赞
踩
注意,当你是telnet登录后,在新增ssh user这个的时后不可以telnet 是的用户,要使用 rsa local-key-pair creat后的新增用户ssh user **** 才可以成功
配置完成后记得保存,使用ssh登录测试,不要着急删除当前telnet用户,确保成功后在删除
理解下SSH登录的过程:
1、建立目的端口为22的TCP连接
2、协商SSH版本
3、协商密钥和算法
4、会话建立
下面为server端的详细配置步骤:
1、 首先开启ssh服务
stelent server enable
2、创建本地RSA密钥对
rsa local-key-pair creat //产生RSA本地密钥对
3、配置vty界面支持的登录协议
user-interface vty 0 4
authentication-mode aaa //验证方式为aaa
protocol inbound {ssh|all} //这里选择ssh或ALL都可最好选择ssh
4、进入aaa模式配置用户和用户权限以及登录方式
aaa
local-user xxk1(用户名) password cipher 123456789(密码)
local-user xxk1(用户名) privilege level 15
local-user xxk1(用户名) service-type ssh
5、ssh添加用户
ssh user xxk1(用户名) # 有的用户设置个不一定成功直接尝试输入下面这一条
ssh user xxk1(用户名) authentication-type password
ssh user xxk1(用户名) service-type stelnet
#如果ssh user xxk1 service-type stelnet不一定有,上面第3、(protocol inbound {ssh|all} )最后这条配置成功就好 protocol inbound
需要注意的是:新版本的交换机需要指定一个源地址登录设备,可以指定all或固定的vlanif接口地址(server-source all-interface)或者直接输入这条命令ssh server-source all-interface
原因解释:
正确配置SSH后不能正常登陆的原因是由于华为交换机高版本系统默认情况下禁止从所有接口远程登陆;即默认情况下,交换机中存在着以下命令:
undo ssh server-source all-interface
此条命令的意思为,交换机的所有接口拒绝SSH登陆;
解决方法:
在交换机上输入命令:ssh server-source all-interface
上面的命令表示交换机的所有接口都允许SSH远程接入;也可以指定只允许交换机的特定接口远程接入:ssh server-source -i interface-type interface-number;-i 表示只允许IPV4接入
注意,只允许特定接口接入SSH时,客户端必须要能访问到此接口的IP地址。
------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------
h3c v5交换机配置ssh
SSH配置
1、生成RSA和DSA密钥对
[H3C]public-key local create rsa
[H3C]public-key local create dsa
2、开启ssh服务
[H3C]ssh server enable
[H3C]user-interface vty 0 15
[H3C-ui-vty0-15]authentication-mode scheme
[H3C-ui-vty0-15] protocol inbound ssh
3、创建用户 创建用户admin,设置认证密码admin, 登录协议为SSH,能访问的命令级别为level 3。
[H3C]local-user admin class manage
[H3C-luser-admin]password simple admin
4,定义登录协议
[H3C-luser-admin]service-type ssh
5、创建用户级别
[H3C-luser-admin]authorization-attribute level 3
[H3C-luser-admin]quit
[H3C]ssh user admin service-type all authentication-type password
[H3C]save //保存退出
-----------------------------------------------------
h3c v7交换机配置ssh
1、生成RSA和DSA密钥对
[H3C]public-key local create rsa
[H3C]public-key local create dsa
2、开启ssh服务 并设置用户接口上的认证模式为AAA,并让用户接口支持SSH协议
[H3C]ssh server enable
[H3C]user-interface vty 0 63
[H3C-ui-vty0-15]authentication-mode scheme
[H3C-ui-vty0-15] protocol inbound ssh
3、创建用户
创建用户admin,设置认证密码admin,登录协议为SSH,能访问的命令级别为network-admin。
[H3C]local-user admin class manage
[H3C-luser-admin]password simple admin
4、定义登录协议
[H3C-luser-admin]service-type ssh
5、创建用户级别
[H3C-luser-admin]authorization-attribute user-role network-admin
[H3C-luser-admin]quit
[H3C]save //保存退出
H3C SSH报错:客户端保存的服务器公钥和服务器的实际公钥不一致
报错内容:
The server's host key does not match the local cached key. Either the server administrator has changed the host key, or you connected to another server pretending to be this server. Please remove the local cached key, before logging in!
Connection closed.
报错分析:
这个问题是由于客户端保存的服务器公钥和服务器的实际公钥不一致,导致客户端认证服务器身份失败。
问题处理:
1.通过下述方法查看客户端保存的服务器公钥
复制代码
<CN-SXLQ-8-1F101-OFFICE-AGG208.81>dis ssh client server-public-key
Server address: 10.3.248.179
Key type: rsa
Key length: 1024
Key code:
AAAAB3NzaC1yc2EAAAADAQABAAAAgQDJB955mzPoyARZjvTfPft8463A8zQVX9Pb
phg/frMuKHkxQGWcpwU6mSrWiYd+uanGDsi0yB1Wcfo/5xrLIUUKTI0L9yeFetwk
3fyZZQL0/EC3Gx/q3W2rm3pYTCTgwdWycaZ2IYpY+DBu/Dc7TDSEyHog+1SkslK6
dCjff46ZSQ==
复制代码
2.通过下述方法删除设备上保存的相应公钥
delete ssh client server-public-key server-ip IP地址
------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------
通过使用用户名和密码telnet登陆设备
配置步骤:
1)配置管理地址
Ruijie>enable ------> 进入特权模式
Ruijie#configure terminal ------> 进入全局配置模式
Ruijie(config)#interface vlan 1 ------>进入vlan 1接口
Ruijie(config-if)#ip address 192.168.33.180 255.255.255.0 ------>为vlan 1接口上设置管理ip
Ruijie(config-if)#exit ------> 退回到全局配置模式
2)配置telnet密码
Ruijie(config)#username ruijie password ruijie ------> 配置用户名和密码
Ruijie(config)#line vty 0 4 ------> 进入telnet密码配置模式
Ruijie(config-line)#login local ------> 配置本地认证
Ruijie(config-line)#exit ------>回到全局配置模式
Ruijie(config)# enable secret ruijie ------>配置进入特权模式的密码为ruijie
Ruijie(config)#end ------> 退出到特权模式
Ruijie#write ------> 确认配置正确,保存配置
----------------------------------------------------------------------------
SSH配置步骤
(1) 开启Device和SSH Server设备的SSH服务器功能
Device> enable
Device# configure terminal
Device(Config)# enable service ssh-server
(2) SSH server上配置可用于登录的用户。
# SSH server上配置使用用户名和密码登录。
SSHServer> enable
SSHServer# configure terminal
SSHServer(config)# line vty 0
SSHServer(config-line)# login local
SSHServer(config-line)# exit
SSHServer(config)# username admin password ruijie
SSHServer(config)# enable password ruijie
SSHServer(config)# end
SSHServer# write
(3) 在其他设备上测试使用ssh命令登录到SSH server
Device> enable
Device# ssh -l admin 192.168.1.2
------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------
配置本地用户名和密码:
配置全部权限的角色:(所有权限的用户,不要给这个用户定义角色)
local-user maipu class manager
service-type console ssh telnet
privilege 15
password 0 Maipu@123
exit
1、配置本地用户名为root;
2、为用户名root能使用的服务类型:telnet、console、ssh
3、配置权限级别为15级。
4、配置用户名的密码为maipu@123;
domain system
aaa authentication login local
aaa author login local
exit
enable password 0 Maipu@123
1、进入默认的system域里面
2、开启认证方式为本地认证方式
3、开启授权方式为本地授权
1、配置enable密码maipu@123
8.2 配置ssh登录和关闭telnet登录
ip ssh server
telnet server disable
ip ssh server sshv1-compatible
ssh hostKey length 2048
1、开启ssh服务,默认关闭;
2、关闭telnet服务,默认开启;
3、同时支持SSH客户端采用SSHv1和SSHv2登录
4、用于配置SSH密钥长度为2048
8.3 调用到con和vty下面
line con 0
exec-timeout 6 0
login aaa
exit
1、定义console模式下空闲超时时间为6分钟;后面的0为秒钟。 (系统默认为5分钟,如果不配置,及五分钟后自动断开)
2、认证方式为本地认证
ip access-list standard ACL_VTY
10 permit x.x.x.x
commit
exit
line vty 0 15
access-class ACL_VTY in
exec-timeout 6 0
protocol input ssh/telnet/all
login aaa
exit
1、配置标准ACL,只允许哪些地址有访问权限;(snmp服务器、堡垒机、AAA服务器、日志服务器,以及网管的IP地址等,一定要配置commit,ACL才会生效。)
2、配置远程登录超时时间为6分钟; (系统默认为5分钟,如果不配置,及五分钟后自动断开)
3、调用远程登录控制的协议为ssh/telnet/all(三种登陆方式可以自选) all表示ssh和telnet同时允许。
4、认证方式为本地认证。
8.4 更改密码复杂度
password-control complexity composition type-number 3
password-control complexity min-length 6
password-control complexity with user-name-check
1、配置密码的复杂度:密码的组成元素的组合类型。4组(大写、小写、数字、字符)
缺省情况下,用户密码组合类型为2,密码中至少包含2 种元素。
2、配置密码的复杂度:密码最小长度;缺省情况下,用户密码最小长度为6。
3、配置密码的复杂度:不允许用户名与密码相同。缺省情况下,不允许用户名与密码相同。
备注:如果觉得太复杂,可以自己更改上面的数字进行调整。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。