Ⅰ H3C S5130系列交換機ssh典型配置舉例(passwd認證)
摘自H3C官網:http://www.h3c.com/cn/d_201803/1072475_30005_0.htm
設備作為Stelnet 伺服器配置舉例(password認證)
1 組網需求
如 圖1 所示,網路管理員需要通過Internet遠程登錄到校園網的網關設備(Device)上對其進行相關配置。為了提高對Device進行管理的安全性,可將Device配置為Stelnet伺服器,並在Host上運行Stelnet客戶端軟體,在二者之間建立SSH連接。要求:
·Device通過SSH的password認證方式對客戶端進行認證,認證過程在Device本地完成;
·網路管理員Host的登錄用戶名為client001,密碼為謹睜aabbcc,登錄設備後可以正常使用所有命令。
圖1 設備作為Stelnet 伺服器配置組網圖
2 配置思路
·為了使SSH的版本協商和演算法協商過程正常運行,且為了保證客戶端對連接的伺服器的認證正常進行,請在伺服器端生成RSA和DSA密鑰對。
·為了採用本地認證的方式認證祥歲歲用戶,需要在本地伺服器Device上創建相應的本地用戶,並在本地用戶視圖下雀肆配置密碼。
·Stelnet客戶端通過VTY用戶線訪問設備。因此,需要配置登錄用戶線的認證方式為scheme方式。
·為了使Stelnet用戶登錄設備後能正常使用所有命令,將用戶角色設置為network-admin,預設情況下本地用戶的用戶角色為network-operator。
3 使用版本
本舉例是在S5130EI_E-CMW710-R3106版本上進行配置和驗證的。
4 配置步驟
# 生成RSA密鑰對。
system-view
[Device] public-key local create rsa
The range of public key size is (512~ 2048).
If the key molus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the molus length [default = 1024]:
Generating Keys...
........................++++++
...................++++++
..++++++++
............++++++++
Create the key pair successfully.
# 生成DSA密鑰對。
[Device] public-key local create dsa
The range of public key size is (512~ 2048).
If the key molus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the molus length [default = 1024]:
Generating Keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+
...+.................+..........+...+.
Create the key pair successfully.
# 使能SSH伺服器功能。
[Device] ssh server enable
# 創建VLAN 2,並將GigabitEthernet1/0/2加入VLAN 2。
[Device] vlan 2
[Device-vlan2] port gigabitethernet 1/0/2
[Device-vlan2] quit
# 配置VLAN介面2的IP地址,客戶端將通過該地址連接Stelnet伺服器。
[Device] interface vlan-interface 2
[Device-Vlan-interface2] ip address 192.168.1.40 255.255.255.0
[Device-Vlan-interface2] quit
# 設置Stelnet客戶端登錄用戶界面的認證方式為scheme。
[Device] line vty 0 63
[Device-line-vty0-63] authentication-mode scheme
[Device-line-vty0-63] quit
# 創建本地用戶client001,並設置用戶密碼、服務類型和用戶角色。
[Device] local-user client001 class manage
New local user added.
[Device-luser-manage-client001] password simple aabbcc
[Device-luser-manage-client001] service-type ssh
[Device-luser-manage-client001]authorization-attribute user-role network-admin
[Device-luser-manage-client001] quit
5 配置文件
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.40 255.255.255.0
#
interface GigabitEthernet1/0/2
port access vlan 2
#
line vty 0 63
authentication-mode scheme
#
ssh server enable
#
local-user client001 class manage
password hash
$h$6$CqMnWdX6LIW/hz2Z$4+0Pumk+A98VlGVgqN3n/mEi7hJka9fEZpRZIpSNi9b
==
service-type ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
Ⅱ 關於交換機SSH如何關閉問題
關閉ssh登錄方式有好幾種,
方法一:直接在全局模式下關閉
undo ssh server enable(華三支持,華為不支持這條命令)
方法二:在user-interface vty 0 4下面關閉
protocol inbound telnet,(華為現在默認是ssh方式,華三模式是兩種方式都可以,用這條命令只允許telnet方式,ssh方式自然關閉)
Ⅲ h3c交換機怎麼允許ssh登錄
(1)進入系統視圖。
system-view
(2) 生成本地密鑰對。
(罩孝告非 FIPS 模式)
public-key local create { dsa | ecdsa [ secp192r1 | secp256r1 | secp384r1
| secp521r1 ] | rsa } [ name key-name ]
(FIPS 模式)
public-key local create { dsa | ecdsa [ secp256r1 | secp384r1 | secp521r1 ]
| rsa } [ name key-name ]
(3) 開啟SSH 伺服器功能。
ssh server enable
預設情況下,SSH 伺服器功能處於關閉狀態。
(4) (可選)建立SSH 用戶,並指定SSH 用戶的認證方式。
ssh user username service-type stelnet authentication-type password
(5) 進入VTY 用戶線或VTY 用戶線類視圖。
進入 VTY 用戶線視圖。
line vty first-number [ last-number ]
進入 VTY 用戶線類視圖。
line class vty
(6) 配VTY 用戶線的認證方式為scheme 方式。
(非 FIPS 模式)
authentication-mode scheme
預設情況下,VTY 用戶線的認證方式為password 方式。
用戶線視圖下,authentication-mode 和protocol inbound 存在關聯綁定關系,當兩
條命令中的任意一條配置了非預設值,那麼另外一條取用戶線下的值。
3-11
(FIPS 模式)
authentication-mode scheme
預設情況下,VTY 用戶線的認證方式為scheme 方式。物明
用戶線視圖下,authentication-mode 和protocol inbound 存在關聯綁定關系,當兩
條命令中的任意一條配置了非預設值,那麼另外一條取用戶線下的值。
(7) (可選)配置VTY 用戶線支持的SSH 協議。
(非 FIPS 模式)
protocol inbound { all | ssh | telnet }
預設情況下,設備同時支持Telnet 和SSH 協議。
本配置將在用戶下次使用該用戶線登錄時生效。
用戶線視圖下,authentication-mode 和protocol inbound 存在關聯綁定關系,當兩
條命令中的任意一條配置了非預設值,那麼另外一條取用戶線下的值。
(FIPS 模式)
protocol inbound ssh
預設情況下,設備支持SSH 協議。
本配置將在用戶下次使用該用戶線登錄時生效。
用戶線視圖下,authentication-mode 和protocol inbound 存在關聯綁定關系,當兩
條命令中的任意一條配置了非預設值,那麼另外一條取用戶線下的值。
(8) (可選)配置SSH 方式登錄設備時,同時在線的最大用戶連接數。
aaa session-limit ssh max-sessions
預設情況下,SSH 方式登錄同時在線的最大用戶連接數為32。
配置本命令後,已經在線的用戶連接不會受到影響,只對新的用戶連接生效。如果當前在線
的用戶連接數已經達到最大值,則新的連接請求會被拒絕,登錄會失敗。
關於該命令的詳細描述,請參見「安全命令參考」中的「AAA」。
(9) (可選)退回系統視圖並配置VTY 用慎斗戶線的公共屬性。
a. 退回系統視圖。
quit
Ⅳ H3C MSR 20-11 配置命令,哪位高手給我說說這些命令的詳細注釋,以及這些命令的作用
H3C>system-view 進入系統視圖
System View: return to User View with Ctrl+Z.
[H3C]sysname Xxx 改名字
[Xxx]nat address-group 1 144.16.72.54 144.16.72.86 配置NAT的組地址 是公網的
[Xxx]telnet server enable 開啟telnet
% Start Telnet server
[Xxx]ssh server enable 開啟ssh
Info: Enable SSH server.
[Xxx]ftp server enable 開啟ftp
[Xxx]acl number 2000 match-order auto acl2000的匹配順序是自動 自動的話是按順序來
[Xxx-acl-basic-2000]rule permit source any 允許源地址是any的通過
[Xxx-acl-basic-2000]quit
[Xxx]local-user huawei 加用戶huawei
New local user added.
[Xxx-luser-huawei]password cipher huawei 密碼是chipher 模式:huawei
[Xxx-luser-huawei]service-type telnet huawei這個用戶可以通過telnet方式登陸設備
[Xxx-luser-huawei]service-type ssh huawei這個用戶空隱可以通過ssht方式登陸設備
[Xxx-luser-huawei]service-type ftp huawei這個螞腔用戶可以通過ftpt方式登陸設備
[Xxx-luser-huawei] authorization-attribute level 3 服務級別是3 ,具有最高的級別,0和1,2都要低於這個級別
[Xxx-luser-huawei]quit
[Xxx]interface Ethernet0/0 進入0/0口
[Xxx-Ethernet0/0]ip address172.28.21.254 255.255.255.0 配置Ip和掩碼
[Xxx] port link-mode route 配置這個口為route模式
[Xxx] nat outbound 普通用戶要上公網,在外網口作NAT Outbound,將 私網地址轉換成公網
[Xxx-Ethernet0/0]quit
[Xxx]interface Serial0/0 進入s0/0
[Xxx-Serial0/0]nat outbound 2000 address-group 1 普通用戶要上公網,在外網口作NAT Outbound,將 私網地址轉換成公網
[Xxx-Serial0/0]link-protocol fr link-protocol 配置成幀中繼
[Xxx-Serial0/0]fr map ip 144.16.129.190 104 ietf 幀中繼在本端的配置
[Xxx-Serial0/0]ip address 144.16.129.191 255.255.255.252 ip以及掩碼
[Xxx-Serial0/0]quit
[Xxx]interface vlan1 進入vlan 1 三層介面
[Xxx-Ethernet0/0]ip address 172.28.21.254 255.255.255.0 配置ip和掩碼
[Xxx-Ethernet0/0]quit
[Xxx]ip route-static 0.0.0.0 0.0.0.0 144.16.129.190 靜態路由
[Xxx]user-interface vty 0 4
[Xxx-ui-vty0-4]authentication-mode scheme
[Xxx-ui-vty0-4]quit
希望可以幫悶虧衫助到樓主!