本節介紹了配置SSH的方法。SSH是在傳統的Telnet協議之基礎上發展起來的一種安全的遠程登錄協議。相比於Telnet,SSH無論是在認證方式或者數據傳輸的安全性上,都有很大的提高。
前提條件
圖1 通過SSH登錄設備組網圖
在配置通過SSH登錄設備之前,需要完成以下任務:
1、待調測設備運行正常。
2、 通過Console口方式預先正確配置待調測設備接口的IP地址。
3、 終端與待調測設備之間直連或有可達路由。
缺省情況下,用戶可以通過管理網口使用STelnet方式直接登錄設備。
設備上電後會自動將管理網口Ethernet0/0/0綁定到保留VPN(保留VPN為__LOCAL_OAM_VPN__),併為其配置固定IP地址192.168.0.1/24。
用戶可以為終端配置192.168.0.0/24網段的任意其他IP,憑缺省用戶名root、密碼Changeme_123,通過SSH(STelnet)方式登錄設備,實現對設備的現場維護。
在設備上進行業務配置後,需要及時修改用戶名和密碼。管理網口的IP可以修改和刪除,並且根據需要關閉該接口。
請在作為SSH服務器的路由器上通過Console口進行如下的配置。
操作步驟
1、生成本地密鑰對。
a. system-view,進入系統視圖。
b. rsa local-key-pair create,產生本地RSA密鑰對。
2、配置VTY用戶界面支持SSH協議。
a. system-view,進入系統視圖。
b. user-interface { vty first-ui-number | last-ui-number },進入VTY用戶界面視圖。
c. authentication-mode aaa,設置驗證方式為AAA驗證。
d. protocol inbound ssh,配置VTY支持SSH協議。
必須設置VTY用戶界面驗證方式為AAA驗證,否則protocol inbound ssh將不能配置成功。
3、在系統視圖下執行命令ssh user user-name,創建SSH用戶。
4、在系統視圖下執行命令ssh user user-name authentication-type { password | rsa | ecc | dsa | password-rsa | password-ecc | password-dsa | all },配置SSH用戶的認證方式。
根據實際配置需要,選擇如下操作之一:
- 配置對SSH用戶進行密碼驗證。
ssh user user-name authentication-type password,對SSH用戶配置密碼驗證。
ssh authentication-type default password,對SSH用戶配置缺省密碼驗證。
採用本地認證或HWTACACS服務器認證時,如果用戶數量少可以採用第一種配置;如果用戶數量比較多,對SSH用戶使用缺省密碼驗證方式可以簡化配置。
- 配置對SSH用戶進行RSA驗證
說明:使用加密算法時,RSA(1024位以下)加密算法安全性低,存在安全風險,在協議支持的加密算法選擇範圍內,建議使用更安全的加密算法,比如RSA(2048位以上)。
a. ssh user user-name authentication-type rsa,對SSH用戶配置RSA驗證。
b. rsa peer-public-key key-name,進入公共密鑰視圖。
c. public-key-code begin,進入公共密鑰編輯視圖。
輸入合法的密鑰編碼hex-data,編輯公共密鑰。
d. public-key-code end ,退出公共密鑰編輯視圖。
如果未輸入合法的密鑰編碼hex-data,執行peer-public-key end後,將無法生成密鑰;如果第2步中指定的密key-name已經在別的窗口下被刪除,再執行peer-public-key end時,系統會提示:密鑰已經不存在,此時直接退到系統視圖。
e. peer-public-key end,退出公共密鑰視圖,回到系統視圖。
f. ssh user user-name assign rsa-key key-name,為SSH用戶分配公鑰。
5、如果創建認證方式為password或password-rsa的SSH用戶,則還需要在AAA視圖下創建同名的local-user用戶。
a. 在系統視圖下執行命令aaa,進入AAA視圖。
b. local-user user-name password cipher password,配置本地用戶名及密碼。
密碼需要符合密碼複雜度規則:大寫、小寫、數字、特殊字符中至少有2種,並且長度不能小於8。
c. local-user user-name level level,設置本地用戶的用戶優先級。
d. local-user user-name service-type ssh,設置本地用戶的接入類型。
e. quit,退出AAA視圖。
6、在系統視圖下執行命令ssh user username service-type { sftp | stelnet | snetconf | all },配置SSH用戶的服務方式。
7、 在系統視圖下執行命令stelnet server enable,使能STelnet服務。
8、 在系統視圖下執行命令commit,提交配置。
調測結果
通過SSH方式登錄設備。本節僅介紹通過PuTTY軟件登錄設備的方法。
此處以待調測設備的IP地址192.168.1.1,SSH用戶名client001,密碼Root@123為例。
1. 如下圖所示,指定設備的IP地址為192.168.1.1,並指定登錄方式為SSH。
圖2 PuTTY軟件登錄設備示例圖
2. 輸入用戶名和密碼,假設用戶名client001,密碼client001。
圖3 PuTTY軟件登錄設備示例圖
閱讀更多 美女鑑賞lsp 的文章