书接上文,前面我们介绍如何在Ubuntu安装jumpserver,现结合华三HCL模拟器,验证怎么通过堡垒机ssh跳登到交换机进行远程维护操作。
win10 PC;
HCL模拟器;
jumpserver;
JumpServerClient;
MobaXterm。
步骤1:按照实验拓扑图,连接好线缆,并将模拟器桥接到物理机,实现全网互通;
步骤2:配置交换机管理IP,SSH服务,交换机配置脚本如下:
# 进入系统视图
system-view
# 设备命名
sysname SW1
# 配置管理IP地址
interface Vlan-interface1
ip address 192.168.201.51 255.255.255.0
# 配置ssh登录用户
local-user admin class manage
password simple python@123
service-type ssh
authorization-attribute user-role level-15
authorization-attribute user-role network-admin
# 配置ACL匹配规则
acl basic 2000
rule 0 permit source 192.168.201.150 0
rule 100 deny
# 配置SSH仅允许符合acl 2000的192.168.201.150地址通过ssh连接交换机;
public-key local create dsa
ssh server enable
ssh user admin service-type stelnet authentication-type password
ssh server acl 2000
# 配置vty认证
user-interface vty 0 4
authentication-mode scheme
protocol inbound ssh
#
步骤3:用户管理,在jumpserver创建“三权分立”账号,即:
系统管理员账号:admin(默认自带),亦可自行创建,拥有系统平台最大权限;
用户账号:创建账号名为user,密码为admin@123,用于登录junmpserver,通过资产授权,仅能访问本岗位内负责运维的系统及设备;
系统审计员账号;创建账号名为audit,密码为admin@123,用于对通过jumpserver的用户账号进行审计。
(1)创建用户组Users,审计组Audit,工作中也建议创建用户组,便于账号管理;
(2)创建用户账号user,审计账号audit,并将用户账号user添加到用户组,审计账号audit添加到审计组;
步骤4:资产管理,拥有丰富的资产管理功能,可根据实际情况自行设置,本次演示不作过多赘述,根据实验拓扑添加资产,因HCL为华三官方模拟器,添加设备厂家选择“H3C”,填写资产名称、IP地址、资产所属节点、协议类型、资产账号及密码(考虑到账号密码安全问题,登录设备时候再手动录入);
步骤5:权限管理,对特定的用户及特定的资产进行资产授权,仅允许指定的用户(或用户组)登录指定设备(或设备组);
步骤6:使用用户账号user登录jumpserver,在冲jumpserver登录交换机进行远程维护操作,jumpsever提供Web CLI和客户端两种方式远程登录设备,使用客户端远程链接设备需要单独安装客户端软件; 1.Web CLI方式
2.客户端方式
进入下载页面下载操作系统对应的JumpServer Client软件并安装好,然后再对JumpServer Client进行设置,加载本地Win10计算机安装的终端调试软件安装路径,JumpServer Clien支持的终端调试软件有PuTTY、Xshell、SecurCRT、MobaXterm。
步骤7:验证测试,使用win10(192.168.201.101)绕开堡垒机,通过MobaXterm终端调试软件ssh直接登录交换机SW1(192.168.201.51)失败,在SW1上显示有win10(192.168.201.101)被拒绝登录的日志信息;
通系统审计员账号audit登录堡垒机,查看运维人员账号的会话记录、命令记录、文件传输记录;可以实时监控运维人员实时做了什么操作,也可以通过录像看运维人员做了哪些操作。
版权说明:如非注明,本站文章均为 扬州驻场服务-网络设备调试-监控维修-南京泽同信息科技有限公司 原创,转载请注明出处和附带本文链接。
请在这里放置你的在线分享代码