华为系列交换机远程登录安全优化——（结合NPS实现加密的SSH登录）_nps 加密

背景：公司目前有大部分交换机（核心、汇聚、接入层）采用Telnet的方式进行远程管理及配置；由于telnet在网络上是用明文的方式进行密码交换，很容易被抓包工具捕获账号及密码，为了加强网络设备远程管理的安全性及可靠性，特撰写此文档进行优化说明。

针对设备：华为、思科、H3C各系列交换机（文档中涉及的交换机配置适用华为全系列交换机，思科及H3C配置不在文档中贴出）

实现效果：

网络交换机优先使用NPS服务器进行认证登录，若服务器失效，自动改为本地认证.

拓扑图：

 

主要过程

1：搭建NPS服务器，主要用于账号配置管理，交换机策略的配置及管理；

2：建立网络设备的本地SSH认证，主要用于服务器失效后，实现本地认证；

3：与服务器进行连接，并使用服务器进行远程认证;

4：测试;

一：服务器配置（WIN2012）

1：安装NPS服务，如下图

 

2：在RADIUS客户端新建一条与交换机连接的策略，如下图所示，交换机地址一定是要在线的交换机，共享秘钥很重要，此处的共享秘钥必须和交换机的共享秘钥一致；

 

3:在连接请求策略中，设置好请求条件，如下图所示

 

4：新建一个用户组，并添加一个账号，该账号主要用来管理网络设备；并在网络策略中添加该用户组；

 

二：交换机配置

1：设置本地SSH，用于本地认证，可以在服务器失效的情况下，也可以保证能够通过远程进行配置管理，如下图所示，为本地认证的具体配置；

 

三：设置交换机与服务器连接，此步骤的共享秘钥一定要和NPS服务器中的共享秘钥一致，否则，会出现认证失败的问题

 

四：测试

1：测试账号：ssh(NPS设置的账号)，密码：sshtest2022，如下图所示，我们已经成功通过NPS服务器的认证

 

 

 2：停止NPS服务，模拟服务器故障，用本地账号进行认证登录。账号：ceepcb,密码：ceepcb2022