h3c交换机SSH配置方法.doc

h3c交换机SSH配置方法1、生成密钥rsa local-key-pair create2、创建SSH用户local-user ssh password cipher h3c_*)!%service-type ssh level 3 quit3、指定SSH用户认证方式及服务类型ssh user ssh authentication-type password ssh user ssh service-type stelnet4、在VTY接口下指定用SSH协议登陆user-interface vty 0 authentication-mode scheme protocol inbound ssh quit3. 配置步骤(1) 配置SSH服务器Switch# 生成RSA密钥对，并启动SSH服务器。 system-viewSwitch public-key local create rsaSwitch ssh server enable# 配置VLAN接口1的IP地址，客户端将通过该地址连接SSH服务器。Switch interface vlan-interface 1Switch-Vlan-interface1 ip address 0 Switch-Vlan-interface1 quit# 设置SSH客户端登录用户界面的认证方式为AAA认证。Switch user-interface vty 0 4Switch-ui-vty0-4 authentication-mode scheme# 设置Switch上远程用户登录协议为SSH。Switch-ui-vty0-4 protocol inbound sshSwitch-ui-vty0-4 quit# 创建本地用户client001，并设置用户访问的命令级别为3。Switch local-user client001Switch-luser-client001 password simple aabbccSwitch-luser-client001 service-type ssh level 3Switch-luser-client001 quit# 配置SSH用户client001的服务类型为Stelnet，认证方式为password认证。Switch ssh user client001 service-type stelnet authentication-type password启动SSH服务器后，必须设置系统支持SSH远程登录协议。配置结果在下次登录请求时生效。表1-3 配置SSH客户端登录时的用户界面所支持的协议操作命令说明进入系统视图system-view-进入单一或多个用户界面视图user-interface type-keyword number ending-number 必选配置登录用户界面的认证方式authentication-mode scheme command-authorization 必选配置所在用户界面支持的协议protocol inbound all | ssh | telnet 可选缺省情况下，系统支持所有的协议，即支持Telnet和SSH 注意：l 如果在该用户界面上配置支持的协议是SSH，为确保登录成功，务必使用authentication-mode scheme命令配置相应的认证方式。l 如果某用户界面已经配置成支持SSH协议，则在此用户界面上配置authentication-mode password和authentication-mode none将失败。1.3.3 生成、销毁或导出RSA密钥生成服务器端的RSA密钥是完成SSH登录的必要操作。在使能SSH的情况下，如果没有生成RSA主机密钥对和服务器密钥对，仍然不能通过SSH登录。对于已经生成的RSA密钥对，可以根据指定格式在屏幕上显示RSA主机公钥或导出RSA主机公钥到指定文件，从而为在远端配置RSA主机公钥作准备。表1-4 生成主机密钥对和服务器密钥对操作命令说明进入系统视图system-view-生成RSA主机密钥对和服务器密钥对rsa local-key-pair create必选 注意：在使能SSH的情况下，如果没有生成RSA主机密钥对和服务器密钥对，仍然不能通过SSH登录。表1-5 销毁主机密钥对和服务器密钥对操作命令说明进入系统视图system-view-销毁RSA主机密钥对和服务器密钥对rsa local-key-pair destroy可选表1-6 导出主机公钥操作命令说明根据指定格式在屏幕上显示RSA主机公钥或导出RSA主机公钥到指定文件rsa local-key-pair export ssh1 | ssh2 | openssh filename 可选该命令可在任意视图下执行 注意：l rsa local-key-pair create命令只需执行一遍，交换机重启后不必再次执行。l 服务器密钥和主机密钥的最小长度为512位，最大长度为2048位。在SSH2中，有的客户端要求服务器端生成的密钥长度必须大于或等于768位。l 如果已配置过密钥对，再次配置时系统会提示是否进行替换。1.3.4 配置SSH用户的认证方式配置的认证方式在下次登录时生效。表1-7 配置SSH用户的认证方式操作命令说明进入系统视图system-view-为SSH用户配置认证方式ssh user username authentication-type password | rsa | password-publickey | all 可选缺省情况下，系统指定用户的认证方式为RSA认证 注意：对于使用RSA认证方式的用户，必须在设备上配置相应的用户及其公钥。对于使用password认证方式的用户，用户的账号信息可以配置在设备或者远程认证服务器（如RADIUS认证服务器）上。1.3.5 配置SSH用户的服务类型表1-8 配置SSH用户的服务类型操作命令说明进入系统视图system-view-为某一特定的用户指定服务类型ssh user username service-type stelnet | sftp | all 必选缺省情况下，系统缺省的服务类型为stelnet 注意：l 进行SFTP登录时，必须设置用户的服务类型为sftp或者all。l 不需要使用SFTP服务时，SSH用户的类型设置为stelnet或者all。1.3.6 配置服务器上的SSH管理功能SSH的管理功能包括：l 设置SSH服务器是否兼容SSH1l 设置服务器密钥的定时更新时间l 设置SSH认证的超时时间l 设置SSH用户请求连接的认证尝试次数通过定时更新服务器密钥以及对用户认证时间、认证次数的限制，可以防止恶意地对密钥和用户名的猜测和破解，从而提高了SSH连接的安全性。表1-9 配置服务器上的SSH管理功能操作命令说明进入系统视图system-view-设置SSH服务器是否兼容SSH1ssh server compatible-ssh1x enable可选缺省情况下，SSH服务器兼容SSH1设置服务器密钥对的更新时间ssh server rekey-interval hours可选缺省情况下，系统不更新服务器密钥对设置SSH用户的认证超时时间ssh server authentication-timeout time-out-value可选缺省情况下，SSH用户的认证超时时间为60秒设置SSH认证尝试次数ssh server authentication-retries times可选缺省情况下，SSH连接认证尝试次数为3次1.3.7 配置客户端的RSA公钥本配置适用于对SSH用户采用RSA认证的情况。如果设备上对SSH用户配置的认证方式为password认证，则不必进行本配置。在设备上配置的是客户端SSH用户的RSA公钥。而在客户端，需要为该SSH用户指定与RSA公钥对应的RSA私钥。客户端的密钥对是由支持SSH的客户端软件随机生成的。可以通过手工配置和从公钥文件中导入这两种方式来配置客户端的RSA公钥。当用户执行从公钥文件中导入客户端RSA公钥的命令时，系统会自动对由客户端软件生成的公钥文件进行格式转换（转换为PKCS标准编码形式，Public Key Cryptography Standards，公共密钥加密标准），并实现客户端公钥的配置。这种方式需要客户端事先将RSA密钥的公钥文件通过FTP/TFTP方式上传到服务器端。 注意：l 设备作为SSH服务器时，无法通过Secure CRT 4.07将客户端公钥上传到服务器端。l 可以通过配置ssh user assign rsa-key、ssh user authentication-type、ssh user service-type中的任何一条命令来创建SSH用户，SSH用户最多只能创建1024个，其缺省配置认证方式为RSA，服务类型为stelnet。l 如果没有创建SSH用户，只要本地用户存在，且设置的服务类型为SSH，则SSH客户端仍然可以通过该用户登录SSH服务器，此时缺省认证方式为password认证，SSH服务类型为stelnet。表1-10 手工配置客户端的RSA公钥操作命令说明进入系统视图system-view-进入公共密钥视图rsa peer-public-key keyname必选进入公共密钥编辑视图public-key-code begin-配置客户端的公钥直接输入公钥内容-在输入公钥内容时，字符之间可以有空格，也可以按回车键继续输入数据，所配置的公钥必须是按公钥格式编码的十六进制字符串退出公共密钥编辑视图，退回到公共密钥视图public-key-code end-退出视图时，系统自动保存配置的公钥密钥退出公共密钥视图，退回到系统视图peer-public-key end-为SSH用户分配公共密钥ssh