江苏龙网

  1. 首页 > 资讯 > 科技 > >

『』配置通过SSH登录设备

本节介绍了配置SSH的方法 。SSH是在传统的Telnet协议之基础上发展起来的一种安全的远程登录协议 。相比于Telnet , SSH无论是在认证方式或者数据传输的安全性上 , 都有很大的提高 。
前提条件
图1通过SSH登录设备组网图
『』配置通过SSH登录设备
文章图片

文章图片

在配置通过SSH登录设备之前 , 需要完成以下任务:
1、待调测设备运行正常 。
2、 通过Console口方式预先正确配置待调测设备接口的IP地址 。
3、 终端与待调测设备之间直连或有可达路由 。
缺省情况下 , 用户可以通过管理网口使用STelnet方式直接登录设备 。
设备上电后会自动将管理网口Ethernet0/0/0绑定到保留VPN(保留VPN为__LOCAL_OAM_VPN__) , 并为其配置固定IP地址192.168.0.1/24 。
用户可以为终端配置192.168.0.0/24网段的任意其他IP , 凭缺省用户名root、密码Changeme_123 , 通过SSH(STelnet)方式登录设备 , 实现对设备的现场维护 。
在设备上进行业务配置后 , 需要及时修改用户名和密码 。管理网口的IP可以修改和删除 , 并且根据需要关闭该接口 。
请在作为SSH服务器的路由器上通过Console口进行如下的配置 。
操作步骤
1、生成本地密钥对 。
a. system-view , 进入系统视图 。
b. rsa local-key-pair create , 产生本地RSA密钥对 。
2、配置VTY用户界面支持SSH协议 。
a. system-view , 进入系统视图 。
b. user-interface { vty first-ui-number | last-ui-number } , 进入VTY用户界面视图 。
c. authentication-mode aaa , 设置验证方式为AAA验证 。
d. protocol inbound ssh , 配置VTY支持SSH协议 。
必须设置VTY用户界面验证方式为AAA验证 , 否则protocol inbound ssh将不能配置成功 。
3、在系统视图下执行命令ssh user user-name , 创建SSH用户 。
4、在系统视图下执行命令ssh user user-name authentication-type { password | rsa | ecc | dsa | password-rsa | password-ecc | password-dsa | all } , 配置SSH用户的认证方式 。
根据实际配置需要 , 选择如下操作之一:配置对SSH用户进行密码验证 。
ssh user user-name authentication-type password , 对SSH用户配置密码验证 。
ssh authentication-type default password , 对SSH用户配置缺省密码验证 。
采用本地认证或HWTACACS服务器认证时 , 如果用户数量少可以采用第一种配置;如果用户数量比较多 , 对SSH用户使用缺省密码验证方式可以简化配置 。配置对SSH用户进行RSA验证
说明:使用加密算法时 , RSA(1024位以下)加密算法安全性低 , 存在安全风险 , 在协议支持的加密算法选择范围内 , 建议使用更安全的加密算法 , 比如RSA(2048位以上) 。
a. ssh user user-name authentication-type rsa , 对SSH用户配置RSA验证 。
b. rsa peer-public-key key-name , 进入公共密钥视图 。
c. public-key-code begin , 进入公共密钥编辑视图 。
输入合法的密钥编码hex-data , 编辑公共密钥 。
d. public-key-code end , 退出公共密钥编辑视图 。
如果未输入合法的密钥编码hex-data , 执行peer-public-key end后 , 将无法生成密钥;如果第2步中指定的密key-name已经在别的窗口下被删除 , 再执行peer-public-key end时 , 系统会提示:密钥已经不存在 , 此时直接退到系统视图 。
e. peer-public-key end , 退出公共密钥视图 , 回到系统视图 。
f. ssh user user-name assign rsa-key key-name , 为SSH用户分配公钥 。


推荐阅读


上一篇:「苹果,手机」A14无敌!iPhone12跑分首曝:把骁龙865手机碾成渣

下一篇:【】SSD 主控催化剂:STT