一般连接交换机可以使用telnet协议,虽然Telnet较为简单实用也很方便,并不怎么安全。原因在于Telnet是一个明文传送协议,它将用户的所有内容,包括用户名和密码都明文在互联网上传送,具有一定的安全隐患,因此许多服务器都会选择禁用Telnet服务。 SSH (安全外壳协议)为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH通过非对称加密完成用户登录。
下面是具体的配置过程,因为目前h3c交换机有v5版本和v7版本,其配置步骤不一样,故下面会分开进行配置。
一、V5版本交换机SSH配置
1、生成RSA和DSA密钥对
[H3C]public-key local create rsa
[H3C]public-key local create dsa
备注: 1)RSA 和 DSA 认证协议的基础是一对专门生成的密钥,都是非对称加密。 2)执行public-key local create命令后,生成的密钥对将保存在设备中,设备重启后不会丢失。 3)生成RSA密钥对时会提示用户输入密钥模数的长度,建议密钥模数的长度大于或等于768比特,以提高安全性保证。 4)生成DSA密钥对时会提示用户输入密钥模数的长度,建议密钥模数的长度大于或等于768比特,以提高安全性保证。 注意:虽然一个客户端只会采用DSA和RSA公共密钥算法中的一种来认证服务器,但是由于不同客户端支持的公共密钥算法不同,为了确保客户端能够成功登录服务器,建议在服务器上生成DSA和RSA两种密钥对。
2、开启ssh服务
设置用户接口上的认证模式为AAA,并让用户接口支持SSH协议
[H3C]ssh server enable
[H3C]user-interface vty 0 15
[H3C-ui-vty0-15]authentication-mode scheme
[H3C-ui-vty0-15] protocol inbound ssh
注意:如果在该用户界面上配置支持的协议是SSH,为确保登录成功,请务必配置登录用户界面的认证方式为authentication-mode scheme(采用AAA认证)。
3、创建用户 创建用户admin,设置认证密码admin, 登录协议为SSH,能访问的命令级别为level 3。
[H3C]local-user admin
[H3C-luser-admin]password simple admin
备注:若忘记密码,可以通过console端口连接,然后通过该命令来修改密码
4、定义登录协议
[H3C-luser-admin]service-type ssh
5、创建用户级别
[H3C-luser-admin]authorization-attribute level 3
[H3C-luser-admin]quit
[H3C]save //保存退出
二、V7版本交换机SSH配置
1、生成RSA和DSA密钥对
[H3C]public-key local create rsa
[H3C]public-key local create dsa
说明:可以通过命令显示生成的RSA密钥对的公钥部分(dis public-key local rsa public)
2、开启ssh服务 并设置用户接口上的认证模式为AAA,并让用户接口支持SSH协议
[H3C]ssh server enable
[H3C]user-interface vty 0 63
[H3C-ui-vty0-15]authentication-mode scheme
[H3C-ui-vty0-15] protocol inbound ssh
注意:如果在该用户界面上配置支持的协议是SSH,为确保登录成功,请务必配置登录用户界面的认 证方式为authentication-mode scheme(采用AAA认证)。
3、创建用户
创建用户admin,设置认证密码admin,登录协议为SSH,能访问的命令级别为network-admin。
[H3C]local-user admin
[H3C-luser-admin]password simple admin
注意:如果忘记密码,可以通过console端口连接,然后通过该命令来修改密码
4、定义登录协议
[H3C-luser-admin]service-type ssh
5、创建用户级别
[H3C-luser-admin]authorization-attribute user-role network-admin
[H3C-luser-admin]quit
[H3C]save //保存退出
