顯示具有 Extreme 標籤的文章。 顯示所有文章
顯示具有 Extreme 標籤的文章。 顯示所有文章

1、前言

本篇實作為設定 Extreme Summit x450a-24T Switch 為 RADIUS Client 角色,而 FreeBSD 安裝 FreeRADIUS 成為 RADIUS Server 角色,二造之間進行 AAA(Authentication, Authorization, Accounting) 驗證協議。

文章目錄

1、前言
2、實作環境
3、RADIUS Server 設定 (FreeRADIUS)
          步驟1.安裝 freeradius 套件
          步驟2.設定認證客戶端設定檔 (clients.conf)
          步驟3.設定帳號及處理方式設定檔 (users)
          步驟4.修改/etc/rc.conf
          步驟5.啟動 FreeRADIUS 服務
          步驟6.測試 RADIUS 驗證
4、RADIUS Client 設定 (Extreme x450a)
5、參考

2、實作環境

Extreme Summit x450a-24T (RADIUS Client)
  • ExtremeXOS version 11.6.3.5 v1163b5
  • BootROM 1.0.3.1
  • IP Address: 192.168.1.10

FreeBSD 6.2-RELEASE-p12 (RADIUS Server)
  • freeradius-1.1.8
  • IP Address: 192.168.1.20
  • RADIUS 共用密碼: weithenn789

3、RADIUS Server 設定 (FreeRADIUS)

步驟1.安裝 freeradius 套件

切換至 Ports Tree 路徑安裝 freeradius 套件,並清除安裝過程中產生不必要檔案。
#cd  /usr/ports/net/freeradius
#make install clean


步驟2.設定認證客戶端設定檔 (clients.conf)

此設定檔內容為允許連接至此 RADIUS Server 的 RADIUS Client IP 網段,若未在此設定檔中設定允許的 IP 網段即視為非法客戶端 (RADIUS Client) 即使共用密碼 (Secret Key) 正確也不提供服務。
#vi /usr/local/etc/raddb/clients.conf
 client 192.168.1.0/24 {                   //允許的 RADIUS Client IP 網段
        secret          = weithenn789      //共用密碼 (Secret Key)
        shortname       = extreme-x450     //識別名稱
 }


步驟3.設定帳號及處理方式設定檔 (users)

此設定檔內容為設定帳號的認證及處理方式,下列設定檔內容為認證方式採用 users 設定檔中的帳號設定此例帳號為 weithenn 密碼為「weithenn123」,而 「Service-Type == Administrative-User」參數意義為 telnet 至 Extreme Switch 後,才具備「Privilege Level(#)」管理權限,否則登入後僅為「 User Level(>)」一般權限,至於「Reply-Message」參數則是驗證成功後回傳的訊息。

  • UNIX 系統帳號: Auth-Type = System
  • users 設定檔中帳號: Auth-Type = Local
  • LDAP 認證方式: Auth-Type = LDAP

#vi /usr/local/etc/raddb/users
 "weithenn"            User-Password == "weithenn123"
                       Service-Type == Administrative-User,
                       Reply-Message = "Radius Login Success --- %u"


如果採用的是新版 freeradius 2.x 套件,請改為如下內容
#vi /usr/local/etc/raddb/users
 "weithenn"            Cleartext-Password := "weithenn123"
                       Service-Type == Administrative-User,
                       Reply-Message = "Radius Login Success --- %{User-Name}"


步驟4.修改/etc/rc.conf

修改 /etc/rc.conf 中加入下列的設定,以便在系統重新開機時時會啟動 FreeRADIUS 服務。
#vi /etc/rc.conf
 radiusd_enable="YES"


步驟5.啟動 FreeRADIUS 服務

鍵入下列指令,以手動的方式啟動 FreeRADIUS 服務。(請尊重 Weithenn 的辛勞!!)
#/usr/local/etc/rc.d/radiusd start
 Starting radiusd.
 Wed Apr 14 14:53:06 2010 : Info: Starting - reading configuration files ...

接著,查看 FreeRADIUS 服務的 Listen Port 是否開啟。
#sockstat |grep radius
 root     radiusd    96870 3  udp4   *:1812                *:*
 root     radiusd    96870 4  udp4   *:1813                *:*

查看 RADIUS Log 內容了解服務狀態。
#tail /var/log/radius.log
 Wed Apr 14 15:45:54 2010 : Info: Using deprecated naslist file.  Support for this will go away soon.
 Wed Apr 14 15:45:54 2010 : Info: Ready to process requests.


步驟6.測試 RADIUS 驗證

輸入下列指令來測試 RADIUS 驗證功能是否正常,下列測試帳號為 weithenn 密碼 weithenn123 而 RADIUS Server IP 為 192.168.1.20 共用密碼 (Secret Key) 為 weithenn789,當 RADIUS 驗證成功後會出現 Access-Accept 字眼及剛才設定的回應訊息,若出現 Access-Reject 則為驗證失敗。
#radtest weithenn weithenn123 192.168.1.20 0 weithenn789
 Sending Access-Request of id 78 to 192.168.1.20 port 1812
         User-Name = "weithenn"
         User-Password = "weithenn123"
         NAS-IP-Address = 255.255.255.255
         NAS-Port = 0
 rad_recv: Access-Accept packet from host 192.168.1.20:1812, id=78, length=56
         Service-Type = Administrative-User
         Reply-Message = "Radius Login Success --- weithenn"


4、RADIUS Client 設定 (Extreme x450a)

登入 Extreme x450a 後,依序鍵入下列指令指定 RADIUS Server IP Address,以及設備本身 IP Address 及共用密碼 (Secret Key) 為 weithenn789,最後啟用 Extreme RADIUS 功能即可。
X450a-24x.1# configure radius primary server 192.168.1.20 client-ip 192.168.1.10
X450a-24x.2# configure radius primary shared-secret weithenn789
X450a-24x.3# enable radius mgmt-access

上述設定完成之後,便能使用 telnet 方式登入 Extreme Switch,成功登入後鍵入 show radius 指令可看到下列訊息。
X450a-24x.1# sh radius
 Switch Management Radius: enabled
 Switch Management Radius server connect time out: 3 seconds
 Switch Management Radius Accounting: disabled
 Switch Management Radius Accounting server connect time out: 3 seconds
 Netlogin Radius: disabled
 Netlogin Radius server connect time out: 3 seconds
 Netlogin Radius Accounting: disabled
 Netlogin Radius Accounting server connect time out: 3 seconds
 Primary Switch Management Radius server:
    Server name   :
    IP address    :  192.168.1.20
    Server IP Port:  1812
    Client address:  192.168.1.10 (VR-Mgmt)
    Shared secret :  fjgei324:  //extreme 將 weithenn789 加密後的結果
 Access Requests   :  24              Access Accepts    :  7
 Access Rejects    :  1               Access Challenges :  0
 Access Retransmits:  10              Client timeouts   :  6
 Bad authenticators:  0               Unknown types     :  0
 Round Trip Time   :  0


5、參考

前言

預設情況下,所有的 Ports 都為「Enable」狀態,也就是只要插上網路線就會通,我們可以利用下列介紹的指令使該 Ports Enable 或 Disable,可以提高 Switch 的實體安全性,以防止有人只要插上網路線就會通的狀況 (就可以聽封包了!!)。

查看 Ports 資訊

從下面顯示的 Ports 資訊中我們可以看到 Flags 欄位其中的 E (enalbe) 及 D (disable)
# show ports info
 Port    Diag  Flags          Link State   Link   Num   Num  Num   Jumbo  QoS  Load
                                           UPs    STP   VLAN Proto Size   Profile  Master
   1     P     e--m-------E   active       2      0     1    0     9216
   2     P     e--m-------E   active       2      0     1    0     9216
   3     P     e--m-------E   active       2      0     1    0     9216
   4     P     e--m-------E   active       2      0     1    0     9216
   5     P     e--m-------E   active       2      0     1    0     9216
   6     P     e--m-------E   active       2      0     1    0     9216
   7     P     e--m-------E   active       8      0     1    0     9216
   8     P     e--m-------E   active       2      0     1    0     9216
   9     P     e--m-------E   active       12     0     1    0     9216
  10     P     e--m-------E   ready        0      0     1    0     9216
  11     P     e--m-------E   ready        0      0     1    0     9216
  12     P     e--m-------E   ready        0      0     1    0     9216
  13     P     e--m-------E   active       8      0     1    0     9216
  14     P     e--m-------E   ready        8      0     1    0     9216
  15     P     e--m-------E   active       2      0     1    0     9216
  16     P     e--m-------E   active       12     0     1    0     9216
  17     P     e--m-------D   ready        0      0     1    0     9216
  18     P     e--m-------D   ready        0      0     1    0     9216
  19     P     e--m-------D   ready        0      0     1    0     9216
  20     P     e--m-------D   ready        0      0     1    0     9216
  21     P     e--m-------D   ready        0      0     1    0     9216


Enable 單一 Ports

鍵入如下指令,會將 Port 17 設定為 Enable。
# enable ports 17

Disable 單一 Ports

鍵入如下指令,會將 Port 17 設定為 Disable。
# disable ports 17

Enable 多個 Ports

鍵入如下指令,第一行指令會將連續的 Port 17 ~ 20 設定為 Enable。若是 Port 號不連續的話以逗號隔開即可,第二行指令便是將 Port 1、3、5、17 ~ 20 設定為 Enable。
# enable ports 17-20
# enable ports 1,3,5,17-20


Disable 多個 Ports

同樣的將指令開頭更換成 Disable 便可以一次設定多個 Port 為 Disable 狀態。第一行指令會將連續的 Port 17 ~ 20 設定為 Disable。若是 Port 號不連續的話以逗號隔開即可,第二行指令便是將 Port 1、3、5、17 ~ 20 設定為 Disable。
# disable ports 17-20
# disable ports 1,3,5,17-20

前言

本文將說明 Extreme Summit 400-24T,在使用者帳號及管理權限的部份進行操作。

使用者權限

首先,Extreme Switch 支援「二種使用者權限 (User、Administrator)」 來管理 Switch。

User 權限

User 等級權限可觀看所有管理參數除了以下二點之外,簡單來說就是只有 Read 的權限。
User account database.
SNMP community strings.

User 等級帳號登入 Switch 後其提示符號將為 (>) 如下:
Summit1:2>

Administrator 權限

Administrator 等級權限可以查看所有 Switch 參數,並可隨時建立、刪除使用者帳號,拒絕連線的 Telnet 執行程序,以 Administrator 等級帳號登入 Switch 後其提示符號將為 (#) 如下,簡單來說擁有 Read/Write 權限。
Summit1:2#
當您有變更任何設定時則提示符號前將出現 (*) 代表您改設定尚未儲存設定。
*Summit1:10#

設定密碼

預設帳號 (User、Admin) 並沒有設置密碼,而 Switch 支援的密碼長度最小需 個字元,而最大支援到 十二 個字元,當您想設定 Admin 帳號其步驟如下:

1. 登入 Switch 且帳號為 admin
2. 在密碼提示字元時按下 Return(請尊重 Weithenn 的辛勞!!)
3. 進入後執行指令「#config account admin」後,輸入密碼,再輸入一次密碼以確認。

建立帳號

Switch 能支援最多到 16 個管理帳號,建立帳號的步驟如下:

1. 登入 Switch 且帳號為 admin (或有 admin 權限的帳號)。
2. 執行建立帳號指令「#create account [admin | user] <username> 」,並且在建立時決定要建立的使用者帳號是具備 admin 或 user 權限。
3. 輸入密碼,再輸入一次密碼。

查看帳號

當建立帳號完成後,想查看帳號建立及該帳號權限是否正確可使用下列指令來查看帳號列表及帳號資訊。
Summit1:2 # show accounts   //執行指令
   User Name       Access LoginOK   Failed   User Type   //說明
 ----------------  ------ -------   ------   ---------
           admin    R/W        9        10       Admin   //預設帳號
            user    RO         0         0        User   //預設帳號
        weithenn    R/W        7         0       Admin   //新增帳號
 --------------------------------------------------
 (*) - Account locked


刪除帳號

若想刪除該帳號便執行下列指令,當然您必須要有 Administrator 的權限才能執行此指令
Summit1:2 # delete account <username>

前言

本文將說明 Extreme Summit 400-24T Switch,用來測試網路連通狀態的 ping 指令,以及用來測試路由狀態的 traceroute 指令。

Ping - 測試網路連通狀態

Ping 主要用來測試網路連通的狀態,使用 ICMP Protocol 工作於 Network Layer。
Summit1:2# ping 168.95.1.1
 Ping(ICMP) 168.95.1.1: 4 packets, 8 data bytes, interval= 1.
 16 bytes from 168.95.1.1: icmp_seq=0 ttl=246 time=0 ms
 16 bytes from 168.95.1.1: icmp_seq=1 ttl=246 time=0 ms
 16 bytes from 168.95.1.1: icmp_seq=2 ttl=246 time=0 ms
 16 bytes from 168.95.1.1: icmp_seq=3 ttl=246 time=0 ms
 --- 168.95.1.1 ping statistics ---
 4 packets transmitted, 4 packets received, 0% packet loss
 round-trip min/avg/max = 0/0/0 ms


當然您可以使用更多的參數來測試你想知道的網路狀態,參數如下:
 ping {udp} {continuous} {size <start_size> {- <end_size>}} [<ip_address> | <hostname>] {from <src_address> |  with record-route | from <src_ipaddress> with record-route}

Traceroute - 測試路由狀態

Traceroute 指令來測試網路路由狀態。(請尊重 Weithenn 的辛勞!!)
Summit1:2# traceroute 168.95.1.1
 traceroute to 168.95.1.1, 30 hops max
 1  203.133.35.62   0 ms  0 ms  0 ms
 2  203.133.92.89   0 ms  0 ms  0 ms
 3  203.187.9.54    0 ms  0 ms  0 ms
 4  * * *
 5  * * *
 6  * * *
 7  210.65.161.126  0 ms  0 ms  0 ms
 8  211.22.32.218   0 ms  0 ms  0 ms
 9  211.22.35.185   0 ms  0 ms  0 ms
 10  168.95.1.61    0 ms  0 ms  0 ms


當然您可以使用更多的參數來測試你想知道的網路路由狀態,參數如下:
 traceroute [<ip_address> | <hostname>] {from <src_ipaddress>} {ttl <TTL>} {port <port>}

前言

以下是在操作 Extreme Summit 400-24T L3 Switch 之前,必須要了解的一些基本操作。

善用 Tab 鍵

Extreme 有補齊功能,也就是當你打出相關指令的「開頭」後,此時按下「Tab 鍵」便會將相關指令列出。
# show acc       //打 acc 後按下 tab 鍵便自動列出相關指令
 Ambiguous token: acc
        access-list
        access-mask
        access-profile
        accounts


管理 Switch 的方式

管理 Extreme Summit 400 Switch 時,一般來說有下列幾種方式,可以登入並管理 Switch:
  • Console port
  • Telnet using the CLI interface
  • SSH2 using the CLI interface
  • ExtremeWare Vista Web access using a standard Web browser
  • SNMP access using EPICenter or another SNMP manager

而 Switch 能同時處理的 Session 如下:
  • One console session
  • Eight Telnet sessions
  • Eight SSH2 sessions
  • One Web session

設定 Switch IP Address

由於 Switch 本身預設即為一個 VLAN,因此要設定 Switch 的管理 IP 位址時,就必須帶入 VLAN Default 的參數,而在網路遮罩的路份支援「Subnet Mask (255.255.255.0)」及「CIDR (/24)」 表示方法。
# config vlan mgmt ipaddress <ip_address>/<subnet_mask>  
 Example:
 config vlan default ipaddress 123.45.67.8 255.255.255.0
 config vlan default ipaddress 123.45.67.8 / 24 


設定 Default Gateway

設定 Switch 的 Default Gateway,以便 Switch 能夠順利連接至網際網路外部的 IP 位址。
# config iproute add default <gateway_ip_address>
 Example:
 config iproute add default 123.45.67.1


儲存設定

當你設定完 Switch 相關設定後,記得下指令儲存目前的設定值。(請尊重 Weithenn 的辛勞!!)
# save

管理 Telnet Session

Extreme Summit 400 預設有啟動 Telnet Service,若您想關閉 Telnet 服務請執行下列相關指令,當然前提是具備 Administrator 權限才能執行這些指令:
disable telnet        //關閉 Telnet Service
# enable  telnet        //啟動 Telnet Service

若要查看 Telnet Service 狀態請執行下列指令:
# show management
 Telnet access: enabled tcp port: 23 //狀態為 enable

必須具備 Administrator 權限才能管理 Telnet Session,可以使用下列指令顯示出所有連接到 Switch 的 Session。
# show session
 #Login Time                      User      Type    Auth   CLI Auth  Location
 ==============================================================================
 * 1028 Mon Sep 26 15:17:39 2005  weithenn  telnet  local  disabled  61.60.59.58

要結束該 Telnet Session 的話,只要執行下列指令即可(簡單說就是踢掉該 session)。
# clear session <session_number>     //如上顯示則 session_number 為 1028

前言

在設定 Extreme L3 Switch 的 ACL (Access Control List) 功能以前先了解下面名詞所代表的意思,這樣可以有助於你的設定。

  • Access-list: 允許 IP 名單
  • Dest-ip: 目的地 IP
  • Source-ip: 來源 IP
  • Access-mask: 允許遮罩
  • Precedence: 優先權
  • Establish: 建立
  • Permit: 允許
  • Deny: 禁止

建立 Access-Mask

下列建立 Access-Mask 指令及相關參數意義如下:
  • Access-Mask: M6
  • 目的地遮罩: /26 (255.255.255.192)
  • 來源地遮罩: /32 (255.255.255.255)
  • 優先權: 25
# create access-mask m6 dest-ip / 26 source-ip / 32 precedence 25

建立 Access-List

建立完 Access-List 規則之後,記得打 save 指令來存取設定。
# create access-list a10 access-mask m6 dest-ip 61.60.59.0 /26 source-ip 59.60.61.62 /32 permit(or deny)
# save
 Do you want to save to the primary configuration database? yes
 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>!.!.!
 Saved to primary configuration database.>>>>


ACL 規則維護

建立的 Access-Mask Rules 及 Access-List Rules 之後,您只能對 Rules 進行 Create、Show、Delete 也就是只能對規則進行建立跟刪除而以,而無法執行修改 (Modify) 的功能 (ex.無法把 Rules 中的 permit 改成 deny ,而是要刪除 Rules 再重新建立 Rules)。(請尊重 Weithenn 的辛勞!!)

Deny All Rules

# create access-list a1000 access-mask m1000 dest-ip 61.60.59.0 /26 source-ip 0.0.0.0 /0 deny

Delete Filter Rule

# delete access-list a1000

Show Access-list

# show access-list