华为CE交换机-SNMP数据中心网络管理(RADIUS认证方式)

2026年 4月 2日 交换机 SE_YT

举例:数据中心网络管理(RADIUS认证方式)

组网需求

某企业数据中心网络比较复杂,为了保证数据中心网络的安全和稳定性,需要对网络实时监控,并限制管理员的登录权限。此时可以部署一个综合的数据中心网络管理系统,满足网络监控和管理员受限接入的要求。

图1所示,网络中的设备已经配置IP地址,且与RADIUS服务器以及网络管理系统(NMS)之间路由可达。所有用户登录设备时都需要通过RADIUS认证。NMS对整个网络进行监控,接收来自每台设备的告警和日志信息。

图1 数据中心网络管理综合举例(RADIUS认证方式)
华为CE交换机-SNMP数据中心网络管理(RADIUS认证方式)

配置思路

数据中心网络管理综合举例的配置思路如下:

  1. 配置RADIUS协议,实现RADIUS认证。用户通过STelnet登录时使用RADIUS服务器上配置的用户名和密码,从而保证用户登录的安全性。
  2. 配置STelnet登录设备。STelnet协议实现在不安全网络上提供安全的远程登录,保证了数据的完整性和可靠性,保证了数据的安全传输。
  3. 配置SNMP功能。使用SNMPv3版本的认证和加密方式,保证设备和NMS连接的安全性。从而实现通过NMS对网络中的设备进行集中管理。
  4. 配置将设备日志和告警信息通过SNMP发送到NMS,实现对网络的监控。
华为CE交换机-SNMP数据中心网络管理(RADIUS认证方式)

以下配置仅以DeviceA为例。其他设备的配置请参考DeviceA。

请确保RADIUS服务器模板内的RADIUS服务器的地址、端口号和共享密钥配置正确,并且和RADIUS服务器保持一致。

请确保已在RADIUS服务器上配置了用户,本例中假设RADIUS服务器上已配置了用户名为admin@admin123,密码为YsHsjx_202206的用户。

如果RADIUS服务器上配置的用户较多,建议用户使用ssh authentication-type default password命令,对本地用户使用预设密码认证方式,从而简化配置。

操作步骤

  1. 配置RADIUS。
    1. 配置RADIUS模板。  
      <HUAWEI> system-view
[~HUAWEI] sysname DeviceA
[*HUAWEI] commit
[~DeviceA] radius-server template shiva
[*DeviceA-radius-shiva] radius-server authentication 10.7.66.66 1812          //配置RADIUS服务器的地址和端口号。
[*DeviceA-radius-shiva] radius-server shared-key cipher YsHsjx_202206                  //配置RADIUS服务器的共享密钥。
[*DeviceA-radius-shiva] radius-server retransmit 2                              //配置超时重传次数为2。
[*DeviceA-radius-shiva] quit

       

    2. 创建AAA认证方案“auth”并配置认证方式为RADIUS。  
      [*DeviceA] aaa
[*DeviceA-aaa] authentication-scheme auth
[*DeviceA-aaa-authen-auth] authentication-mode radius
[*DeviceA-aaa-authen-auth] quit

       

    3. 创建域“admin123”并在域内绑定AAA认证方案“auth”和RADIUS服务器模板“shiva”。  
      [*DeviceA-aaa] domain admin123
[*DeviceA-aaa-domain-admin123] authentication-scheme auth
[*DeviceA-aaa-domain-admin123] radius-server shiva
[*DeviceA-aaa-domain-admin123] quit
[*DeviceA-aaa] quit
[*DeviceA] commit

       

  2. 配置STelnet。
    1. 配置设备支持STelnet。  
      [~DeviceA] rsa local-key-pair create
The key name will be: DeviceA_Host                                
The range of public key size is (2048, 4096).  
NOTE: Key pair generation will take a short while.  
Please input the modulus [default = 3072]:3072 //执行本命令后,会提示用户输入生成的RSA密钥对长度,当前支持模数长度为2048比特位、3072比特位和4096比特位三种RSA密钥对。如果用户没有输入密钥对长度,直接回车,则会生成3072位RSA密钥对;如果用户没有任何操作,则设备放弃生成RSA密钥对。建议使用3072位及以上更安全的RSA密钥对。
[*DeviceA] stelnet server enable

       

    2. 配置SSH用户登录的用户界面。  
      [*DeviceA] user-interface vty 0 4
[*DeviceA-ui-vty0-4] authentication-mode aaa
[*DeviceA-ui-vty0-4] protocol inbound ssh
[*DeviceA-ui-vty0-4] user privilege level 3
[*DeviceA-ui-vty0-4] quit

       

    3. 配置SSH用户,用户名为admin@admin123。  
      [*DeviceA] ssh user admin@admin123 authentication-type password
[*DeviceA] ssh user admin@admin123 service-type stelnet
[*DeviceA] commit

       

  3. 配置SNMP功能。
    1. 配置SNMP与NMS的连接。  
      [~DeviceA] snmp-agent sys-info version v3
[*DeviceA] snmp-agent mib-view included iso-view iso
[*DeviceA] snmp-agent group v3 admingroup privacy write-view iso-view notify-view iso-view
[*DeviceA] snmp-agent usm-user v3 adminuser admingroup authentication-mode sha2-256 YsHsjx_202206 privacy-mode aes128 Helloworld@6789   //认证算法有MD5和SHA两种,SHA安全性高,MD5运行速度快。本举例使用sha2-256。加密算法有3DES168、AES128、AES192、AES256和DES56。AES的加密方式安全性高。本举例使用AES128。

       

    2. 配置告警主机。  
      [*DeviceA] snmp-agent target-host host-name nms trap address udp-domain 10.7.60.66 params securityname adminuser v3 privacy  //告警主机安全级别需要高于或等于用户的安全级别。此处配置为privacy(认证且加密)。
[*DeviceA] commit

       

  4. 配置将设备日志和告警信息通过SNMP发送到NMS。  
    [~DeviceA] info-center source default channel 5 log state on
[*DeviceA] commit

     

验证

对于配置的验证主要通过以下两个方面完成:

  • 能够通过RADIUS服务器上配置的用户名和密码实现STelnet登录设备。
  • NMS和设备连接成功。NMS能够通过SNMP对设备操作,且能够接收到日志和告警信息。

配置脚本

DeviceA的配置脚本

#
sysname DeviceA 
# 
info-center source default channel 5 log state on
#
radius-server template shiva
 radius-server shared-key cipher %^%#L@71VU/>5>n/c$GKI>J!i:Uz~:!<.W'jc0X@nE4$%^%#  //此处密文格式仅为示例,不同版本之间可能存在不同
 radius-server authentication 10.7.66.66 1812
 radius-server retransmit 2  
#
aaa
 authentication-scheme auth
  authentication-mode radius
 domain admin123
  authentication-scheme auth
  radius-server shiva
#
snmp-agent
snmp-agent local-engineid 800007DB03306B20792201
#
snmp-agent sys-info version v3
snmp-agent group v3 admingroup privacy write-view iso-view notify-view iso-view
snmp-agent target-host host-name nms trap address udp-domain 10.7.60.66 params securityname adminuser v3 privacy
#
snmp-agent mib-view included iso-view iso
snmp-agent usm-user v3 adminuser
snmp-agent usm-user v3 adminuser group admingroup
snmp-agent usm-user v3 adminuser authentication-mode sha2-256 cipher %^%#BQV1%E-zm5`pG^HCe.4-yi-EUx$iv=S(jiKO7tJN%^%#  //此处密文格式仅为示例,不同版本之间可能存在不同
snmp-agent usm-user v3 adminuser privacy-mode aes128 cipher %^%#4_o.,z8`_OmbfU4svg>8"[TxSo\9'R]d/[TXR3!&%^%#  //此处密文格式仅为示例,不同版本之间可能存在不同
#
stelnet server enable
ssh user admin@admin123
ssh user admin@admin123 authentication-type password
ssh user admin@admin123 service-type stelnet
ssh authorization-type default aaa 
#
user-interface vty 0 4
 authentication-mode aaa
 user privilege level 3
 protocol inbound ssh
#
return
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/11127.html
文章版权归作者所有,未经允许请勿转载。
上一篇 统信如何调整系统分辨率
下一篇 Linux 系统介绍与 Shell 环境准备