H3C S5600 交换机SSH登陆的设置
一、SSH简介
SSH 是Secure Shell(安全外壳)的简称。当用户通过一个不能保证安全的网络环境远程登录到交换机时,SSH 特性可以提供安全的信息保障和强大的认证功能,以保护交换机不受诸如IP 地址欺诈、明文密码截取等攻击。
交换机作为 SSH Server,可以接受多个SSH 客户的连接。SSH 客户端的功能是允许用户与支持SSH Server 的交换机、UNIX 主机等建立SSH 连接。
客户端与服务器端建立SSH通道的两种方式:
1.通过本地LAN连接
2.通过WAN连接
SSH server 配置举例
准备软件:PUTTY、SshKey
1. 组网需求
如图所示,PC终端(SSH Client)上运行支持SSH2.0 的客户端软件,与交换机(SSH Server)建立本地连接,更大限度地保证数据信息交换的安全。
2. 组网图
3. 配置步骤
以下将根据登录认证方式的不同分别介绍配置步骤,但开始任何一种配置之前,首先要生成RSA 主机密钥对和服务器密钥对。
<H3C>system-view
[H3C] rsa local-key-pair create
其次,必须在交换机上创建VLAN 接口,并为其分配IP 地址,作为客户端连接的SSH 服务器地址。
(1) 设置用户登录认证方式。
第一种方式:password 认证
# 设置用户接口上的认证模式为AAA 认证。
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] authentication-mode scheme
# 设置用户接口上支持SSH 协议。
[H3C-ui-vty0-4] protocol inbound ssh
[H3C-ui-vty0-4] quit
# 指定用户client001 的登录协议为SSH,能访问的命令级别为3,密码为abc。
[H3C] local-user client001
[H3C-luser-client001] password simple abc
[H3C-luser-client001] service-type ssh level 3
[H3C-luser-client001] quit
[H3C] ssh user client001 authentication-type password
#完成以上配置后,用户就可以在与交换机连接的终端上,运行支持SSH2.0 的客户端软件,以用户名client001,密码abc,访问交换机了。
第二种方式:RSA 公钥认证
# 设置用户接口上的认证模式为AAA 认证。
[H3C] user-interface vty 0 4
[H3C-ui-vty0-4] authentication-mode scheme
# 设置用户接口上支持SSH 协议。
[H3C-ui-vty0-4] protocol inbound ssh
# 设置用户能访问的命令级别为3。
[H3C-ui-vty0-4] user privilege level 3
[H3C-ui-vty0-4] quit
# 指定用户client001 的认证方式为RSA。(client001用户需先用 local-user 命令建立)
[H3C] ssh user client001 authentication-type rsa
# 在支持SSH2.0 的客户端软件上,随机产生RSA 密钥对,并按如下方式将RSA公钥(此处的RSA 公钥是指用SSHKEY.EXE 软件进行PKCS 编码后的16 进制字符串)配置到SSH 服务器上指定的rsa peer-public-key 中。
# 在服务器端配置客户端的公钥,指定公钥名称为Switch001。(switch001可随意设置名称)
[H3C] rsa peer-public-key Switch001
[H3C-rsa-public-key] public-key-code begin
[H3C-rsa-key-code] 308186028180739A291ABDA704F5D93DC8FDF84C427463
[H3C-rsa-key-code] 1991C164B0DF178C55FA833591C7D47D5381D09CE82913
[H3C-rsa-key-code] D7EDF9C08511D83CA4ED2B30B809808EB0D1F52D045DE4
[H3C-rsa-key-code] 0861B74A0E135523CCD74CAC61F8E58C452B2F3F2DA0DC
[H3C-rsa-key-code] C48E3306367FE187BDD944018B3B69F3CBB0A573202C16
[H3C-rsa-key-code] BB2FC1ACF3EC8F828D55A36F1CDDC4BB45504F020125
[H3C-rsa-key-code] public-key-code end
[H3C-rsa-public-key] peer-public-key end
# 如果服务器端是以文件形式存放客户端的公钥,文件名为Switch001,则可以直接从文件中导入。(与上一步二者选一)
[H3C] rsa peer-public-key Switch001 import sshkey Switch001
# 为用户client001 指定公钥Switch001。
[H3C] ssh user client001 assign rsa-key Switch001
对于RSA 认证,不仅需要在客户端上配置SSH 服务器的IP 地址、协议类型、版本,还需要指定RSA 私钥文件(由客户端软件随机产生)。打开SSH 连接后按提示输入用户名即可进入交换机的配置界面。
SSH客户端配置
SSH 客户端软件有很多,例如PuTTY、OpenSSH 等。SSH 客户端要与服务器建立连接,需要做如下基本配置:
1.指定服务器 IP 地址
2.选择远程连接协议为 SSH
通常客户端可以支持多种远程连接协议,如Telnet、Rlogin、SSH 等。要建立SSH 连接,必须选择远程连接协议为SSH
3.选择 SSH 版本
由于设备目前支持的版本是SSH 服务器2.0 版本,客户端可以选择2.0 或2.0 以下版本
4.指定 RSA 私钥文件
如果在服务器端配置了SSH 用户采用RSA 认证,并为SSH 用户指定了RSA 公钥,就必须在客户端指定与该RSA 公钥对应的RSA私钥文件。RSA 密钥对是由客户端软件附带的工具生成的
下面以客户端软件 PuTTY、PuTTYGen 和SSHKEY 为例,说明SSH 客户端的配置方法。
1. 生成客户端密钥
运行 PuTTYGen.exe,参数栏使用“SSH2(RSA)”,点击<生成>(<Generate>),产生客户端密钥对。
在产生密钥对的过程中需不停的移动鼠标,鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地方,否则进程条的显示会不动,密钥对将停止产生。
密钥对产生后,点击<保存公钥>(<save public key>),输入存储公钥的文件名public,点击保存。
同理,点击<保存私钥>(<save private key>)存储私钥,弹出警告框,提醒是否保存没做任何保护措施的私钥,点击<是>(<Yes>),输入私钥文件名即可,此处为private,点击保存。
运行 SSHKEY.exe,点击<Browse>,选择公钥文件public。然后点击<Convert>,
即可生成PKCS 编码格式的RSA 公钥数据。
打开 PuTTY.exe 程序,出现客户端配置界面。
2. 指定服务器IP 地址
3. 选择远程连接协议为SSH
4. 选择SSH 版本
5. 以RSA 方式打开SSH 连接。(如果用户需要 RSA 认证,就必须指定RSA 私钥文件。如果用户只需要password认证,则不需要指定RSA 私钥文件)
6. 以口令方式打开SSH 连接。单击<Open>按钮,出现SSH客户端界面,如果连接正常则会提示用户输入用户名及密码。
