Ⅰ H3C S5130系列交换机ssh典型配置举例(passwd认证)
摘自H3C官网:http://www.h3c.com/cn/d_201803/1072475_30005_0.htm
设备作为Stelnet 服务器配置举例(password认证)
1 组网需求
如 图1 所示,网络管理员需要通过Internet远程登录到校园网的网关设备(Device)上对其进行相关配置。为了提高对Device进行管理的安全性,可将Device配置为Stelnet服务器,并在Host上运行Stelnet客户端软件,在二者之间建立SSH连接。要求:
·Device通过SSH的password认证方式对客户端进行认证,认证过程在Device本地完成;
·网络管理员Host的登录用户名为client001,密码为谨睁aabbcc,登录设备后可以正常使用所有命令。
图1 设备作为Stelnet 服务器配置组网图
2 配置思路
·为了使SSH的版本协商和算法协商过程正常运行,且为了保证客户端对连接的服务器的认证正常进行,请在服务器端生成RSA和DSA密钥对。
·为了采用本地认证的方式认证祥岁岁用户,需要在本地服务器Device上创建相应的本地用户,并在本地用户视图下雀肆配置密码。
·Stelnet客户端通过VTY用户线访问设备。因此,需要配置登录用户线的认证方式为scheme方式。
·为了使Stelnet用户登录设备后能正常使用所有命令,将用户角色设置为network-admin,缺省情况下本地用户的用户角色为network-operator。
3 使用版本
本举例是在S5130EI_E-CMW710-R3106版本上进行配置和验证的。
4 配置步骤
# 生成RSA密钥对。
system-view
[Device] public-key local create rsa
The range of public key size is (512~ 2048).
If the key molus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the molus length [default = 1024]:
Generating Keys...
........................++++++
...................++++++
..++++++++
............++++++++
Create the key pair successfully.
# 生成DSA密钥对。
[Device] public-key local create dsa
The range of public key size is (512~ 2048).
If the key molus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the molus length [default = 1024]:
Generating Keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+
...+.................+..........+...+.
Create the key pair successfully.
# 使能SSH服务器功能。
[Device] ssh server enable
# 创建VLAN 2,并将GigabitEthernet1/0/2加入VLAN 2。
[Device] vlan 2
[Device-vlan2] port gigabitethernet 1/0/2
[Device-vlan2] quit
# 配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器。
[Device] interface vlan-interface 2
[Device-Vlan-interface2] ip address 192.168.1.40 255.255.255.0
[Device-Vlan-interface2] quit
# 设置Stelnet客户端登录用户界面的认证方式为scheme。
[Device] line vty 0 63
[Device-line-vty0-63] authentication-mode scheme
[Device-line-vty0-63] quit
# 创建本地用户client001,并设置用户密码、服务类型和用户角色。
[Device] local-user client001 class manage
New local user added.
[Device-luser-manage-client001] password simple aabbcc
[Device-luser-manage-client001] service-type ssh
[Device-luser-manage-client001]authorization-attribute user-role network-admin
[Device-luser-manage-client001] quit
5 配置文件
#
vlan 2
#
interface Vlan-interface2
ip address 192.168.1.40 255.255.255.0
#
interface GigabitEthernet1/0/2
port access vlan 2
#
line vty 0 63
authentication-mode scheme
#
ssh server enable
#
local-user client001 class manage
password hash
$h$6$CqMnWdX6LIW/hz2Z$4+0Pumk+A98VlGVgqN3n/mEi7hJka9fEZpRZIpSNi9b
==
service-type ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
Ⅱ 关于交换机SSH如何关闭问题
关闭ssh登录方式有好几种,
方法一:直接在全局模式下关闭
undo ssh server enable(华三支持,华为不支持这条命令)
方法二:在user-interface vty 0 4下面关闭
protocol inbound telnet,(华为现在默认是ssh方式,华三模式是两种方式都可以,用这条命令只允许telnet方式,ssh方式自然关闭)
Ⅲ h3c交换机怎么允许ssh登录
(1)进入系统视图。
system-view
(2) 生成本地密钥对。
(罩孝告非 FIPS 模式)
public-key local create { dsa | ecdsa [ secp192r1 | secp256r1 | secp384r1
| secp521r1 ] | rsa } [ name key-name ]
(FIPS 模式)
public-key local create { dsa | ecdsa [ secp256r1 | secp384r1 | secp521r1 ]
| rsa } [ name key-name ]
(3) 开启SSH 服务器功能。
ssh server enable
缺省情况下,SSH 服务器功能处于关闭状态。
(4) (可选)建立SSH 用户,并指定SSH 用户的认证方式。
ssh user username service-type stelnet authentication-type password
(5) 进入VTY 用户线或VTY 用户线类视图。
进入 VTY 用户线视图。
line vty first-number [ last-number ]
进入 VTY 用户线类视图。
line class vty
(6) 配VTY 用户线的认证方式为scheme 方式。
(非 FIPS 模式)
authentication-mode scheme
缺省情况下,VTY 用户线的认证方式为password 方式。
用户线视图下,authentication-mode 和protocol inbound 存在关联绑定关系,当两
条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
3-11
(FIPS 模式)
authentication-mode scheme
缺省情况下,VTY 用户线的认证方式为scheme 方式。物明
用户线视图下,authentication-mode 和protocol inbound 存在关联绑定关系,当两
条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(7) (可选)配置VTY 用户线支持的SSH 协议。
(非 FIPS 模式)
protocol inbound { all | ssh | telnet }
缺省情况下,设备同时支持Telnet 和SSH 协议。
本配置将在用户下次使用该用户线登录时生效。
用户线视图下,authentication-mode 和protocol inbound 存在关联绑定关系,当两
条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(FIPS 模式)
protocol inbound ssh
缺省情况下,设备支持SSH 协议。
本配置将在用户下次使用该用户线登录时生效。
用户线视图下,authentication-mode 和protocol inbound 存在关联绑定关系,当两
条命令中的任意一条配置了非缺省值,那么另外一条取用户线下的值。
(8) (可选)配置SSH 方式登录设备时,同时在线的最大用户连接数。
aaa session-limit ssh max-sessions
缺省情况下,SSH 方式登录同时在线的最大用户连接数为32。
配置本命令后,已经在线的用户连接不会受到影响,只对新的用户连接生效。如果当前在线
的用户连接数已经达到最大值,则新的连接请求会被拒绝,登录会失败。
关于该命令的详细描述,请参见“安全命令参考”中的“AAA”。
(9) (可选)退回系统视图并配置VTY 用慎斗户线的公共属性。
a. 退回系统视图。
quit
Ⅳ H3C MSR 20-11 配置命令,哪位高手给我说说这些命令的详细注释,以及这些命令的作用
H3C>system-view 进入系统视图
System View: return to User View with Ctrl+Z.
[H3C]sysname Xxx 改名字
[Xxx]nat address-group 1 144.16.72.54 144.16.72.86 配置NAT的组地址 是公网的
[Xxx]telnet server enable 开启telnet
% Start Telnet server
[Xxx]ssh server enable 开启ssh
Info: Enable SSH server.
[Xxx]ftp server enable 开启ftp
[Xxx]acl number 2000 match-order auto acl2000的匹配顺序是自动 自动的话是按顺序来
[Xxx-acl-basic-2000]rule permit source any 允许源地址是any的通过
[Xxx-acl-basic-2000]quit
[Xxx]local-user huawei 加用户huawei
New local user added.
[Xxx-luser-huawei]password cipher huawei 密码是chipher 模式:huawei
[Xxx-luser-huawei]service-type telnet huawei这个用户可以通过telnet方式登陆设备
[Xxx-luser-huawei]service-type ssh huawei这个用户空隐可以通过ssht方式登陆设备
[Xxx-luser-huawei]service-type ftp huawei这个蚂腔用户可以通过ftpt方式登陆设备
[Xxx-luser-huawei] authorization-attribute level 3 服务级别是3 ,具有最高的级别,0和1,2都要低于这个级别
[Xxx-luser-huawei]quit
[Xxx]interface Ethernet0/0 进入0/0口
[Xxx-Ethernet0/0]ip address172.28.21.254 255.255.255.0 配置Ip和掩码
[Xxx] port link-mode route 配置这个口为route模式
[Xxx] nat outbound 普通用户要上公网,在外网口作NAT Outbound,将 私网地址转换成公网
[Xxx-Ethernet0/0]quit
[Xxx]interface Serial0/0 进入s0/0
[Xxx-Serial0/0]nat outbound 2000 address-group 1 普通用户要上公网,在外网口作NAT Outbound,将 私网地址转换成公网
[Xxx-Serial0/0]link-protocol fr link-protocol 配置成帧中继
[Xxx-Serial0/0]fr map ip 144.16.129.190 104 ietf 帧中继在本端的配置
[Xxx-Serial0/0]ip address 144.16.129.191 255.255.255.252 ip以及掩码
[Xxx-Serial0/0]quit
[Xxx]interface vlan1 进入vlan 1 三层接口
[Xxx-Ethernet0/0]ip address 172.28.21.254 255.255.255.0 配置ip和掩码
[Xxx-Ethernet0/0]quit
[Xxx]ip route-static 0.0.0.0 0.0.0.0 144.16.129.190 静态路由
[Xxx]user-interface vty 0 4
[Xxx-ui-vty0-4]authentication-mode scheme
[Xxx-ui-vty0-4]quit
希望可以帮闷亏衫助到楼主!