说明:本示例只介绍设备的认证相关配置,请同时确保已在RADIUS服务器上做了相关配置,如设备地址、共享密钥、创建用户等配置。假设已在RADIUS服务器上创建了用户名yc123,密码test#123。

对于V200R019CC00及之前的版本,STelnet基本配置示例如下:
1. 开启STelnet服务器功能
system-view
[Huawei] stelnet server enable

2. 配置VTY用户界面所支持的协议、验证方式
[Huawei] user-interface vty 0 4
[Huawei-ui-vty0-4] protocol inbound ssh
[Huawei-ui-vty0-4] authentication-mode aaa
[Huawei-ui-vty0-4] quit

3. 配置缺省的SSH认证类型为password
[Huawei] ssh authentication-type default password

4. 配置RADIUS认证
(1)配置RADIUS服务器模板,指定服务器的IP地址与端口号、共享密钥
[Huawei] radius-server template r1
[Huawei-radius-r1] radius-server authentication 10.1.1.1 1812
[Huawei-radius-r1] radius-server shared-key cipher abcd#123
[Huawei-radius-r1] quit

(2)配置认证方案,指定认证方式为RADIUS
[Huawei] aaa
[Huawei-aaa] authentication-scheme r1
[Huawei-aaa-authen-r1] authentication-mode radius
[Huawei-aaa-authen-r1] quit

(3)配置业务方案,指定用户级别
[Huawei-aaa] service-scheme r1
[Huawei-aaa-service-r1] admin-user privilege level 15
[Huawei-aaa-service-r1] quit

(4)新建一个域,并在域下引用RADIUS服务器模板、认证方案和业务方案
[Huawei-aaa] domain huawei
[Huawei-aaa-domain-huawei] radius-server r1
[Huawei-aaa-domain-huawei] authentication-scheme r1
[Huawei-aaa-domain-huawei] service-scheme r1
[Huawei-aaa-domain-huawei] quit
[Huawei-aaa] quit

5.(可选)配置管理员所属域为默认管理域
说明:管理员用户的全局默认域为“default_admin”。
● 如果在此步修改了全局默认管理域,那么登录设备时就不需要输入域名了,建议修改。
[Huawei] domain huawei admin

● 若不修改的话,那么管理员登录设备时,输入用户名时需要携带域名才行,格式为“用户名@域名”,例如yc123@huawei,并且在缺省情况下,设备向RADIUS服务器发送的报文中的用户名为用户原始输入的用户名,设备不对其进行修改,如果RADIUS服务器不接受包含域名的用户名,还需要在RADIUS服务器模板下配置命令undo radius-server user-name domain-included使设备向RADIUS服务器发送的报文中的用户名不包含域名才行。或者也可以在RADIUS服务器上创建携带域名的用户名(例如yc123@huawei)。

从V200R019C10版本开始,安全策略有所变化:
对于V200R019C10版本
在STelnet基本配置的基础上,还需要从官网申请下载WEAKEA插件并上传至设备安装(具体请参考官网的“插件使用指南”操作),否则会导致使用弱算法的SSH客户端登录失败(若使用SSH客户登录正常,则可以忽略此步骤)。

■ 对于V200R020版本
(1)在STelnet基本配置的基础上,还需要指定SSH服务器端的源接口(这里以指定成所有配置了IPv4地址的接口为例)。
[Huawei] ssh server-source all-interface
(2)从官网申请下载WEAKEA插件并上传至设备安装(具体请参考官网的“插件使用指南”操作),否则会导致使用弱算法的SSH客户端登录失败(若使用SSH客户登录正常,则可以忽略此步骤)。

■ 对于V200R021及之后的版本
(1)在STelnet基本配置的基础上,还需要指定SSH服务器端的源接口(这里以指定成所有配置了IPv4地址的接口为例)
[Huawei] ssh server-source all-interface
(2)加载并安装系统软件已集成的弱算法插件,然后将ssh server的算法参数全部undo一遍(使其支持所有算法),否则会导致使用弱算法的SSH客户端登录失败(若使用SSH客户登录正常,则可以忽略此步骤)。
[Huawei] return
load-module weakea
install-module weakea.mod
system-view
[Huawei] undo ssh server hmac
[Huawei] undo ssh server cipher
[Huawei] undo ssh server key-exchange

论坛原帖