select 86.5.File Manager 87.6.Password Manager 88.7.Reboot 89.Enter your choice(1-6):7 配置注意事項(xiàng) www.tmdps.cn

建議不要隨便進(jìn)入BootROM菜單進(jìn)行操作，若特別必要，可聯(lián)系華為技術(shù)工程師指導(dǎo)操作。

? AR150系列的管理網(wǎng)口為Ethernet0/0/3，AR160系列的管理網(wǎng)口為GigabitEthernet0/0/0，AR200系列的管理網(wǎng)口為Ethernet0/0/6，AR1200系列的管理網(wǎng)口為GigabitEthernet0/0/0，AR2220的管理網(wǎng)口為GigabitEthernet0/0/0，AR2240的管理網(wǎng)口為GigabitEthernet0/0/2，AR3200系列的管理網(wǎng)口為GigabitEthernet0/0/2。?

說(shuō)明：

AR160系列路由器從V200R005C00版本開始支持。

第五篇：AR典型配置案例 配置路由器作為TFTP Client升級(jí)系統(tǒng)文件的示例

www.tmdps.cn 9.Next startup system software: flash:/software.cc 10.Backup system software for next startup: null 11.Startup saved-configuration file: flash:/initcfg.cfg 12.Next startup saved-configuration file: flash:/initcfg.cfg 13.下載設(shè)備啟動(dòng)文件，并查看文件是否下載成功。14. tftp 10.1.1.1 get software_new.cc 15.Info: Transfer file in binary mode.16.Downloading the file from the remote TFTP server.Please wait...17.77,582,080 bytes received in 241 seconds.TFTP: Downloading the file successfully. dir

Directory of flash:/ Idx Attr Size(Byte)Date Time(LMT)FileName www.tmdps.cn 5-rw-77,582,080 Dec 13 2011 10:41:12 software_new.cc 18.指定設(shè)備下次啟動(dòng)時(shí)使用的系統(tǒng)文件。

19. startup system-software software_new.cc 20.This operation will take several minutes, please wait.........Info: Succeeded in setting the file for booting system 21.重新啟動(dòng)設(shè)備。22. reboot

23.Info: The system is comparing the configuration, please wait.24.Warning: All the configuration will be saved to the next startup configuration.25.Continue ? [y/n]:n 26.System will reboot!Continue ? [y/n]:y Info: system is rebooting ,please wait...27.檢查配置結(jié)果。

28. display startup

29.MainBoard: 30.Startup system software: flash:/software_new.cc 31.Next startup system software: flash:/software_new.cc

32.Backup system software for next startup: null 33.Startup saved-configuration file: flash:/initcfg.cfg 34.Next startup saved-configuration file: flash:/initcfg.cfg 配置注意事項(xiàng)

PC端需使能TFTP服務(wù)器功能，并存放系統(tǒng)文件。

? 保證設(shè)備操作期間，不能出現(xiàn)斷電現(xiàn)象，斷電后，可能會(huì)導(dǎo)致信息丟失，設(shè)備無(wú)法正常啟動(dòng)。?