设备作为SSH服务器配置举例(路由应用).doc

1.1 设备作为SSH服务器配置举例（路由应用）1.1.1 password认证配置举例1. 组网需求l Host与Router通过以太网口直接相连；l 在Host上运行SSH2.0的客户端软件可以安全地登录Router进行配置管理；l SSH用户采用的认证方式为password认证。2. 组网图图1-1 SSH本地配置组网图3. 配置步骤(1) 配置SSH服务器Router# 生成RSA及DSA密钥对，并启动SSH服务器。 system-viewRouter public-key local create rsaRouter public-key local create dsaRouter ssh server enable# 配置接口Ethernet1/1的IP地址，客户端将通过该地址连接SSH服务器。Router interface ethernet 1/1Router-Ethernet1/1 ip address 0 Router-Ethernet1/1 quit# 设置SSH客户端登录用户界面的认证方式为AAA认证。Router user-interface vty 0 4Router-ui-vty0-4 authentication-mode scheme# 设置Router上远程用户登录协议为SSH。Router-ui-vty0-4 protocol inbound sshRouter-ui-vty0-4 quit# 创建本地用户client001，并设置用户访问的命令级别为3。Router local-user client001Router-luser-client001 password simple aabbccRouter-luser-client001 service-type ssh level 3Router-luser-client001 quit# 配置SSH用户client001的服务器类型为Stelnet，认证方式为password认证。Router ssh user client001 service-type stelnet authentication-type password(2) 配置SSH客户端Host& 说明：SSH客户端软件有很多，例如PuTTY、OpenSSH等。本文中仅以客户端软件PuTTY0.58为例，说明SSH客户端的配置方法。# 建立与SSH服务器的连接。打开PuTTY.exe程序，出现如图1-3所示的客户端配置界面。在“Host Name（or IP address）”文本框中输入SSH服务器的IP地址为0。图1-2 SSH客户端配置界面在图1-3中，单击按钮。按提示输入用户名client001及密码aabbcc，即可进入Router的配置界面。1.1.2 publickey认证配置举例1. 组网需求l Host与Router通过以太网口直接相连；l 在Host上运行SSH2.0的客户端软件可以安全地登录Router进行配置管理；l SSH用户采用的认证方式为publickey认证，公共密钥算法为RSA。2. 组网图图1-3 SSH本地配置组网图3. 配置步骤(1) 配置SSH服务器Router# 生成RSA及DSA密钥对，并启动SSH服务器。 system-viewRouter public-key local create rsaRouter public-key local create dsaRouter ssh server enable# 配置接口Ethernet1/1的IP地址，客户端将通过该地址连接SSH服务器。Router interface ethernet 1/1Router-Ethernet1/1 ip address 0 Router-Ethernet1/1 quit# 设置用户接口上认证模式为AAA认证。Router user-interface vty 0 4Router-ui-vty0-4 authentication-mode scheme# 设置Router上远程用户登录协议为SSH。Router-ui-vty0-4 protocol inbound ssh# 设置用户能访问的命令级别为3。Router-ui-vty0-4 user privilege level 3Router-ui-vty0-4 quit& 说明：这时需要先在SSH客户端使用SSH客户端软件生成RSA密钥对，将生成的RSA公钥保存到指定文件中，并将此公钥文件通过FTP/TFTP方式上传到服务器端，文件名为key.pub。相关配置请参见客户端的配置。# 从文件key.pub中导入远端的公钥。Router public-key peer Router001 import sshkey key.pub# 设置SSH用户client002的认证方式为publickey，并指定公钥为Router001。Router ssh user client002 service-type stelnet authentication-type publickey assign publickey Router001(2) 配置SSH客户端Host# 生成RSA密钥对。运行PuTTYGen.exe，在参数栏中选择“SSH-2 RSA”，点击，产生客户端密钥对。图1-4 生成客户端密钥（1）在产生密钥对的过程中需不停的移动鼠标，鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地方，否则进程条的显示会不动，密钥对将停止产生，见图1-6。图1-5 生成客户端密钥（2）密钥对产生后，点击，输入存储公钥的文件名key.pub，点击保存。图1-6 生成客户端密钥（3）点击存储私钥，弹出警告框，提醒是否保存没做任何保护措施的私钥，点击，输入私钥文件名为private，点击保存。 图1-7 生成客户端密钥（4）& 说明：客户端生成密钥对后，需要将保存的公钥文件通过FTP/TFTP方式上传到服务器，并完成服务器的配置后，才可继续客户端的配置。# 指定私钥文件，并建立与SSH服务器的连接。打开PuTTY.exe程序，出现如图1-9所示的客户端配置界面。在“Host Name（or IP address）”文本框中输入SSH服务器的IP地址为0。图1-8 SSH客户端配置界