华为交换机配置SSH登陆方法

hex 308186
hex 028180
hex 91ADC5A6 7C855676 2958E6E9 960559D6 3F606C86 5BE1C74C EA313F81
hex BAC7437D 297A422C 8A0D9C9E AAC8276D E0DC21B9 DCA937C2 846AFFDF
peer-public-key end
#
rsa local-key-pair create
#
ssh user adm assign rsa-key p1
ssh user adm authentication-type rsa
#
user-interface vty 0 4
[Quidway] ssh user client001 authentication-type password
SSH的认证超时时间、重试次数以及服务器密钥更新时间可以采取系统默认值，这些配置完成以后，您就可以在其它与以太网交换机连接的终端上，运行支持SSH1.5的客户端软件，以用户名client001，密码huawei，访问以太网交换机了。
local-user adm service-type operator ssh password simple adm
# 设置系统所支持的远程登录协议SSH及最大连接数5[0-5可选，并可选择附加acl规则]
protocol inbound ssh 5
# 产生本地RSA密钥对，但是disp current-configuration此命令是不显示的。
# 设置SSH验证重试次数，系统默认的验证重试次数为3。
ssh server authentication-retries times

设置VTY用户界面AAA验证方式：system-viewuser-interfacevty 0 4Authentication-mode aaaquitaaalocal-user user-name password cipher passwordlocal-user user-name service-type ssh配置VTY用户密码验证方式system-viewuser-interfacevty numberauthentication-mode passwordset authenticationpassword【cipher password】配置VTY用户优先级system-viewuser-interface vty interface-numberuser privilege lever level配置VTY用户通过STelnet方式登录1、配置VTY 用户界面的用户级别和验证方式system-viewuser-interfacevty 0 4Authentication-mode aaaquitaaalocal-user user-name password cipher passwordlocal-user user-name service-type ssh2、配置VTY 用户界面支持SSH 协议system-viewuser-interfacevty 0 4authentication-modeaaaprotocol inboundssh3、配置ssh用户并指定服务方式system-viewssh user user-name #创建ssh用户rsa local-key-pair create或dsa local-key-pair create #产生RSA或DSA密钥对ssh user user-name authentication-type{password|rsa|password-rsa|all |dsa | password-dsa }#配置SSH 用户的认证方式ssh user username service-type { stelnet | all } #配置Stelnet用户服务方式为说telnet或all4、使能Stelnet服务器功能system-viewstelnet server enable。

利用华为交换机配置SSH登录SSH是在传统的Telnet协议之基础上发展起来的一种安全的远程登录协议。

相比于Telnet，SSH无论是在认证方式或者数据传输的安全性上，都有很大的提高。

步骤一、生成本地密钥对[Huawei]rsa local-key-pair createThe key name will be: Huawei_HostThe range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512,it will take a few minutes.Input the bits in the modulus[default = 512]:1024Generating keys...............................++++++...++++++..++++++++......++++++++步骤二、配置VTY用户界面[Huawei]user-interface vty 0 4[Huawei-ui-vty0-4]authentication-mode aaa[Huawei-ui-vty0-4]protocol inbound ssh[Huawei-ui-vty0-4]quit步骤三、创建SSH用户，并配置用户的认证方式为password[Huawei]ssh user shxke authentication-type password步骤四、配置SSH用户的用户名和密码[Huawei]aaa[Huawei-aaa]local-user shxke password cipher shxke Info: Add a new user.[Huawei-aaa]local-user shxke privilege level 3 [Huawei-aaa]local-user shxke service-type ssh[Huawei-aaa]quit步骤五、使能STelent功能，并配置用户的服务类型为STelnet [Huawei]stelnet server enableInfo: Succeeded in starting the Stelnet server. [Huawei]ssh user shxke service-type stelnet配置完成。

1.查看SSH状态信息
HW_FW]display ssh server status
21:19:13 2014/06/02
SSH version : 1.99
SSH connection timeout : 60 seconds
* Notice: *
* This is a private communication system. *
* Unauthorized access or use may lead to prosecution. *
LAB2： 配置SSH登陆（Passworkd认证）
1.配置VTY界面的认证方式和协议
[HW_FW]user-interface vty 0 4
[HW_FW-ui-vty0-4]authentication-mode aaa
[HW_FW-ui-vty0-4]protocol inbound ssh
2.查看SSH用户信息
[HW_FW]display ssh user-information
User 1:
User Name : cisco
Authentication-type : password
User-public-key-name : -
户的SFTP服务授权目录。
7.SSH Client通过STtelnet/SFTP方式连接SSH Server
a.第一次登录，需要激活SSH客户端首次认证功能
[R1]ssh client first-time enable
[SSH.C]stelnet 202.100.1.10
22:00:53 2014/06/02
Sftp-directory : -

Stelnet(ssh)登陆华为交换机配置教程使用STelnet V1协议存在安全风险，建议使用STelnet V2登录设备。

通过STelnet登录设备的缺省值参数缺省值STelnet服务器功能关闭SSH服务器端口号22SSH服务器密钥对的更新周期0小时，表示永不更新SSH连接认证超时时间60秒SSH连接的认证重试次数3SSH服务器兼容低版本功能使能VTY用户界面的认证方式没有配置认证方式VTY用户界面所支持的协议Telnet协议SSH用户的认证方式认证方式是空，即不支持任何认证方式SSH用户的服务方式服务方式是空，即不支持任何服务方式SSH服务器为用户分配公钥没有为用户分配公钥用户级别VTY用户界面对应的默认命令访问级别是0 1、生成本地密钥对密钥保存在交换机中单不保存在配置文件中[Huawei]rsa ?key-pair RSA key pairlocal-key-pair Local RSA public key pair operationspeer-public-key Remote peer RSA public key configuration[Huawei]rsa local-key-pair ?create Create new local public key pairsdestroy Destroy the local public key pairs # 销毁本地密钥对[Huawei]rsa local-key-pair createThe key name will be: Huawei_HostThe range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512,it will take a few minutes.Input the bits in the modulus[default = 512]:1024 # 密钥对长度越大，密钥对安全性就越好，建议使用最大的密钥对长度Generating keys..........++++++.++++++ ........................++++++++..........++++++++或[Huawei]dsa local-key-pair ?create Create a new local key-pairdestroy Destroy the local key-pair[Huawei]dsa local-key-pair createInfo: The key name will be: Huawei_Host_DSA.Info: The key modulus can be any one of the following : 512, 1024, 2048. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [default=512]:1024Info: Generating keys...Info: Succeeded in creating the DSA host keys.----------------------查看密钥对-----------------------[Huawei]display dsa local-key-pair public============================================== =======Time of Key pair created: 11:37:32 2016/3/30Key name : Huawei_Host_DSAKey modulus : 1024Key type : DSA encryption Key============================================== =======Key code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ost public key for PEM format code:---- BEGIN SSH2 PUBLIC KEY ----AAAAB3NzaC1kc3MAAACBAKScXq+QbICxxHTMsNR8aWUi3888lgK62P zo9+N6ab4YjLfYWGtQ7rxUv7CJYaDdMV9/MIDw20fk7NzBDn7BjTE1zXj34AL7a0y1m6 XizbiYQ/rQWZi47qjnOV/Hyp0WVUeSc2iZFK8JbP3BJWzIoH/d3mA78xxOpAt1K seBfod/AAAAFQDLxcC8LXtt/hWn+aNvbtFbbsyfJwAAAIBtMgLnTcrF25cDQwWN ef2ydtXKosjQDD1mb2HU8uNkRUAn/QQNYbKjrzzta8Nsxo3o3zX5+vgC7XO8vWb FWuD2aVMMFBszpaHPd9Y2daXvOyZKtm4qjP+xaQ5F+G+s8bPioRMowUun88oNGYs +2UNoRbpeifGtt570WfgmuaXPbQAAAIB/N5xGhTKNzvlgOpIu8P9IhMdWDtPgZgy37 S+EOSGf62G95lr5tV1FruhEX/o/Nq06UxDSNiFK8WGfYcsxmAru5Na9mIAD6QOP1 UkzJpSMh80/frznvquQnko/ytkq9w8k5pYRLSVzxxoZqkOpqvgLOm87N8tzcQJ0TQ pJ+WNmgA==---- END SSH2 PUBLIC KEY ----Public key code for pasting into OpenSSH authorized_keys file :ssh-dssAAAAB3NzaC1kc3MAAACBAKScXq+QbICxxHTMsNR8aWUi3888lgK62P zo9+N6ab4YjLfYWGtQ7rxUv7CJYaDdMV9/MIDw20fk7NzBDn7BjTE1zXj34AL7a0y1m6XizbiYQ/r QWZi47qjnOV/Hyp0WVUeSc2iZFK8JbP3BJWzIoH/d3mA78xxOpAt1KseBfod/AAAAFQDLxcC8LXtt/h Wn+aNvbtFbbsyfJwAAAIBtMgLnTcrF25cDQwWNef2ydtXKosjQDD1mb2HU8uNkRUAn/QQNYbKjrzz ta8Nsxo3o3zX5+vgC7XO8vWbFWuD2aVMMFBszpaHPd9Y2daXvOyZKtm4qjP+xaQ5F+G+s8bPioRMow Uun88oNGYs+2UNoRbpeifGtt570WfgmuaXPbQAAAIB/N5xGhTKNzvlgOpIu8P9IhMdWDtPgZgy37S+EOSG f62G95lr5tV1FruhEX/o/Nq06UxDSNiFK8WGfYcsxmAru5Na9mIAD6QOP1UkzJpSMh80/frznvquQnko/ ytkq9w8k5pYRLSVzxxoZqkOpqvgLOm87N8tzcQJ0TQpJ+WNmgA== dsa-key[Huawei]2、打开STelnet服务器功能[Huawei]stelnet server enable3、配置SSH服务器端口号[Huawei]ssh server port ?INTEGER<22,1025-55535> Set the port number, the default value is 224、配置密钥对更新时间[Huawei]ssh server rekey-interval ?INTEGER<0-24> Set the interval (in hours), the default value is 0, which means the server will not generate the new key automatically5、配置SSH认证超时时间[Huawei]ssh server timeout ?INTEGER<1-120> Set the authentication timeout, the default value is 60 seconds6、配置SSH认证重试次数配置SSH认证重试次数用来设置SSH用户请求连接的认证重试次数，防止非法用户登录。

domain system#local-user huawei /创建本地帐号“huawei”/password simple huawei /设置密码为“huawei”/service-type ssh /设置服务类型为ssh/level 3 /设置用户优先级为3/##interface NULL0#ssh user huawei authentication-type password /配置SSH用户验证方式为password/ ssh user huawei service-type stelnet /配置SSH用户服务类型为stelnet/#user-interface vty 0 4authentication-mode scheme /设置scheme认证/#return【验证】1、生成本地RSA主机密钥对和服务器密钥对[Quidway]rsa local-key-pair createThe key name will be: Quidway_HostThe range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512,It will take a few minutes.Input the bits in the modulus[default = 512]: /主机密钥的缺省位数为512位/ Generating keys.................++++++++++++.++++++++++++....................++++++++.......++++++++2、使用SSH client软件，输入“huawei/huawei”可以成功登录系统关闭telnet protocol inbound telnet 0三配置步骤：1生成本地RSA密钥。

配置通过STelnet登录设备示例组网需求如图1所示，用户希望安全的远程登录设备，但是Telnet缺少安全的认证方式，用户可以通过STelnet方式进行远程的安全登录。

终端PC和SSH服务器之间路由可达，10.137.217.203是SSH服务器的管理口IP地址。

在SSH服务器端配置用户client001，PC使用client001用户通过Password认证方式登录SSH服务器。

图1 配置用户通过STelnet登录设备组网图说明：使用STelnet V1协议存在安全风险，建议使用STelnet V2登录设备。

配置思路采用如下的思路配置用户通过STelnet登录设备：1.PC端已安装登录SSH服务器软件。

2.在SSH服务器端生成本地密钥对，实现在服务器端和客户端进行安全地数据交互。

3.在SSH服务器端配置SSH用户client001。

4.在SSH服务器端开启STelnet服务功能。

5.在SSH服务器端配置SSH用户client001服务方式为STelnet。

6.用户client001以STelnet方式登录SSH服务器。

操作步骤1.在服务器端生成本地密钥对2.<HUAWEI> system-view3.[HUAWEI] sysname SSH_Server4.[SSH_Server] dsa local-key-pair create: The key name will be:HUAWEI_Host_DSA.: The key modulus can be any one of the following : 512, 1024,2048.: If the key modulus is greater than 512, it may take a fewminutes.8.Please input the modulus[default=2048]:: Generatingkeys...Info: Succeeded in creating the DSA host keys.10.在服务器端创建SSH用户# 配置VTY用户界面。

华为交换机配置SSH登陆方法一、配置设备基本信息首先，我们需要对华为交换机进行一些基本的配置，包括设置设备名称、域名和管理口IP地址等信息。

可通过以下命令进行配置：sysname 设备名称domain domain-name 域名interface 接口名称ip address ip-address { mask ， mask-length }其中，设备名称为自定义的名称，域名为网络中的域名，IP地址为管理口的IP地址。

配置完成后，可以通过display current-configuration命令来查看当前的配置信息。

二、生成SSH密钥对生成SSH密钥对是配置SSH登录的重要步骤。

华为交换机支持RSA、DSA和ECDSA等多种加密算法。

以下是生成RSA密钥对的命令示例：sysname 设备名称user-interface vty 0 4ssh authentication-type rsa生成密钥对的具体步骤如下：1.创建RSA密钥对：rsa local-key-pair create创建密钥对时，系统会要求设置密钥长度，可以根据实际需求选择合适的长度。

2.显示密钥对信息：display rsa local-key-pair该命令可以查看当前设备的RSA密钥对信息。

3.导出密钥对到文件：rsa export local-key-pair file file-name通过该命令可以将生成的密钥对保存到文件中，方便备份和导入到其他设备中。

三、配置SSH登录在华为交换机上配置SSH登录，需要设置SSH服务参数、用户权限和登录方式等。

以下是配置SSH登录的命令示例：sysname 设备名称ssh server enablessh authentication-type default allssh user 用户名 authentication-type aaassh user 用户名 service-type stelnet其中，第一条命令用于启用SSH服务，第二条命令设置默认认证方式为全部认证（包括密码和密钥认证），第三条命令设置用户的认证方式为AAA认证，第四条命令设置用户的服务类型为STelnet。

华为交换机s5700 SSH 配置需求：PC机客户端通过SSH能够远程登录交换机进行远程管理。

步骤一,生成本地密钥对：[test]rsa local-key-pair createThe key name will be: Auotnavi-callcenter-01_HostThe range of public key size is (512 ~ 2048).NOTES: If the key modulus is greater than 512,It will take a few minutes.Input the bits in the modulus[default = 512]:1024Generating keys....++++++............++++++...............++++++++.++++++++步骤二，配置VTY用户界面：[Auotnavi-callcenter-01]user[Auotnavi-callcenter-01]user-interface vty 0 4[Auotnavi-callcenter-01-ui-vty0-4]authentication-mode aaa[Auotnavi-callcenter-01-ui-vty0-4]protocol inbound ssh步骤三，创建SSH用户及密码#aaa#local-user root password simple 123456#local-user root privilege level 3#local-user root service-type ssh步骤四: 配置ssh用户的认证方式和服务方式[Quidway] ssh user 用户名authentication-type password或[Quidway] ssh authentication-type default password #如果用户过多可直接设置默认的认证方式[Quidway] ssh user username service-type {sftp | stelnet | all } #这步骤没有配置，可能出现server refused to start a shell/command.步骤五：使能ssh服务[Quidway] stelnet server enable。

华为交换机S5700设置远程sshtelnet登录AAA是指：authentication（认证）、authorization（授权）、accounting（计费）的简称，是⽹络安全的⼀种管理机制；Authentication是本地认证/授权，authorization和accounting是由远处radius（远程拨号认证系统）服务或hwtacacs（华为终端访问控制系统）服务器完成认证/授权；AAA是基于⽤户进⾏认证、授权、计费的，⽽NAC⽅案是基于接⼊设备接⼝进⾏认证的,在实际应⽤中，可以使⽤AAA的⼀种或两种服务如果是⼀台刚初始化过的华为交换机，需要输⼊两次相同的密码作为登录交换机的登录密码交换机上有console 端⼝ MEth管理端⼝ usb端⼝通过串⼝线配置S5700 的管理IP地址，串⼝线接在交换机的console⼝，ip设置完成后⽹线接在ETH⼝：<Quidway> system-view[Quidway] interface MEth 0/0/1[Quidway] interface MEth 0/0/1[Quidway-MEth0/0/1]ip address x.x.x.x 255.255.255.0 ///设置MEth管理端⼝的ip地址[Quidway-MEth0/0/1]quit[Quidway]ip route-static 0.0.0.0 0.0.0.0 x.x.x.x（gateway）[Quidway-MEth0/0/1]display ip interface MEth 0/0/1 ///查看MEth管理端⼝的配置信息[Quidway]添加⽤户,设置ssh telent远程登录<Quidway> system-view ///进⼊系统配置模式[Quidway]aaa ///进⼊AAA模式[Quidway-aaa]local-user chy password cipher qaz123456 ///设置本地⽤户名和密码 cipher加密[Quidway-aaa]local-user chy service-type ssh telnet ///设置⽤户设置登录ssh telnet服务[Quidway-aaa]display ssh server status ///查看ssh服务是否⽣效[Quidway-aaa]display telnet server status ///查看telnet服务是否⽣效[Quidway-aaa]local-user chy privilege level 15 ///设置⽤户级别[Quidway-aaa]q ///退出AAA模式设置vty 0 4远程登陆的虚拟端⼝VTY是路由器的远程登陆的虚拟端⼝，0 4表⽰可以同时打开5个会话，line vty 0 4是进⼊VTY端⼝，对VTY端⼝进⾏配置，⽐如说配置密码，或者ACL.[Quidway]user-interface vty 0 4 ///进⼊vty 0 4远程虚拟端⼝[Quidway-ui-vty0-4]authentication-mode aaa ///为虚拟⽤户终端配置AAA⾝份验证模式[Quidway-ui-vty0-4]user privilege level 15 ///为虚拟⽤户终端配置⽤户级别[Quidway-ui-vty0-4]protocol inbound all ///为虚拟⽤户终端配置使⽤的协议，all即都⽀持[Quidway-ui-vty0-4]protocol inbound telnet ///为虚拟⽤户终端配置telnet协议，即可以使⽤telnet远程登录[Quidway-ui-vty0-4]protocol inbound ssh ///为虚拟⽤户终端配置ssh协议，即⽤户可以使⽤ssh远程登录[Quidway]ssh user chy authentication-type password ///为chy⽤户设置ssh认证为password，此命令对设置单⼀⽤户设置来说⽐较实⽤[Quidway]ssh authentication-type default password ///设置ssh默认的认证⽅式为密码认证，对设置多个⽤户来说很实⽤[Quidway]ssh user chy service-type stelnet ///为chy⽤户设置ssh认证服务类型为stelnet[Quidway]display ssh user-information chy ///查看ssh服务chy⽤户的配置信息[Quidway]q ///退出系统设置视图<Quidway>save ///保存设置配置登陆IP地址<Quidway> system-view //进⼊系统配置模式[Quidway]interface Vlanif 1 //进⼊三层 vlanif 接⼝[Quidway-Vlanif1]ip address 192.168.0.1 255.255.255.0 //配置管理 IP 地址创建web登录管理账号[Quidway]http server enable ///系统视图下开启http服务[Quidway]http secure-server enable ///系统视图下开启http安全服务即https[Quidway]aaa //系统视图下进⼊aaa模式[Quidway-aaa]local-user admin privilege level 15 ///配置 http 登录名权限[Quidway-aaa]local-user admin service-type http /// 开启 http 登录服务[Quidway-aaa]quit /// 退出aaa模式创建vlan<Quidway>system-view ///进⼊系统配置模式[Quidway]vlan 10 ///创建vlan 10[Quidway-vlan10]quit ///退出系统配置模式[Quidway]interface Vlanif 10 ///进⼊配置vlan 10的模式[Quidway-Vlanif10]ip address 192.168.0.1 255.255.255.0 ///为vlan 10配置IP地址和掩码[Quidway-vlan10]quit ///退出系统配置模式[Quidway-GigabitEthernet0/0/2] ///进⼊端⼝2[Quidway-GigabitEthernet0/0/2]port link-type access ///端⼝类型设置为access[Quidway-GigabitEthernet0/0/2]port default vlan 10 ///将port加⼊到我们创建好的vlan 10[Quidway-GigabitEthernet0/0/2]display vlan ///查看配置的vlan信息[Quidway]q ///退出系统设置视图批量创建vlan<Quidway>system-view ///进⼊系统配置模式[Quidway]vlan batch 2 to 19 ///批量创建vlan 2-19 ，系统都会有⼀个默认的vlan 1 [Quidway]display vlan ///查看vlan信息[Quidway]q ///退出系统设置视图批量删除vlan<Quidway>system-view ///进⼊系统配置模式[Quidway]undo vlan batch 2 to 19 ///批量删除vlan 2-19 ，系统都会有⼀个默认的vlan 1[Quidway]display vlan ///查看vlan信息[Quidway]q ///退出系统设置视图批量把端⼝加⼊到vlan 10<Quidway>system-view ///进⼊系统配置模式[Quidway]interface range GigabitEthernet 0/0/1 to GigabitEthernet 0/0/6///将1⼝到6⼝添加到port-group，此处系统默认的给1⼝到6⼝添加到1个组⾥了。

HC路由器交换机SSH配置步骤配置SSH（Secure Shell）是为了通过加密通信方式远程管理和维护网络设备。

下面是配置HC路由器和交换机SSH的步骤：1.登录设备首先，使用终端模拟器（如Putty、SecureCRT等）通过串口或Telnet方式登录到HC路由器或交换机。

2.进入特权模式输入用户名和密码以进入设备的用户模式。

然后，通过输入`enable`或`en`命令进入特权模式。

3.进入全局配置模式输入`configure terminal`或`conf t`命令，进入全局配置模式。

4.生成RSA密钥输入`crypto key generate rsa`命令，并选择密钥大小（通常为1024位或2048位）以生成RSA密钥对。

例如，输入`crypto key generate rsa modulus 2048`。

5.配置域名6.生成加密密钥输入`crypto key generate dsa`或`crypto key generate ecdsa`命令，根据设备支持的加密算法生成DSA或ECDSA密钥。

7.设置SSH版本输入`ip ssh version 2`命令，将SSH版本设置为2，这是较新且更安全的版本。

8.配置SSH登录方式输入`line vty 0 15`命令，进入设备的虚拟终端行配置模式。

然后，输入`login local`命令以使用本地数据库验证登录。

9.配置SSH超时时间10.配置SSH登录过期时间输入`aaa authentication login ssh local`命令，将SSH登录的过期时间设置为本地认证。

11.保存配置并退出输入`end`命令返回到全局配置模式，然后输入`write memory`或`copy running-config startup-config`命令，保存配置到闪存中。

12.测试SSH连接以上是在HC路由器和交换机中配置SSH的步骤。

配置完毕后，您将能够通过SSH安全地远程管理和维护这些网络设备。

华为交换机配置SSH登陆方法网络应用2008-04-06 12:15:43 阅读1093 评论3 字号：大中小订阅2.1 VRP1.74-01052.1.1 牛刀小试# 创建SSH用户，并配置相应的权限local-user huawei service-type administrator ssh password simple 3comlocal-user adm service-type operator ssh password simple adm# 设置系统所支持的远程登录协议SSH及最大连接数5[0-5可选，并可选择附加acl规则] protocol inbound ssh 5# 产生本地RSA密钥对rsa local-key-pair create# 配置SSH用户的验证方式为本地密码ssh user adm authentication-type passwordssh user huawei authentication-type password2.1.2 一夫当关# 创建SSH用户，并配置相应的权限local-user huawei service-type administrator ssh password simple 3comlocal-user adm service-type operator ssh password simple adm# 设置系统所支持的远程登录协议SSH及最大连接数5[0-5可选，并可选择附加acl规则] protocol inbound ssh 5# 产生本地RSA密钥对，但是disp current-configuration此命令是不显示的。

rsa local-key-pair create# 进入公共密钥视图，配置客户端产生的公钥，p1是名字，可以任意指定，密钥产生见下章# 配置的顺序一定不能颠倒，密钥的内容此处仅是举例，看过第三章请再配置rsa peer-public-key p1public-key-code beginhex 308186hex 028180hex 91ADC5A6 7C855676 2958E6E9 960559D6 3F606C86 5BE1C74C EA313F81hex BAC7437D 297A422C 8A0D9C9E AAC8276D E0DC21B9 DCA937C2 846AFFDFhex 987AEFE1 6204CC63 0C881FC1 7848297C 82B0B443 5EEDA260 27A7B744 hex 3280B68E 84194DCD 78D89B9E 35EF76C2 B382A538 80DBBA80 60219F04 hex E5034168 60EEC72A 53598B6F FB3A5365hex 0201hex 25public-key-code end# 配置SSH用户的验证方式为RSA方式，all同时包含了RSA和password方式ssh user adm authentication-type rsassh user huawei authentication-type all2.1.3 不要忘记# 本地管理员权限用户[使用console口登录]，这个不需密码local-user 3com service-type administrator# 本地管理员权限用户[使用console口登录]，这个需要密码local-user a service-type administrator password simple a# 既然配置成功了SSH，那就关掉telnet吧[允许telnet用户数为0]protocol inbound telnet 0#AAA需要打开aaa-enable2.1.4 选配的参数# 设置服务器密钥的更新时间，路由器缺省不对服务器密钥进行更新。

1.生产本地密钥对：<HUAWEI> system-view[HUAWEI] rsa local-key-pair create2.模数：10243.配置VTY用户界面：[HUAWEI] user-interface vty 0 4[HUAWEI-ui-vty0-4] authentication-mode aaa [HUAWEI-ui-vty0-4] protocol inbound ssh[HUAWEI-ui-vty0-4] quit4. 创建SSH用户，并配置用户的认证方式为password：[HUAWEI] ssh user client001 authentication-type password5.配置aaa：[HUAWEI] aaa[HUAWEI-aaa] local-user client001 password cipher huawei [HUAWEI-aaa] local-user client001 privilege level 3 [HUAWEI-aaa] local-user client001 service-type ssh6.使能STelent功能：[HUAWEI] stelnet server enable7.配置用户的服务类型为STelnet：[HUAWEI] ssh user client001 service-type stelnet8.客户端第一次登录：[HUAWEI] ssh client first-time enable(1) 配置SSH服务器Switch# 生成RSA及DSA密钥对，并启动SSH服务器。

<Switch> system-view[Switch] public-key local create rsa[Switch] public-key local create dsa[Switch] ssh server enable# 设置SSH客户端登录用户界面的认证方式为AAA认证。

华为S2000-HI系列SSH终端服务设置平时以CecureCRT软件为客户端登录交换机进行相应维护，校园网工程施工时对交换机只配置了本地口令认证，并且是以Telnet 方式登录。

为了增强网络设置安全性，提高业务水平，练习配置以SSH方式登录Quidway S2403H-HI交换机，经历了一些曲折，今天终于配置成功，现将配置过程记录如下：基础知识准备SSH是Secure Shell（安全外壳）的简称。

当用户通过一个不能保证安全的网络环境远程登录到交换机时，SSH特性可以提供安全的信息保障和强大的认证功能，以保护交换机不受诸如IP地址欺诈、明文密码截取等攻击。

交换机作为SSH Server，可以接受多个SSH 客户的连接，目前支持的版本是SSH2.0（兼容SSH1.5）；整改前只进行本地口令认证，涉及到的配置如下：#super password level 3 simple 123456#user-interface aux 0user-interface vty 0 4set authentication password simple 123456整改后1、不成功的设置过程。

现增加用户admin01，进行本地用户和口令认证，配置如下：local-user admin01password cipher admin02service-type telnet level 3service-type ssh level 3增加用户admin01后查看本地用户的使用情况：此时意外发现可以WEB方式登录交换机了。

2、参照随机光盘示例，配置如下：#设置用户接口上的认证模式为AAA认证[S2403]user-interface vty 0 4[S2403-ui-vty0-4]authentication-mode scheme#设置用户接口上支持SSH协议[S2403-ui-vty0-4] protocol inbound ssh#指定用户client001的登录协议为SSH，认证方式为password [S2403-ui-vty0-4] quit[S2403] local-user client001[S2403-luser-client001] password simple aabbcc[S2403-luser-client001] service-type ssh level 3[S2403-luser-client001] quit[S2403] ssh user client001 authentication-type password 总结：#设置用户接口上的认证模式为AAA认证[S2403]user-interface vty 0 4[S2403-ui-vty0-4]authentication-mode scheme这一步的配置，如#号后面所说：是设置用户接口上的认证模式为AAA认证。

h3c交换机SSH配置方法1、生成密钥rsa local-key-pair create2、创建SSH用户local-user sshpassword cipher h3c_^*)!!^%service-type ssh level 3quit3、指定SSH用户认证方式及服务类型ssh user ssh authentication-type passwordssh user ssh service-type stelnet4、在VTY接口下指定用SSH协议登陆user-interface vty 0authentication-mode schemeprotocol inbound sshquit3. 配置步骤(1)配置SSH服务器Switch# 生成RSA密钥对，并启动SSH服务器。

<Switch> system-view[Switch] public-key local create rsa[Switch] ssh server enable# 配置VLAN接口1的IP地址，客户端将通过该地址连接SSH服务器。

[Switch] interface vlan-interface 1[Switch-Vlan-interface1] ip address 192.168.1.40 255.255.255.0 [Switch-Vlan-interface1] quit# 设置SSH客户端登录用户界面的认证方式为AAA认证。

[Switch] user-interface vty 0 4[Switch-ui-vty0-4] authentication-mode scheme# 设置Switch上远程用户登录协议为SSH。

[Switch-ui-vty0-4] protocol inbound ssh[Switch-ui-vty0-4] quit# 创建本地用户client001，并设置用户访问的命令级别为3。

华为交换机配置SSH登录首先说一下配置的基本步骤1、虚拟终端VTY设置2、SSH用户设置3、SSH服务器设置下面具体说一下1、虚拟终端VTY设置[huawei]user-interface vty 4[huawei-ui-vty4]authentication-mode aaa#用户认证方式为AAA[huawei-ui-vty4]protocol inbound ssh#设置VTY只支持SSH协议，自动禁止telnet功能。

Inbound后面一共有三个参数 all允许所有协议， ssh只允许ssh协议，telnet 只允许telnet协议可根据情况自己选择。

2、SSH用户设置[huawei] ssh user sshuser authentication-type password#创建SSH用户并配置SSH用户的认证方式为password。

当用户使用Password认证方式时，需要在AAA视图下配置与SSH用户同名的本地用户。

[huawei]aaa#进入AAA配置模式[Huawei-aaa] local-user sshuser password simple 12345 privilege level 15 #创建本的用户sshuser 并设置密码方式为simple 密码为12345 等级为15。

#password 的参数有simple和cipher 一个是明文，一个是密文[Huawei-aaa]local-user sshuser service-type ssh#配置本地用户的服务方式为ssh。

[huawei]ssh user sshuser service-type stelnet#配置SSH用户的服务方式为stelnet。

3、SSH服务器设置[Huawei]stelnet server enable#使能stelnet服务[Huawei]rsa local-key-pair create#生成本地RSA或DSA密钥对到这里SSH登录的配置就已经完成了，上面的配置是最基本最简单的配置，有兴趣的同学可以去华为官网找相关资料仔细研究。