运维开发网

20、华为 华三中小型企业网络架构搭建 【统一管理设备,认证【本地用户名密码】】

运维开发网 https://www.qedev.com 2021-04-07 13:50 出处:51CTO 作者:网络之路blo
拓扑拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)统一管理设备,认证【本地用户名密码】说明:为了方便管理设备,我们通常在内部会定义一个地址,然后通过该地址进行访问,并且定义了认证方式为本地的用户名密码进行验证,并且限制只允许特定的管理人员登陆。10.1、内网设备管理【核心层为例】说明:之前定义了管理VLAN为VLAN1,定义没有规划,这个可以根据自己情况来分配即可。

拓扑

20、华为 华三中小型企业网络架构搭建 【统一管理设备,认证【本地用户名密码】】

拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)

统一管理设备,认证【本地用户名密码】

说明:为了方便管理设备,我们通常在内部会定义一个地址,然后通过该地址进行访问,并且定义了认证方式为本地的用户名密码进行验证,并且限制只允许特定的管理人员登陆。

10.1、内网设备管理【核心层为例】

说明:之前定义了管理VLAN为VLAN1,定义没有规划,这个可以根据自己情况来分配即可。所以这里以核心层 Core-B为例

(1)定义不同用图的用户名密码

[Core-B]aaa

[Core-B-aaa]local-user telnet-ssh password cipher telnet-ssh

[Core-B-aaa]local-user telnet-ssh service-type telnet ssh

[Core-B-aaa] local-user telnet-ssh privilege level 2

[Core-B-aaa]local-user ccieh3c password cipher ccieh3c

[Core-B-aaa]local-user ccieh3c service-type terminal web telnet ssh

[Core-B-aaa]local-user ccieh3c privilege level 15

说明:这里定义了2个用户,第一个telnet-ssh,的意思是允许客户端Telnet或者SSH来管理设备,但是权限只给于2,2的意思是能配置大部分功能,但是不能重启设备,查看设备配置,私自定义用户等,当然这个可以根据自己需求定义。 第二个用户则是管理员用户,可以通过Console、WEB等方式管理,而且权限为15,最为特殊需要的时候才使用。

(2)调用策略在Console/VTY下。

[Core-B]user-interface console 0

[Core-B-ui-console0]authentication-mode aaa

[Core-B]user-interface vty 0 4

[Core-B-ui-vty0-4]authentication-mode aaa

(3)开启Telnet功能

[Core-B]telnet server enable

(4)SSH配置

[Core-B]ssh user telnet-ssh authentication-type password

[Core-B]ssh user ccieh3c authentication-type password

[Core-B]ssh user ccieh3c service-type stelnet

[Core-B]stelnet server enable

(5)测试结果

Telnet测试【普通用户】

20、华为 华三中小型企业网络架构搭建 【统一管理设备,认证【本地用户名密码】】

20、华为 华三中小型企业网络架构搭建 【统一管理设备,认证【本地用户名密码】】

可以配置OSPF等功能,但是无法进入AAA

20、华为 华三中小型企业网络架构搭建 【统一管理设备,认证【本地用户名密码】】

重启功能也不支持。

管理员用户测试

20、华为 华三中小型企业网络架构搭建 【统一管理设备,认证【本地用户名密码】】

可以看到是支持重启功能的。

Ssh 测试【以管理员为例】

20、华为 华三中小型企业网络架构搭建 【统一管理设备,认证【本地用户名密码】】

说明:第一次登陆需要信任该key,可以看到已经登陆了

Console登陆【验证是否需要帐号密码】

20、华为 华三中小型企业网络架构搭建 【统一管理设备,认证【本地用户名密码】】

可以看到刚登陆进去就提示需要输入用户名与密码。

其余设备与防火墙配置管理

说明:防火墙与其他设备的方法与介绍的一致,所以就不重复了。

只允许特点的管理IP进行管理

说明:我们希望只允许特定的管理人员或者PC进行管理,而其余的不能管理。假设管理IP地址为192.168.1.250

定义ACL

[Core-B]acl number 2000

[Core-B-acl-basic-2000]rule permit source 192.168.1.250 0

在VTY下调用

[Core-B]user-interface vty 0 4

[Core-B-ui-vty0-4]acl 2000 inbound

20、华为 华三中小型企业网络架构搭建 【统一管理设备,认证【本地用户名密码】】

当地址方式了变化后

20、华为 华三中小型企业网络架构搭建 【统一管理设备,认证【本地用户名密码】】

20、华为 华三中小型企业网络架构搭建 【统一管理设备,认证【本地用户名密码】】

可以发现一直Telnet不上去了。

本文首发于公众号:网络之路博客

0

精彩评论

暂无评论...
验证码 换一张
取 消