本节介绍了配置SSH的方法。SSH是在传统的Telnet协议之基础上发展起来的一种安全的远程登录协议。相比于Telnet,SSH无论是在认证方式或者数据传输的安全性上,都有很大的提高。
前提条件
图1 通过SSH登录设备组网图
在配置通过SSH登录设备之前,需要完成以下任务:
1、待调测设备运行正常。
2、 通过Console口方式预先正确配置待调测设备接口的IP地址。
3、 终端与待调测设备之间直连或有可达路由。
缺省情况下,用户可以通过管理网口使用STelnet方式直接登录设备。
设备上电后会自动将管理网口Ethernet0/0/0绑定到保留VPN(保留VPN为__LOCAL_OAM_VPN__),并为其配置固定IP地址192.168.0.1/24。
用户可以为终端配置192.168.0.0/24网段的任意其他IP,凭缺省用户名root、密码Changeme_123,通过SSH(STelnet)方式登录设备,实现对设备的现场维护。
在设备上进行业务配置后,需要及时修改用户名和密码。管理网口的IP可以修改和删除,并且根据需要关闭该接口。
请在作为SSH服务器的路由器上通过Console口进行如下的配置。
操作步骤
1、生成本地密钥对。
a. system-view,进入系统视图。
b. rsa local-key-pair create,产生本地RSA密钥对。
2、配置VTY用户界面支持SSH协议。
a. system-view,进入系统视图。
b. user-interface { vty first-ui-number | last-ui-number },进入VTY用户界面视图。
c. authentication-mode aaa,设置验证方式为AAA验证。
d. protocol inbound ssh,配置VTY支持SSH协议。
必须设置VTY用户界面验证方式为AAA验证,否则protocol inbound ssh将不能配置成功。
3、在系统视图下执行命令ssh user user-name,创建SSH用户。
4、在系统视图下执行命令ssh user user-name authentication-type { password | rsa | ecc | dsa | password-rsa | password-ecc | password-dsa | all },配置SSH用户的认证方式。
根据实际配置需要,选择如下操作之一:
- 配置对SSH用户进行密码验证。
ssh user user-name authentication-type password,对SSH用户配置密码验证。
ssh authentication-type default password,对SSH用户配置缺省密码验证。
采用本地认证或HWTACACS服务器认证时,如果用户数量少可以采用第一种配置;如果用户数量比较多,对SSH用户使用缺省密码验证方式可以简化配置。
- 配置对SSH用户进行RSA验证
说明:使用加密算法时,RSA(1024位以下)加密算法安全性低,存在安全风险,在协议支持的加密算法选择范围内,建议使用更安全的加密算法,比如RSA(2048位以上)。
a. ssh user user-name authentication-type rsa,对SSH用户配置RSA验证。
b. rsa peer-public-key key-name,进入公共密钥视图。
c. public-key-code begin,进入公共密钥编辑视图。
输入合法的密钥编码hex-data,编辑公共密钥。
d. public-key-code end ,退出公共密钥编辑视图。
如果未输入合法的密钥编码hex-data,执行peer-public-key end后,将无法生成密钥;如果第2步中指定的密key-name已经在别的窗口下被删除,再执行peer-public-key end时,系统会提示:密钥已经不存在,此时直接退到系统视图。
e. peer-public-key end,退出公共密钥视图,回到系统视图。
f. ssh user user-name assign rsa-key key-name,为SSH用户分配公钥。
5、如果创建认证方式为password或password-rsa的SSH用户,则还需要在AAA视图下创建同名的local-user用户。
a. 在系统视图下执行命令aaa,进入AAA视图。
b. local-user user-name password cipher password,配置本地用户名及密码。
密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。
c. local-user user-name level level,设置本地用户的用户优先级。
d. local-user user-name service-type ssh,设置本地用户的接入类型。
e. quit,退出AAA视图。
6、在系统视图下执行命令ssh user username service-type { sftp | stelnet | snetconf | all },配置SSH用户的服务方式。
7、 在系统视图下执行命令stelnet server enable,使能STelnet服务。
8、 在系统视图下执行命令commit,提交配置。
调测结果
通过SSH方式登录设备。本节仅介绍通过PuTTY软件登录设备的方法。
此处以待调测设备的IP地址192.168.1.1,SSH用户名client001,密码Root@123为例。
1. 如下图所示,指定设备的IP地址为192.168.1.1,并指定登录方式为SSH。
图2 PuTTY软件登录设备示例图
2. 输入用户名和密码,假设用户名client001,密码client001。
图3 PuTTY软件登录设备示例图
閱讀更多 美女鑑賞lsp 的文章
