Stelnetssh登陆华为交换机配置教程.docx
《Stelnetssh登陆华为交换机配置教程.docx》由会员分享,可在线阅读,更多相关《Stelnetssh登陆华为交换机配置教程.docx(12页珍藏版)》请在冰点文库上搜索。
Stelnetssh登陆华为交换机配置教程
Stelnet(ssh)登陆华为交换机配置教程
使用STelnetV1协议存在安全风险,建议使用STelnetV2登录设备。
通过STelnet登录设备的缺省值
参数
缺省值
STelnet服务器功能
关闭
SSH服务器端口号
22
SSH服务器密钥对的更新周期
0小时,表示永不更新
SSH连接认证超时时间
60秒
SSH连接的认证重试次数
3
SSH服务器兼容低版本功能
使能
VTY用户界面的认证方式
没有配置认证方式
VTY用户界面所支持的协议
Telnet协议
SSH用户的认证方式
认证方式是空,即不支持任何认证方式
SSH用户的服务方式
服务方式是空,即不支持任何服务方式
SSH服务器为用户分配公钥
没有为用户分配公钥
用户级别
VTY用户界面对应的默认命令访问级别是0
1、生成本地密钥对
密钥保存在交换机中单不保存在配置文件中
[Huawei]rsa?
key-pair RSAkeypair
local-key-pair LocalRSApublickeypairoperations
peer-public-key RemotepeerRSApublickeyconfiguration
[Huawei]rsalocal-key-pair?
create Createnewlocalpublickeypairs
destroy Destroythelocalpublickeypairs # 销毁本地密钥对
[Huawei]rsalocal-key-paircreate
Thekeynamewillbe:
Huawei_Host
Therangeofpublickeysizeis(512~2048).
NOTES:
Ifthekeymodulusisgreaterthan512,
itwilltakeafewminutes.
Inputthebitsinthemodulus[default=512]:
1024 # 密钥对长度越大,密钥对安全性就越好,建议使用最大的密钥对长度
Generatingkeys...
.......++++++
.++++++
........................++++++++
..........++++++++
或
[Huawei]dsalocal-key-pair?
create Createanewlocalkey-pair
destroy Destroythelocalkey-pair
[Huawei]dsalocal-key-paircreate
Info:
Thekeynamewillbe:
Huawei_Host_DSA.
Info:
Thekeymoduluscanbeanyoneofthefollowing:
512,1024,2048.
Info:
Ifthekeymodulusisgreaterthan512,itmaytakeafewminutes.
Pleaseinputthemodulus[default=512]:
1024
Info:
Generatingkeys...
Info:
SucceededincreatingtheDSAhostkeys.
----------------------查看密钥对-----------------------
[Huawei]displaydsalocal-key-pairpublic
=====================================================
TimeofKeypaircreated:
11:
37:
32 2016/3/30
Keyname :
Huawei_Host_DSA
Keymodulus:
1024
Keytype :
DSAencryptionKey
=====================================================
Keycode:
3082019F
028180
A49C5EAF906C80B1C474CCB0D47C696522DFCF3C
9602BAD8FCE8F7E37A69BE188CB7D8586B50EEBC
54BFB08961A0DD315F7F3080F0DB47E4ECDCC10E
7EC18D3135CD78F7E002FB6B4CB59BA5E2CDB898
43FAD05998B8EEA8E7395FC7CA9D165547927368
9914AF096CFDC1256CC8A07FDDDE603BF31C4EA4
0B752AC7817E877F
0214
CBC5C0BC2D7B6DFE15A7F9A36F6ED15B6ECC9F27
028180
6D3202E74DCAC5DB970343058D79FDB276D5CAA2
C8D00C3D666F61D4F2E364454027FD040D61B2A3
AF3CED6BC36CC68DE8DF35F9FAF802ED73BCBD66
C55AE0F669530C141B33A5A1CF77D63675A5EF3B
264AB66E2A8CFFB1690E45F86FACF1B3E2A11328
C14BA7F3CA0D198B3ED9436845BA5E89F1ADB79E
F459F826B9A5CF6D
028180
7F379C4685328DCEF9603A922EF0FF4884C7560E
D3E0660CB7ED2F8439219FEB61BDE65AF9B55D45
AEE8445FFA3F36AD3A5310D236214AF1619F61CB
31980AEEE4D6BD988003E9038FD5493326948C87
CD3F7EBCE7BEAB909E4A3FCAD92AF70F24E69611
2D2573C71A19AA43A9AAF80B3A6F3B37CB737102
744D0A49F9636680
HostpublickeyforPEMformatcode:
----BEGINSSH2PUBLICKEY----
AAAAB3NzaC1kc3MAAACBAKScXq+QbICxxHTMsNR8aWUi3888lgK62Pzo9+N6ab4Y
jLfYWGtQ7rxUv7CJYaDdMV9/MIDw20fk7NzBDn7BjTE1zXj34AL7a0y1m6XizbiY
Q/rQWZi47qjnOV/Hyp0WVUeSc2iZFK8JbP3BJWzIoH/d3mA78xxOpAt1KseBfod/
AAAAFQDLxcC8LXtt/hWn+aNvbtFbbsyfJwAAAIBtMgLnTcrF25cDQwWNef2ydtXK
osjQDD1mb2HU8uNkRUAn/QQNYbKjrzzta8Nsxo3o3zX5+vgC7XO8vWbFWuD2aVMM
FBszpaHPd9Y2daXvOyZKtm4qjP+xaQ5F+G+s8bPioRMowUun88oNGYs+2UNoRbpe
ifGtt570WfgmuaXPbQAAAIB/N5xGhTKNzvlgOpIu8P9IhMdWDtPgZgy37S+EOSGf
62G95lr5tV1FruhEX/o/Nq06UxDSNiFK8WGfYcsxmAru5Na9mIAD6QOP1UkzJpSM
h80/frznvquQnko/ytkq9w8k5pYRLSVzxxoZqkOpqvgLOm87N8tzcQJ0TQpJ+WNm
gA==
----ENDSSH2PUBLICKEY----
PublickeycodeforpastingintoOpenSSHauthorized_keysfile:
ssh-dssAAAAB3NzaC1kc3MAAACBAKScXq+QbICxxHTMsNR8aWUi3888lgK62Pzo9+N6ab4YjLfYWGtQ
7rxUv7CJYaDdMV9/MIDw20fk7NzBDn7BjTE1zXj34AL7a0y1m6XizbiYQ/rQWZi47qjnOV/Hyp0WVUeS
c2iZFK8JbP3BJWzIoH/d3mA78xxOpAt1KseBfod/AAAAFQDLxcC8LXtt/hWn+aNvbtFbbsyfJwAAAIBt
MgLnTcrF25cDQwWNef2ydtXKosjQDD1mb2HU8uNkRUAn/QQNYbKjrzzta8Nsxo3o3zX5+vgC7XO8vWbF
WuD2aVMMFBszpaHPd9Y2daXvOyZKtm4qjP+xaQ5F+G+s8bPioRMowUun88oNGYs+2UNoRbpeifGtt570
WfgmuaXPbQAAAIB/N5xGhTKNzvlgOpIu8P9IhMdWDtPgZgy37S+EOSGf62G95lr5tV1FruhEX/o/Nq06
UxDSNiFK8WGfYcsxmAru5Na9mIAD6QOP1UkzJpSMh80/frznvquQnko/ytkq9w8k5pYRLSVzxxoZqkOp
qvgLOm87N8tzcQJ0TQpJ+WNmgA==dsa-key
[Huawei]
2、打开STelnet服务器功能
[Huawei]stelnetserverenable
3、配置SSH服务器端口号
[Huawei]sshserverport?
INTEGER<22,1025-55535> Settheportnumber,thedefaultvalueis22
4、配置密钥对更新时间
[Huawei]sshserverrekey-interval?
INTEGER<0-24> Settheinterval(inhours),thedefaultvalueis0,whichmeanstheserverwillnotgeneratethenewkeyautomatically
5、配置SSH认证超时时间
[Huawei]sshservertimeout?
INTEGER<1-120> Settheauthenticationtimeout,thedefaultvalueis60seconds
6、配置SSH认证重试次数
配置SSH认证重试次数用来设置SSH用户请求连接的认证重试次数,防止非法用户登录。
[Huawei]sshserverauthentication-retries?
INTEGER<1-5> Settheauthenticationtimes,thedefaultvalueis3times
7、使能兼容低版本SSH协议
[Huawei]sshservercompatible-ssh1x?
enable EnableordisablethecompatibilitywithSSH1,thedefaultvalueisenabled
8、配置SSH服务器的源接口
指定SSH服务器端的源接口前,必须已经成功创建LoopBack接口,否则会导致本配置无法成功执行。
[Huawei]sshserver-source-i?
Notexistsloopbackinterface
9、配置访问控制列表
[Huawei]sshserveracl2001
10、配置通过SSH登陆的帐号密码
具体配置见VTY配置
11、配置VTY用户界面支持SSH协议
[Huawei-ui-vty0-4]protocolinbound?
all Allprotocols
ssh SSHprotocol
telnet Telnetprotocol
12、创建SSH用户
[Huawei]sshuser?
STRING<1-64> Thespecifiedusername
[Huawei]sshuser1
Info:
SucceededinaddinganewSSHuser.
[Huawei]
13、配置SSH用户的认证方式
[Huawei]sshuser1?
assign Setthekey
authentication-type Authenticationtype
authorization-cmd Authorizationmode
service-type Setservicetype
sftp-directory SetSFTPdirectory
[Huawei]sshuser1authentication-type?
all Anyauthenticationmode,anyoneofpassword,RSA,andDSA
dsa DSAauthentication
password Passwordauthentication
password-dsa BothpasswordandDSAauthenticationmodes
password-rsa BothpasswordandRSAauthenticationmodes
rsa RSAauthentication
如果没有使用sshuser命令配置相应的SSH用户,则可以直接执行sshauthentication-typedefaultpassword命令为用户配置SSH认证缺省采用密码认证,在用户数量比较多时,对用户使用缺省密码认证方式可以简化配置,此时只需再配置AAA用户即可。
14、配置SSH用户的服务类型
[Huawei]sshuser1service-type?
all Setallservicetype
sftp SetSFTPservicetype
stelnet SetStelnetservicetype
[Huawei]sshuser1service-typestelnet
15、配置SSH用户按命令行授权,即只能通过命令行使用
[Huawei]sshuser1authorization-cmd?
aaa SettheAAAauthorizationmode
password认证依靠AAA实现,当用户使用password、password-rsa或password-dsa认证方式登录设备时,需要在AAA视图下创建同名的本地用户。
如果SSH用户使用password认证,则只需要在SSH服务器端生成本地RSA或DSA密钥。
如果SSH用户使用RSA或DSA认证,则在服务器端和客户端都需要生成本地RSA或DSA密钥对,并且服务器端和客户端都需要将对方的公钥配置到本地。
16、对SSH用户进行password、password-dsa或password-rsa认证时在AAA下创建同名用户名
[Huawei-aaa]local-user1passwordirreversible-cipher
17、对SSH用户进行dsa、rsa、password-dsa或password-rsa认证时配置方法
17.1、进入RSA或DSA公共密钥视图
[Huawei]rsapeer-public-key
Enter"RSApublickey"view,returnsystemviewwith"peer-public-keyend".
[Huawei-rsa-public-key]
或
[Huawei]dsapeer-public-key?
STRING<1-30> Nameofthepeerpublickey
[Huawei]dsapeer-public-key1?
encoding-type Encodingtypeoftheremotepeer'spublickey
[Huawei]dsapeer-public-key1encoding-type?
der DERencodedpublickey #DER编码的公钥
pem PEMencodedpublickey #PEM编码的公钥
[Huawei]dsapeer-public-key1encoding-typeder?
[Huawei]dsapeer-public-key1encoding-typeder
Info:
Enter"DSApublickey"view,returnsystemviewwith"peer-public-keyend"
.
[Huawei-dsa-public-key]
17.2、编辑公共密钥
[Huawei-rsa-public-key]public-key-code?
begin Begintoinputpublickeycode
[Huawei-rsa-public-key]public-key-codebegin?
[Huawei-rsa-public-key]public-key-codebegin
Enter"RSAkeycode"view,returnlastviewwith"public-key-codeend".
[Huawei-rsa-key-code]
17.3、编辑公共密钥
键入的公共密钥必须是按公钥格式编码的十六进制字符串,由支持SSH的客户端软件生成。
请将获取的RSA或DSA公钥输入到作为SSH服务端的设备上。
[Huawei-rsa-key-code]308201080282010100DD89041A5E30AA976F384B5DB366A7
[Huawei-rsa-key-code]048C0E7906EC6B088BB9567D75914B5B4EA7B2E51938D118
………………………………………………………………………………………………………
[Huawei-rsa-key-code]4B863A38BA7E0F0DBE5C5AE4CA55B192B531AC48B07D21E3
[Huawei-rsa-key-code]1B020125
[Huawei-rsa-key-code]
17.4、退出公共密钥编辑视图
[Huawei-rsa-key-code]public-key-codeend
%Failtodecodekeystring,thekeystringmaybeinvalid.
[Huawei-rsa-public-key]
17.5、退出公共密钥视图
[Huawei-rsa-public-key]peer-public-keyend
[Huawei]
17.6、为SSH用户分配RSA或DSA公钥
[Huawei]sshuseradminassigndsa-keyadmin
升级会员 