h3c交换机SSH配置方法

  • 格式:doc
  • 大小:98.50 KB
  • 文档页数:9

h3c交换机SSH配置方法
1、生成密钥
rsa local-key-pair create
2、创建SSH用户
local-user ssh
password cipher h3c_^*)!!^%
service-type ssh level 3
quit
3、指定SSH用户认证方式及服务类型
ssh user ssh authentication-type password
ssh user ssh service-type stelnet
4、在VTY接口下指定用SSH协议登陆
user-interface vty 0
authentication-mode scheme
protocol inbound ssh
quit
3. 配置步骤
(1)配置SSH服务器Switch
# 生成RSA密钥对,并启动SSH服务器。

<Switch> system-view
[Switch] public-key local create rsa
[Switch] ssh server enable
# 配置VLAN接口1的IP地址,客户端将通过该地址连接SSH服务器。

[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 192.168.1.40 255.255.255.0 [Switch-Vlan-interface1] quit
# 设置SSH客户端登录用户界面的认证方式为AAA认证。

[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
# 设置Switch上远程用户登录协议为SSH。

[Switch-ui-vty0-4] protocol inbound ssh
[Switch-ui-vty0-4] quit
# 创建本地用户client001,并设置用户访问的命令级别为3。

[Switch] local-user client001
[Switch-luser-client001] password simple aabbcc
[Switch-luser-client001] service-type ssh level 3
[Switch-luser-client001] quit
# 配置SSH用户client001的服务类型为Stelnet,认证方式为password认证。

[Switch] ssh user client001 service-type stelnet authentication-type password
启动SSH 服务器后,必须设置系统支持SSH 远程登录协议。

配置结果在下次登录请求时生效。

表1-3 配置SSH 客户端登录时的用户界面所支持的协议
注意:

如果在该用户界面上配置支持的协议是SSH ,为确保登录成功,务必使用authentication-mode scheme 命令配置相应的认证方式。


如果某用户界面已经配置成支持SSH 协议,则在此用户界面上配置
authentication-mode password 和authentication-mode none 将失败。

1.3.3 生成、销毁或导出RSA 密钥
生成服务器端的RSA 密钥是完成SSH 登录的必要操作。

在使能SSH 的情况下,如果没有生成RSA 主机密钥对和服务器密钥对,仍然不能通过SSH 登录。

对于已经生成的RSA 密钥对,可以根据指定格式在屏幕上显示RSA 主机公钥或导出RSA 主机公钥到指定文件,从而为在远端配置RSA 主机公钥作准备。

表1-4 生成主机密钥对和服务器密钥对
注意:
在使能SSH的情况下,如果没有生成RSA主机密钥对和服务器密钥对,仍然不能通过SSH登录。

表1-5 销毁主机密钥对和服务器密钥对
表1-6 导出主机公钥
注意:
●rsa local-key-pair create命令只需执行一遍,交换机重启后不必再次
执行。

●服务器密钥和主机密钥的最小长度为512位,最大长度为2048位。

在SSH2
中,有的客户端要求服务器端生成的密钥长度必须大于或等于768位。

●如果已配置过密钥对,再次配置时系统会提示是否进行替换。

1.3.4 配置SSH 用户的认证方式
配置的认证方式在下次登录时生效。

表1-7 配置SSH 用户的认证方式
注意:
对于使用RSA 认证方式的用户,必须在设备上配置相应的用户及其公钥。

对于使用password 认证方式的用户,用户的账号信息可以配置在设备或者远程认证服务器(如RADIUS 认证服务器)上。

1.3.5 配置SSH 用户的服务类型
表1-8
配置SSH
用户的服务类型
注意:

进行SFTP 登录时,必须设置用户的服务类型为sftp 或者all 。


不需要使用SFTP 服务时,SSH 用户的类型设置为stelnet 或者all 。

1.3.6 配置服务器上的SSH管理功能
SSH的管理功能包括:
●设置SSH服务器是否兼容SSH1
●设置服务器密钥的定时更新时间
●设置SSH认证的超时时间
●设置SSH用户请求连接的认证尝试次数
通过定时更新服务器密钥以及对用户认证时间、认证次数的限制,可以防止恶意地对密钥和用户名的猜测和破解,从而提高了SSH连接的安全性。

表1-9 配置服务器上的SSH管理功能
1.3.7 配置客户端的RSA公钥
本配置适用于对SSH用户采用RSA认证的情况。

如果设备上对SSH用户配置的认证方式为password认证,则不必进行本配置。

在设备上配置的是客户端SSH用户的RSA公钥。

而在客户端,需要为该SSH用户指定与RSA公钥对应的RSA私钥。

客户端的密钥对是由支持SSH的客户端软件随机生成的。

可以通过手工配置和从公钥文件中导入这两种方式来配置客户端的RSA公钥。

当用户执行从公钥文件中导入客户端RSA公钥的命令时,系统会自动对由客户端软件生成的公钥文件进行格式转换(转换为PKCS标准编码形式,Public Key Cryptography Standards,公共密钥加密标准),并实现客户端公钥的配置。

这种方式需要客户端事先将RSA密钥的公钥文件通过FTP/TFTP方式上传到服务器端。

注意:
●设备作为SSH服务器时,无法通过Secure CRT 4.07将客户端公钥上传到
服务器端。

●可以通过配置ssh user assign rsa-key、ssh user authentication-type、
ssh user service-type中的任何一条命令来创建SSH用户,SSH用户最多只能创建1024个,其缺省配置认证方式为RSA,服务类型为stelnet。

●如果没有创建SSH用户,只要本地用户存在,且设置的服务类型为SSH,
则SSH客户端仍然可以通过该用户登录SSH服务器,此时缺省认证方式为password认证,SSH服务类型为stelnet。

表1-10 手工配置客户端的RSA公钥
表1-11 从公钥文件中导入客户端的RSA公钥。