h3c交换机SSH配置方法

h3c交换机SSH配置方法

1、生成密钥

rsa local-key-pair create

2、创建SSH用户 local-user ssh

password cipher h3c_^*)!!^% service-type ssh level 3 quit

3、指定SSH用户认证方式及服务类型

ssh user ssh authentication-type password ssh user ssh service-type stelnet

4、在VTY接口下指定用SSH协议登陆 user-interface vty 0

authentication-mode scheme protocol inbound ssh quit

3. 配置步骤

(1) 配置SSH服务器Switch

# 生成RSA密钥对，并启动SSH服务器。 system-view

[Switch] public-key local create rsa [Switch] ssh server enable

# 配置VLAN接口1的IP地址，客户端将通过该地址连接SSH服务器。 [Switch] interface vlan-interface 1

[Switch-Vlan-interface1] ip address 192.168.1.40 255.255.255.0 [Switch-Vlan-interface1] quit

# 设置SSH客户端登录用户界面的认证方式为AAA认证。 [Switch] user-interface vty 0 4

[Switch-ui-vty0-4] authentication-mode scheme # 设置Switch上远程用户登录协议为SSH。 [Switch-ui-vty0-4] protocol inbound ssh [Switch-ui-vty0-4] quit

# 创建本地用户client001，并设置用户访问的命令级别为3。 [Switch] local-user client001

[Switch-luser-client001] password simple aabbcc [Switch-luser-client001] service-type ssh level 3 [Switch-luser-client001] quit

# 配置SSH用户client001的服务类型为Stelnet，认证方式为password认证。

[Switch] ssh user client001 service-type stelnet authentication-type password

启动SSH服务器后，必须设置系统支持SSH远程登录协议。配置结果在下次登录请求时生效。

表1-3 配置SSH客户端登录时的用户界面所支持的协议

操作 进入系统视图 进入单一或多个用户界面视图 配置登录用户界面的认证方式 命令 system-view user-interface [ type-keyword ] number [ ending-number ] authentication-mode scheme [ command-authorization ] 说明 - 必选 必选 可选 配置所在用户界面支持的协议 protocol inbound { all | 缺省情况下，系统支持所有的协ssh | telnet } 议，即支持Telnet和SSH

注意：

如果在该用户界面上配置支持的协议是SSH，为确保登录成功，务必使用authentication-mode scheme命令配置相应的认证方式。

?

如果某用户界面已经配置成支持SSH协议，则在此用户界面上配置

authentication-mode password和authentication-mode none将失败。

?

1.3.3 生成、销毁或导出RSA密钥

生成服务器端的RSA密钥是完成SSH登录的必要操作。在使能SSH的情况下，如果没有生成RSA主机密钥对和服务器密钥对，仍然不能通过SSH登录。

对于已经生成的RSA密钥对，可以根据指定格式在屏幕上显示RSA主机公钥或导出RSA主机公钥到指定文件，从而为在远端配置RSA主机公钥作准备。

表1-4 生成主机密钥对和服务器密钥对

操作 进入系统视图 命令 system-view 说明 - 操作 生成RSA主机密钥对和服务器密钥对

命令 rsa local-key-pair create 说明 必选 注意：

在使能SSH的情况下，如果没有生成RSA主机密钥对和服务器密钥对，仍然不能通过SSH登录。

表1-5 销毁主机密钥对和服务器密钥对

操作 进入系统视图 销毁RSA主机密钥对和服务器密钥对

命令 system-view rsa local-key-pair destroy 说明 - 可选 表1-6 导出主机公钥

操作 根据指定格式在屏幕上显示RSA主机公钥或导出RSA主机公钥到指定文件 命令 rsa local-key-pair export { ssh1 | ssh2 | openssh } [ filename ] 说明 可选 该命令可在任意视图下执行

注意：

rsa local-key-pair create命令只需执行一遍，交换机重启后不必再次执行。

?

服务器密钥和主机密钥的最小长度为512位，最大长度为2048位。在SSH2中，有的客户端要求服务器端生成的密钥长度必须大于或等于768位。

? ?

如果已配置过密钥对，再次配置时系统会提示是否进行替换。

1.3.4 配置SSH用户的认证方式

配置的认证方式在下次登录时生效。

表1-7 配置SSH用户的认证方式

操作 进入系统视图 为SSH用户配置认证方式 命令 system-view ssh user username authentication-type { password | rsa | password-publickey | all } 说明 - 可选 缺省情况下，系统指定用户的认证方式为RSA认证

注意：

对于使用RSA认证方式的用户，必须在设备上配置相应的用户及其公钥。对于使用password认证方式的用户，用户的账号信息可以配置在设备或者远程认证服务器（如RADIUS认证服务器）上。

1.3.5 配置SSH用户的服务类型

表1-8 配置SSH用户的服务类型

操作 进入系统视图 为某一特定的用户指定服务类型 命令 system-view 说明 - 必选 ssh user username service-type 缺省情况下，系统缺{ stelnet | sftp | 省的服务类型为all } stelnet

注意：

?

进行SFTP登录时，必须设置用户的服务类型为sftp或者all。 不需要使用SFTP服务时，SSH用户的类型设置为stelnet或者all。

?

1.3.6 配置服务器上的SSH管理功能

SSH的管理功能包括：

?

设置SSH服务器是否兼容SSH1 设置服务器密钥的定时更新时间 设置SSH认证的超时时间

设置SSH用户请求连接的认证尝试次数

?

?

?

通过定时更新服务器密钥以及对用户认证时间、认证次数的限制，可以防止恶意地对密钥和用户名的猜测和破解，从而提高了SSH连接的安全性。

表1-9 配置服务器上的SSH管理功能

操作 进入系统视图 设置SSH服务器是否兼容SSH1 命令 system-view ssh server compatible-ssh1x enable 说明 - 可选 缺省情况下，SSH服务器兼容SSH1 可选 缺省情况下，系统不更新服务器密钥对 可选 设置服务器密钥对的更新时间 ssh server rekey-interval hours 设置SSH用户的认证超时时间 设置SSH认证尝试次数 ssh server SSH用authentication-timeout 缺省情况下，户的认证超时时间time-out-value 为60秒 可选 ssh server SSH连authentication-retries 缺省情况下，接认证尝试次数为times 3次

1.3.7 配置客户端的RSA公钥

本配置适用于对SSH用户采用RSA认证的情况。如果设备上对SSH用户配置的认证方式为password认证，则不必进行本配置。

在设备上配置的是客户端SSH用户的RSA公钥。而在客户端，需要为该SSH用户指定与RSA公钥对应的RSA私钥。客户端的密钥对是由支持SSH的客户端软件随机生成的。 可以通过手工配置和从公钥文件中导入这两种方式来配置客户端的RSA公钥。当用户执行从公钥文件中导入客户端RSA公钥的命令时，系统会自动对由客户端软件生成的公钥文件进行格式转换（转换为PKCS标准编码形式，Public Key Cryptography Standards，公共密钥加密标准），并实现客户端公钥的配置。这种方式需要客户端事先将RSA密钥的公钥文件通过FTP/TFTP方式上传到服务器端。

注意：

设备作为SSH服务器时，无法通过Secure CRT 4.07将客户端公钥上传到服务器端。

?

可以通过配置ssh user assign rsa-key、ssh user authentication-type、ssh user service-type中的任何一条命令来创建SSH用户，SSH用户最多只能创建1024个，其缺省配置认证方式为RSA，服务类型为stelnet。

?

如果没有创建SSH用户，只要本地用户存在，且设置的服务类型为SSH，则SSH客户端仍然可以通过该用户登录SSH服务器，此时缺省认证方式为password认证，SSH服务类型为stelnet。

?

表1-10 手工配置客户端的RSA公钥

操作 进入系统视图 进入公共密钥视图 进入公共密钥编辑视图 命令 system-view rsa peer-public-key keyname public-key-code begin 说明 - 必选 - 操作 命令 说明 - 在输入公钥内容时，字符之间可以有空格，也可以按回车键继续输入数据，所配置的公钥必须是按公钥格式编码的十六进制字符串 - 配置客户端的公钥 直接输入公钥内容 退出公共密钥编辑视图，public-key-code end 退出视图时，系统退回到公共密钥视图 自动保存配置的公钥密钥 退出公共密钥视图，退回peer-public-key end - 到系统视图 必选 keyname为已经存为SSH用户分配公共密钥 ssh user username assign rsa-key keyname 在的公共密钥名称。使用该命令为用户分配公钥时，如果此用户已经被分配了公钥，则以最后一次分配的公钥为准

表1-11 从公钥文件中导入客户端的RSA公钥

操作 进入系统视图 从公钥文件中导入SSH用户的RSA公钥

命令 说明 system-view - rsa peer-public-key keyname import 必选 sshkey filename

本文来源：https://www.bwwdw.com/article/oa23.html