- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
33-SSH典型配置指导
本章节下载 (938.02 KB)
目 录
1.1 交换机充当SSH服务器并采用password认证时的典型配置指导
1.2 交换机充当SSH服务器并采用RSA认证时的典型配置指导
1.3 交换机充当SSH客户端并采用password认证时的典型配置指导
1.4 交换机充当SSH客户端并采用RSA认证时的典型配置指导
1.5 交换机充当SSH客户端并采用不支持首次认证时的典型配置指导
1.7 交换机充当SSH服务器并采用password认证时的典型配置指导
1.8 交换机充当SSH服务器并采用公钥认证时的典型配置指导
1.9 交换机充当SSH客户端并采用password认证时的典型配置指导
1.10 交换机充当SSH客户端并采用公钥认证时的典型配置指导
1.11 交换机充当SSH客户端并采用不支持首次认证时的典型配置指导
& 说明:
H3C 低端系列以太网交换机SSH配置中新增支持DSA非对称密钥算法,本配置指导中1.7到1.12节给出了支持DSA时的典型配置。
图1-1 SSH Server采用password认证时的配置组网图
当用户通过一个不能保证安全的网络远程登录到交换机时,为更大限度地保证数据信息交换的安全性,使用SSH来实现此目的,并采用password认证。如图1-1所示,PC终端(SSH Client)上运行支持SSH2.0的客户端软件,与交换机(SSH Server)建立本地连接。
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011软件版本 |
全系列硬件版本 |
|
S3100-52P |
Release 1500软件版本 |
S3100-52P |
|
E352&E328 |
Release 1510软件版本 |
E352&E328 |
|
E152 |
Release 1500软件版本 |
E152 |
|
E126 |
Release 0011软件版本 |
E126 |
l SSH服务器端配置
# 在交换机上创建VLAN接口,并为其分配IP地址,作为客户端连接的SSH服务器地址。
<Switch> system-view
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 192.168.0.1 255.255.255.0
[Switch-Vlan-interface1] quit
# 生成RSA密钥对。
[Switch] rsa local-key-pair create
# 设置用户接口上的认证模式为AAA认证。
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
# 设置用户接口上支持SSH协议。
[Switch-ui-vty0-4] protocol inbound ssh
[Switch-ui-vty0-4] quit
# 创建用户client001,设置其认证密码为abc,登录协议为SSH,能访问的命令级别为3。
[Switch] local-user client001
[Switch-luser-client001] password simple abc
[Switch-luser-client001] service-type ssh level 3
[Switch-luser-client001] quit
# 指定用户client001的认证方式为password认证
[Switch] ssh user client001 authentication-type password
l SSH客户端配置
# 客户端主机配置IP地址
客户端主机的IP地址必须同交换机上的VLAN接口的IP地址位于同一个网段,这里设置为“192.168.0.2”。
SSH客户端软件的配置(以Putty0.58为例)
(1) 打开PuTTY.exe程序,出现如下客户端配置界面。
图1-2 SSH客户端配置界面
在“Host Name(or IP address)”文本框中输入SSH服务器的IP地址。
(2) 单击SSH客户端配置界面左边目录树(“Category”)中的连接协议(“Connection”)中的“SSH”,出现如图1-3的界面。
图1-3 SSH客户端配置界面(2)
在“Protocol options”区域中,选择“Preferred SSH protocol version”参数的值为2。
(3) 在图1-3中,单击<Open>按钮,如果连接正常则会提示用户输入用户名client001,密码abc。
SSH服务器端配置
#
local-user client001
password simple abc
service-type ssh
level 3
#
interface Vlan-interface1
ip address 192.168.0.1 255.255.255.0
#
ssh user client001 authentication-type password
ssh user client001 service-type stelnet
#
user-interface vty 0 4
authentication-mode scheme
protocol inbound ssh
在用户界面上配置支持的协议是SSH后,为确保登录成功,请务必配置登录用户界面的认证方式为authentication-mode scheme(采用AAA认证),并确认缺省域使用的AAA方案为local。
图1-4 SSH Server采用RSA认证时的配置组网图
当用户通过一个不能保证安全的网络远程登录到交换机时,为更大限度地保证数据信息交换的安全性,使用SSH来实现此目的, 并采用RSA认证。如图1-4所示,PC终端(SSH Client)上运行支持SSH2.0的客户端软件,与交换机(SSH Server)建立本地连接。
表1-2 配置适用的交换机产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011软件版本 |
全系列硬件版本 |
|
S3100-52P |
Release 1500软件版本 |
S3100-52P |
|
E352&E328 |
Release 1510软件版本 |
E352&E328 |
|
E152 |
Release 1500软件版本 |
E152 |
|
E126 |
Release 0011软件版本 |
E126 |
l SSH服务器端配置
# 在交换机上创建VLAN接口,并为其分配IP地址,作为客户端连接的SSH服务器地址。
<Switch> system-view
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 192.168.0.1 255.255.255.0
[Switch-Vlan-interface1] quit
# 生成RSA密钥对。
[Switch] rsa local-key-pair create
# 设置用户接口上的认证模式为AAA认证。
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
# 设置用户接口上支持SSH协议。
[Switch-ui-vty0-4] protocol inbound ssh
# 设置用户能访问的命令级别为3。
[Switch-ui-vty0-4] user privilege level 3
[Switch-ui-vty0-4] quit
# 创建用户client001,并指定认证方式为RSA认证。
[Switch] ssh user client001 authentication-type rsa
& 说明:
这里需要先在SSH客户端使用SSH客户端软件生成RSA密钥对,并将生成的RSA公钥保存到指定文件中,再将此公钥文件通过FTP/TFTP方式上传到服务器端,文件名为public。有关配置请参见客户端的配置。
# 在服务器端从文件public中导入客户端的公钥,公钥名为Switch001。
[Switch] rsa peer-public-key Switch001 import sshkey public
# 为用户client001指定公钥Switch001。
[Switch] ssh user client001 assign rsa-key Switch001
l SSH客户端的配置
# 生成密钥对(以PuTTYGen为例)
(1) 运行PuTTYGen.exe,选择要生成的密钥对。此处参数栏选择“SSH2(RSA)”,点击<Generate>,产生客户端密钥对。
图1-5 生成客户端密钥(1)
& 注意:
在产生密钥对的过程中需不停的移动鼠标,鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地方,否则进程条的显示会不动,密钥对将停止产生,见图1-6。
密钥对产生后,点击<save public key>,输入存储公钥的文件名public,点击保存。
图1-7 生成客户端密钥(3)
同理,点击<save private key>存储私钥,弹出警告框,提醒是否保存没做任何保护措施的私钥,点击<Yes>,输入私钥文件名即可,此处为private.ppk,点击保存。
图1-8 生成客户端密钥(4)
# 建立与SSH服务器端的连接
SSH客户端软件的配置(以Putty0.58为例)
(2) 打开PuTTY.exe程序,出现如图1-9所示的客户端配置界面。
图1-9 SSH客户端配置界面(1)
在“Host Name(or IP address)”文本框中输入SSH服务器的IP地址。
(3) 单击SSH客户端配置界面左边目录树(“Category”)中的连接协议(“Connection”)中的“SSH”,出现如图1-10的界面。
图1-10 SSH客户端配置界面(2)
在“Protocol options”区域中,选择“Preferred SSH protocol version”参数的值为2。
(4) 单击“SSH”下面的“Auth”(认证),出现如图1-11的界面。
图1-11 SSH客户端配置界面(2)
单击<Browse…>按钮,弹出文件选择窗口。选择与配置到服务器端的公钥对应的私钥文件,并确定即可。
(5) 如图1-11,单击<Open>按钮,如果连接正常则会提示用户输入用户名client001。
SSH服务器端配置
#
interface Vlan-interface1
ip address 192.168.0.1 255.255.255.0
#
ssh user client001 assign rsa-key Switch001
ssh user client001 authentication-type rsa
ssh user client001 service-type stelnet
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
当S3100-SI系列以太网交换机作为SSH服务器端时,不支持使用从公钥文件中导入的方式来配置客户端的主机公钥。只能使用手工配置的方式来配置客户端的主机公钥。
图1-12 SSH客户端采用password认证时的配置组网图
当用户通过交换机远程登录到另一台交换机时,如果通过的网络不能保证安全,为更大限度地保证数据信息交换的安全性,使用SSH来实现此目的,并采用password认证。如图1-12所示:
l 交换机SwitchA作为SSH客户端,用来进行SSH登录的用户名为client001。
l 交换机SwitchB作为SSH服务器,IP地址为10.165.87.136。
表1-3 配置适用的交换机产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011软件版本 |
全系列硬件版本 |
|
S3100-52P |
Release 1500软件版本 |
S3100-52P |
|
E352&E328 |
Release 1510软件版本 |
E352&E328 |
|
E152 |
Release 1500软件版本 |
E152 |
|
E126 |
Release 0011软件版本 |
E126 |
l 配置SwitchB
# 在交换机上创建VLAN接口,并为其分配IP地址,作为客户端连接的SSH服务器地址。
<SwitchB> system-view
[SwitchB] interface vlan-interface 1
[SwitchB-Vlan-interface1] ip address 10.165.87.136 255.255.255.0
[SwitchB-Vlan-interface1] quit
# 生成RSA密钥对。
[SwitchB] rsa local-key-pair create
# 设置用户接口上的认证模式为AAA认证。
[SwitchB] user-interface vty 0 4
[SwitchB-ui-vty0-4] authentication-mode scheme
# 设置用户接口上支持SSH协议。
[SwitchB-ui-vty0-4] protocol inbound ssh
[SwitchB-ui-vty0-4] quit
# 创建用户client001,设置其认证密码为abc,登录协议为SSH,能访问的命令级别为3。
[SwitchB] local-user client001
[SwitchB-luser-client001] password simple abc
[SwitchB-luser-client001] service-type ssh level 3
[SwitchB-luser-client001] quit
# 指定用户client001的认证方式为password。
[SwitchB] ssh user client001 authentication-type password
l 配置SwitchA
# 在交换机上创建VLAN接口,并为其分配IP地址,作为连接SSH服务器端的SSH客户端地址。
<SwitchA> system-view
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] ip address 10.165.87.137 255.255.255.0
[SwitchA-Vlan-interface1] quit
# 建立到服务器10.165.87.136的SSH连接。
[SwitchA] ssh2 10.165.87.136
Username: client001
Trying 10.165.87.136 ...
Press CTRL+K to abort
Connected to 10.165.87.136 ...
The Server is not authenticated. Do you continue to access it?(Y/N):y
Do you want to save the server's public key?(Y/N):n
Enter password:
**********************************************************************
* Copyright(c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
**********************************************************************
<SwitchB>
l 配置Switch B
#
local-user client001
password simple abc
service-type ssh
level 3
#
interface Vlan-interface1
ip address 10.165.87.136 255.255.255.0
#
ssh user client001 authentication-type password
ssh user client001 service-type stelnet
#
user-interface vty 0 4
authentication-mode scheme
protocol inbound ssh
l 配置Switch A
#
interface Vlan-interface1
ip address 10.165.87.137 255.255.255.0
#
在用户界面上配置支持的协议是SSH后,为确保登录成功,请务必配置登录用户界面的认证方式为authentication-mode scheme(采用AAA认证),并确认缺省域使用的AAA方案为local。
图1-13 SSH客户端采用RSA认证时的配置组网图
当用户通过交换机远程登录到另一台交换机时,如果通过的网络不能保证安全,为更大限度地保证数据信息交换的安全性,使用SSH来实现此目的,并采用RSA认证。如图1-13所示:
l 交换机SwitchA作为SSH客户端,用来进行SSH登录的用户名为client001。
l 交换机SwitchB作为SSH服务器,IP地址为10.165.87.136。
表1-4 配置适用的交换机产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011软件版本 |
全系列硬件版本 |
|
S3100-52P |
Release 1500软件版本 |
S3100-52P |
|
E352&E328 |
Release 1510软件版本 |
E352&E328 |
|
E152 |
Release 1500软件版本 |
E152 |
|
E126 |
Release 0011软件版本 |
E126 |
l 配置SwitchB
# 在交换机上创建VLAN接口,并为其分配IP地址,作为客户端连接的SSH服务器地址。
<SwitchB> system-view
[SwitchB] interface vlan-interface 1
[SwitchB-Vlan-interface1] ip address 10.165.87.136 255.255.255.0
[SwitchB-Vlan-interface1] quit
# 生成RSA密钥对。
[SwitchB] rsa local-key-pair create
# 设置用户接口上的认证模式为AAA认证。
[SwitchB] user-interface vty 0 4
[SwitchB-ui-vty0-4] authentication-mode scheme
# 设置用户接口上支持SSH协议。
[SwitchB-ui-vty0-4] protocol inbound ssh
# 设置用户能访问的命令级别为3。
[SwitchB-ui-vty0-4] user privilege level 3
[SwitchB-ui-vty0-4] quit
# 创建用户client001,并指定认证方式为RSA认证。
[SwitchB] ssh user client001 authentication-type rsa
& 说明:
这里需要先在SSH客户端生成RSA密钥对,并将RSA公钥数据手工配置到服务器端。有关配置请参见客户端的配置。
# 在服务器端配置客户端的公钥,指定公钥名称为Switch001。
[SwitchB] rsa peer-public-key Switch001
RSA public key view: return to System View with "peer-public-key end".
[SwitchB-rsa-public-key] public-key-code begin
RSA key code view: return to last view with "public-key-code end".
[SwitchB-rsa-key-code] 3047
[SwitchB-rsa-key-code] 0240
[SwitchB-rsa-key-code] C8969B5A 132440F4 0BDB4E5E 40308747 804F608B
[SwitchB-rsa-key-code] 349EBD6A B0C75CDF 8B84DBE7 D5E2C4F8 AED72834
[SwitchB-rsa-key-code] 74D3404A 0B14363D D709CC63 68C8CE00 57C0EE6B
[SwitchB-rsa-key-code] 074C0CA9
[SwitchB-rsa-key-code] 0203
[SwitchB-rsa-key-code] 010001
[SwitchB-rsa-key-code] public-key-code end
[SwitchB-rsa-public-key] peer-public-key end
[SwitchB]
# 为用户client001指定公钥Switch001。
[SwitchB] ssh user client001 assign rsa-key Switch001
l 配置SwitchA
# 在交换机上创建VLAN接口,并为其分配IP地址,作为连接SSH服务器端的SSH客户端地址。
<SwitchA> system-view
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] ip address 10.165.87.137 255.255.255.0
[SwitchA-Vlan-interface1] quit
# 生成RSA密钥对。
[SwitchA] rsa local-key-pair create
# 显示RSA主机公钥数据(这里只显示RSA主机公钥数据部分)
<SwitchA> display rsa local-key-pair public
=====================================================
Time of Key pair created: 05:15:04 2006/12/08
Key name: SwitchA_Host
Key type: RSA encryption Key
=====================================================
Key code:
3047
0240
C8969B5A 132440F4 0BDB4E5E 40308747 804F608B
349EBD6A B0C75CDF 8B84DBE7 D5E2C4F8 AED72834
74D3404A 0B14363D D709CC63 68C8CE00 57C0EE6B
074C0CA9
0203
010001
<略>
& 说明:
客户端生成密钥对后,需要将RSA主机公钥数据手工配置到服务器端,并完成服务器端配置后才继续客户端的配置。
# 建立到服务器10.165.87.136的SSH连接。
[SwitchA] ssh2 10.165.87.136
Username: client001
Trying 10.165.87.136 ...
Press CTRL+K to abort
Connected to 10.165.87.136 ...
The Server is not authenticated. Do you continue to access it?(Y/N):y
Do you want to save the server's public key?(Y/N):n
**********************************************************************
* Copyright(c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
**********************************************************************
<SwitchB>
l 配置SwitchB
#
rsa peer-public-key Switch001
public-key-code begin
3047
0240
C8969B5A 132440F4 0BDB4E5E 40308747 804F608B 349EBD6A B0C75CDF 8B84DBE7
D5E2C4F8 AED72834 74D3404A 0B14363D D709CC63 68C8CE00 57C0EE6B 074C0CA9
0203
010001
public-key-code end
peer-public-key end
#
interface Vlan-interface1
ip address 10.165.87.136 255.255.255.0
#
ssh user client001 assign rsa-key Switch001
ssh user client001 authentication-type rsa
ssh user client001 service-type stelnet
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
l 配置Switch A
#
interface Vlan-interface1
ip address 10.165.87.137 255.255.255.0
#
无
图1-14 SSH客户端配置组网图
当用户通过交换机远程登录到另一台交换机时,如果通过的网络不能保证安全,为更大限度地保证数据信息交换的安全性,使用SSH来实现此目的。如图1-14所示:
l 交换机SwitchA作为SSH客户端,用来进行SSH登录的用户名为client001。
l 交换机SwitchB作为SSH服务器,IP地址为10.165.87.136。
l 采用RSA认证方式,以提高安全性。
表1-5 配置适用的交换机产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011软件版本 |
全系列硬件版本 |
|
S3100-52P |
Release 1500软件版本 |
S3100-52P |
|
E352&E328 |
Release 1510软件版本 |
E352&E328 |
|
E152 |
Release 1500软件版本 |
E152 |
|
E126 |
Release 0011软件版本 |
E126 |
l 配置SwitchB
# 在交换机上创建VLAN接口,并为其分配IP地址,作为客户端连接的SSH服务器地址。
<SwitchB> system-view
[SwitchB] interface vlan-interface 1
[SwitchB-Vlan-interface1] ip address 10.165.87.136 255.255.255.0
[SwitchB-Vlan-interface1] quit
# 生成RSA密钥对。
[SwitchB] rsa local-key-pair create
# 设置用户接口上的认证模式为AAA认证。
[SwitchB] user-interface vty 0 4
[SwitchB-ui-vty0-4] authentication-mode scheme
# 设置用户接口上支持SSH协议。
[SwitchB-ui-vty0-4] protocol inbound ssh
# 设置用户能访问的命令级别为3。
[SwitchB-ui-vty0-4] user privilege level 3
[SwitchB-ui-vty0-4] quit
# 创建用户client001,并指定认证方式为RSA认证。
[SwitchB] ssh user client001 authentication-type rsa
& 说明:
这里需要先在SSH客户端生成RSA密钥对,并将RSA公钥数据手工配置到服务器端。有关配置请参见客户端的配置。
# 在服务器端配置客户端的公钥,指定公钥名称为Switch001。
[SwitchB] rsa peer-public-key Switch001
RSA public key view: return to System View with "peer-public-key end".
[SwitchB-rsa-public-key] public-key-code begin
RSA key code view: return to last view with "public-key-code end".
[SwitchB-rsa-key-code] 3047
[SwitchB-rsa-key-code] 0240
[SwitchB-rsa-key-code] C8969B5A 132440F4 0BDB4E5E 40308747 804F608B
[SwitchB-rsa-key-code] 349EBD6A B0C75CDF 8B84DBE7 D5E2C4F8 AED72834
[SwitchB-rsa-key-code] 74D3404A 0B14363D D709CC63 68C8CE00 57C0EE6B
[SwitchB-rsa-key-code] 074C0CA9
[SwitchB-rsa-key-code] 0203
[SwitchB-rsa-key-code] 010001
[SwitchB-rsa-key-code] public-key-code end
[SwitchB-rsa-public-key] peer-public-key end
[SwitchB]
# 为用户client001指定公钥Switch001。
[SwitchB] ssh user client001 assign rsa-key Switch001
& 说明:
采用不支持首次认证时,需要将服务器端的RSA主机公钥数据通过手工配置方式配置到客户端。
# 显示服务器端的RSA主机公钥数据(这里只显示RSA主机公钥数据部分)。
[SwitchB] display rsa local-key-pair public
=====================================================
Time of Key pair created: 09:04:41 2000/04/04
Key name: SwitchB_Host
Key type: RSA encryption Key
=====================================================
Key code:
308188
028180
C9330FFD 2E2A606F 3BFD5554 8DACDFB8 4D754E86
FC2D15E8 1996422A 0F6A2A6A A94A207E 1E25F3F9
E0EA01A2 4E0F2FF7 B1D31505 39F02333 E443EE74
5C3615C3 E5B3DC91 D41900F0 2AE8B301 E55B1420
024ECF2C 28A6A454 C27449E0 46EB1EAF 8A918D33
BAF53AF3 63B1FB17 F01E4933 00BE2EEA A272CD78
C289B7DD 2BE0F7AD
0203
010001
<略>
l 配置SwitchA
# 在交换机上创建VLAN接口,并为其分配IP地址,作为连接SSH服务器端的SSH客户端地址。
<SwitchA> system-view
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] ip address 10.165.87.137 255.255.255.0
[SwitchA-Vlan-interface1] quit
# 生成RSA密钥对。
[SwitchA] rsa local-key-pair create
# 显示客户端的RSA主机公钥数据(这里只显示RSA主机公钥数据部分)
<SwitchA> display rsa local-key-pair public
=====================================================
Time of Key pair created: 05:15:04 2006/12/08
Key name: SwitchA_Host
Key type: RSA encryption Key
=====================================================
Key code:
3047
0240
C8969B5A 132440F4 0BDB4E5E 40308747 804F608B
349EBD6A B0C75CDF 8B84DBE7 D5E2C4F8 AED72834
74D3404A 0B14363D D709CC63 68C8CE00 57C0EE6B
074C0CA9
0203
010001
<略>
& 说明:
客户端生成密钥对后,需要将RSA主机公钥数据手工配置到服务器端,并完成服务器端配置后才继续客户端的配置。
# 设置不支持首次认证
[SwitchA] undo ssh client first-time
& 说明:
采用不支持首次认证时,需要将SSH服务器端的RSA主机公钥数据手工配置到客户端。
# 在客户端配置服务器端的公钥,指定公钥名称为Switch002。
[SwitchA] rsa peer-public-key Switch002
RSA public key view: return to System View with "peer-public-key end".
[SwitchA-rsa-public-key] public-key-code begin
RSA key code view: return to last view with "public-key-code end".
[SwitchA-rsa-key-code] 308188
[SwitchA-rsa-key-code] 028180
[SwitchA-rsa-key-code] C9330FFD 2E2A606F 3BFD5554 8DACDFB8 4D754E86
[SwitchA-rsa-key-code] FC2D15E8 1996422A 0F6A2A6A A94A207E 1E25F3F9
[SwitchA-rsa-key-code] E0EA01A2 4E0F2FF7 B1D31505 39F02333 E443EE74
[SwitchA-rsa-key-code] 5C3615C3 E5B3DC91 D41900F0 2AE8B301 E55B1420
[SwitchA-rsa-key-code] 024ECF2C 28A6A454 C27449E0 46EB1EAF 8A918D33
[SwitchA-rsa-key-code] BAF53AF3 63B1FB17 F01E4933 00BE2EEA A272CD78
[SwitchA-rsa-key-code] C289B7DD 2BE0F7AD
[SwitchA-rsa-key-code] 0203
[SwitchA-rsa-key-code] 010001
[SwitchA-rsa-key-code] public-key-code end
[SwitchA-rsa-public-key] peer-public-key end
[SwitchA]
# 在客户端上指定要连接的服务器端的主机公钥名称。
[SwitchA] ssh client 10.165.87.136 assign rsa-key Switch002
# 建立到服务器10.165.87.136的SSH连接。
[SwitchA] ssh2 10.165.87.136
Username: client001
Trying 10.165.87.136 ...
Press CTRL+K to abort
Connected to 10.165.87.136 ...
**********************************************************************
* Copyright(c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
**********************************************************************
<SwitchB>
l 配置SwitchB
#
rsa peer-public-key Switch001
public-key-code begin
3047
0240
C8969B5A 132440F4 0BDB4E5E 40308747 804F608B 349EBD6A B0C75CDF 8B84DBE7
D5E2C4F8 AED72834 74D3404A 0B14363D D709CC63 68C8CE00 57C0EE6B 074C0CA9
0203
010001
public-key-code end
peer-public-key end
#
vlan 1
#
interface Vlan-interface1
ip address 10.165.87.136 255.255.255.0
#
ssh user client001 assign rsa-key Switch001
ssh user client001 authentication-type RSA
ssh user client001 service-type stelnet
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
l 配置SwitchA
#
rsa peer-public-key Switch002
public-key-code begin
308188
028180
C9330FFD 2E2A606F 3BFD5554 8DACDFB8 4D754E86 FC2D15E8 1996422A 0F6A2A6A
A94A207E 1E25F3F9 E0EA01A2 4E0F2FF7 B1D31505 39F02333 E443EE74 5C3615C3
E5B3DC91 D41900F0 2AE8B301 E55B1420 024ECF2C 28A6A454 C27449E0 46EB1EAF
8A918D33 BAF53AF3 63B1FB17 F01E4933 00BE2EEA A272CD78 C289B7DD 2BE0F7AD
0203
010001
public-key-code end
peer-public-key end
#
interface Vlan-interface1
ip address 10.165.87.137 255.255.255.0
#
undo ssh client first-time
ssh client 10.165.87.136 assign rsa-key Switch002
#
无
图1-15 SFTP配置组网图
如图1-15,SwitchA和SwitchB之间建立SSH连接,SwitchA作为SFTP客户端登录到SwitchB,进行文件管理和文件传送等操作,用户名为client001、密码为abc。
表1-6 配置适用的交换机产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1510软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1510软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 0011软件版本 |
全系列硬件版本 |
|
S3100-52P |
Release 1500软件版本 |
S3100-52P |
|
E352&E328 |
Release 1510软件版本 |
E352&E328 |
|
E152 |
Release 1500软件版本 |
E152 |
|
E126 |
Release 0011软件版本 |
E126 |
l 配置服务器端Switch B。
#生成RSA密钥对。
<SwitchB>system-view
[SwitchB] rsa local-key-pair create
# 在交换机上创建VLAN接口,并为其分配IP地址,作为客户端连接的SSH服务器地址。
[SwitchB] interface vlan-interface 1
[SwitchB-Vlan-interface1] ip address 192.168.0.1 255.255.255.0
[SwitchB-Vlan-interface1] quit
# 设置SSH客户端登录用户界面的认证方式为AAA认证。
[SwitchB] user-interface vty 0 4
[SwitchB-ui-vty0-4] authentication-mode scheme
# 设置交换机上远程用户登录协议为SSH。
[SwitchB-ui-vty0-4] protocol inbound ssh
[SwitchB-ui-vty0-4] quit
# 创建本地用户client001。
[SwitchB] local-user client001
[SwitchB-luser-client001] password simple abc
[SwitchB-luser-client001] service-type ssh
[SwitchB-luser-client001] quit
# 配置SSH用户认证方式为password。
[SwitchB] ssh user client001 authentication-type password
# 指定SSH用户的服务类型为SFTP。
[SwitchB] ssh user client001 service-type sftp
# 启动SFTP服务器。
[SwitchB] sftp server enable
l 配置客户端Switch A。
# SwitchA上的VLAN接口的IP地址必须同SwitchB上的VLAN接口的IP地址位于同一个网段,这里设置为“192.168.0.2”。
<SwitchA> system-view
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] ip address 192.168.0.2 255.255.255.0
[SwitchA-Vlan-interface1] quit
# 与远程SFTP服务器建立连接,进入SFTP client视图。
[SwitchA] sftp 192.168.0.1
Input Username: client001
Trying 192.168.0.1 ...
Press CTRL+K to abort
Connected to 192.168.0.1 ...
The Server is not authenticated. Do you continue access it? [Y/N]:y
Do you want to save the server's public key? [Y/N]:n
Enter password:
sftp-client>
# 显示服务器的当前目录,删除文件z,并检查此目录是否删除成功。
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
-rwxrwxrwx 1 noone nogroup 0 Sep 01 08:00 z
sftp-client> delete z
The following files will be deleted:
flash:/z
Are you sure to delete it?(Y/N):y
This operation may take a long time.Please wait...
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
# 新增目录new1,并检查新目录是否创建成功。
sftp-client> mkdir new1
New directory created
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
drwxrwxrwx 1 noone nogroup 0 Sep 02 06:30 new1
# 将目录名new1更名为new2,并查看是否更名成功。
sftp-client> rename new1 new2
File successfully renamed
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
drwxrwxrwx 1 noone nogroup 0 Sep 02 06:33 new2
# 从服务器上下载文件pubkey2到本地,并更名为public。
sftp-client> get pubkey2 public
This operation may take a long time, please wait...
Remote file:flash:/pubkey2 ---> Local file: public..
Downloading file successfully ended
# 将本地文件pu上传到服务器上,更名为puk,并查看上传是否成功。
sftp-client> put pu puk
This operation may take a long time, please wait...
Local file: pu ---> Remote file: flash:/puk
Uploading file successfully ended
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
drwxrwxrwx 1 noone nogroup 0 Sep 02 06:33 new2
-rwxrwxrwx 1 noone nogroup 283 Sep 02 06:35 pub
-rwxrwxrwx 1 noone nogroup 283 Sep 02 06:36 puk
sftp-client>
# 退出SFTP。
sftp-client> quit
Bye
l 配置SwitchB
#
local-user client001
password simple abc
service-type ssh
#
interface Vlan-interface1
ip address 192.168.0.1 255.255.255.0
#
sftp server enable
ssh user client001 authentication-type password
ssh user client001 service-type sftp
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
#
l 配置switch A
#
interface Vlan-interface1
ip address 192.168.0.2 255.255.255.0
无
图1-16 SSH Server采用password认证时的配置组网图
当用户通过一个不能保证安全的网络远程登录到交换机时,为最大限度地保证数据信息交换的安全性,使用SSH来实现此目的,并采用password认证。如图1-16所示,PC终端(SSH Client)上运行支持SSH2.0的客户端软件,与交换机(SSH Server)建立本地连接。
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1602软件版本 |
全系列硬件版本 |
|
S5100-SI/EI系列 |
Release2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
|
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
|
S3100-52P |
Release 1602软件版本 |
S3100-52P |
|
S2126-EI |
Release 2106、Release 2107软件版本 |
S2126-EI |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1602软件版本 |
E152 |
|
E126 |
Release 2102、Release 2107软件版本 |
E126 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
l SSH服务器端配置
# 在交换机上创建VLAN接口,并为其分配IP地址,作为客户端连接的SSH服务器地址。
<Switch> system-view
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 192.168.0.1 255.255.255.0
[Switch-Vlan-interface1] quit
注意:
生成服务器端的RSA和DSA密钥对是完成SSH登录的必要操作。
# 生成RSA和DSA密钥对。
[Switch] public-key local create rsa
[Switch] public-key local create dsa
# 设置用户接口上的认证模式为AAA认证。
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
# 设置用户接口上支持SSH协议。
[Switch-ui-vty0-4] protocol inbound ssh
[Switch-ui-vty0-4] quit
# 创建用户client001,设置认证密码为abc,登录协议为SSH,能访问的命令级别为3。
[Switch] local-user client001
[Switch-luser-client001] password simple abc
[Switch-luser-client001] service-type ssh level 3
[Switch-luser-client001] quit
# 指定用户client001的认证方式为password
[Switch] ssh user client001 authentication-type password
l SSH客户端配置
# 客户端主机配置IP地址
客户端主机的IP地址必须同交换机上的VLAN接口的IP地址位于同一个网段,这里设置为“192.168.0.2”。
# 建立与SSH服务器端的连接
SSH客户端软件的配置(以Putty0.58为例)。
(1) 打开PuTTY.exe程序,出现如下客户端配置界面。
图1-17 SSH客户端配置界面
在“Host Name(or IP address)”文本框中输入SSH服务器的IP地址。
(2) 单击SSH客户端配置界面左边目录树(“Category”)中的连接协议(“Connection”)中的“SSH”,出现如图1-18的界面。
图1-18 SSH客户端配置界面(2)
在“Protocol options”区域中,选择“Preferred SSH protocol version”参数的值为2。
(3) 在图1-18中,单击<Open>按钮,如果连接正常则会提示用户输入用户名client001,密码abc。认证成功后,即可登录到服务器端。
#
local-user client001
password simple abc
service-type ssh
level 3
#
vlan 1
#
interface Vlan-interface1
ip address 192.168.0.1 255.255.255.0
#
#
ssh user client001 authentication-type password
ssh user client001 service-type stelnet
#
user-interface vty 0 4
authentication-mode scheme
protocol inbound ssh
#
l 生成服务器端的RSA和DSA密钥对是完成SSH登录的必要操作。
l 在用户界面上配置支持的协议是SSH后,为确保登录成功,请务必配置登录用户界面的认证方式为authentication-mode scheme(采用AAA认证),并确认缺省域使用的AAA方案为local。
图1-19 SSH Server采用公钥认证时的配置组网图
当用户通过一个不能保证安全的网络远程登录到交换机时,为最大限度地保证数据信息交换的安全性,使用SSH来实现此目的,并采用公钥认证。如图1-19所示,PC终端(SSH Client)上运行支持SSH2.0的客户端软件,与交换机(SSH Server)建立本地连接。
表1-8 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1602软件版本 |
全系列硬件版本 |
|
S5100-SI/EI系列 |
Release2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
|
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
|
S3100-52P |
Release 1602软件版本 |
S3100-52P |
|
S2126-EI |
Release 2106、Release 2107软件版本 |
S2126-EI |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1602软件版本 |
E152 |
|
E126 |
Release 2102、Release 2107软件版本 |
E126 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
& 说明:
采用公钥认证时,可以采用RSA或DSA公钥作为服务器端认证客户端的公钥。这里以RSA公钥为例。
l SSH服务器端配置
# 在交换机上创建VLAN接口,并为其分配IP地址,作为客户端连接的SSH服务器地址。
<Switch> system-view
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 192.168.0.1 255.255.255.0
[Switch-Vlan-interface1] quit
注意:
生成服务器端的RSA和DSA密钥对是完成SSH登录的必要操作。
# 生成RSA和DSA密钥对。
[Switch] public-key local create rsa
[Switch] public-key local create dsa
# 设置用户接口上的认证模式为AAA认证。
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
# 设置用户接口上支持SSH协议。
[Switch-ui-vty0-4] protocol inbound ssh
# 设置用户能访问的命令级别为3。
[Switch-ui-vty0-4] user privilege level 3
[Switch-ui-vty0-4] quit
# 创建用户client001,并指定认证方式为公钥认证。
[Switch] ssh user client001 authentication-type publickey
& 说明:
这里需要先在SSH客户端使用SSH客户端软件生成RSA密钥对,并将生成的RSA公钥保存到指定文件中,再将此公钥文件通过FTP/TFTP方式上传到服务器端,文件名为public。有关配置请参见客户端的配置。
# 在服务器端从文件public中导入客户端的公钥,公钥名为Switch001。
[Switch] public-key peer Switch001 import sshkey public
# 为用户client001指定公钥Switch001。
[Switch] ssh user client001 assign publickey Switch001
l SSH客户端的配置(以Putty0.58为例)。
# 生成密钥对。
运行PuTTYGen.exe,选择要生成的密钥对。此处参数栏选择“SSH2(RSA)”,点击<Generate>,产生客户端密钥对。
图1-20 生成客户端密钥(1)
注意:
在产生密钥对的过程中需不停的移动鼠标,鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地方,否则进程条的显示会不动,密钥对将停止产生,见图1-21。
密钥对产生后,点击<save public key>,输入存储公钥的文件名public,点击保存。
图1-22 生成客户端密钥(3)
同理,点击<save private key>存储私钥,弹出警告框,提醒是否保存没做任何保护措施的私钥,点击<Yes>,输入私钥文件名即可,此处为private.ppk,点击保存。
图1-23 生成客户端密钥(4)
& 说明:
客户端生成密钥对后,需要将保存的公钥文件通过FTP/TFTP方式上传到服务器端,并完成服务器端配置后,才可继续客户端的配置。
# 建立与SSH服务器端的连接
(2) 打开PuTTY.exe程序,出现如图1-24所示的客户端配置界面。
图1-24 SSH客户端配置界面(1)
在“Host Name(or IP address)”文本框中输入SSH服务器的IP地址。
(3) 单击SSH客户端配置界面左边目录树(“Category”)中的连接协议(“Connection”)中的“SSH”,出现如图1-25的界面。
图1-25 SSH客户端配置界面(2)
在“Protocol options”区域中,选择“Preferred SSH protocol version”参数的值为2。
(4) 单击“SSH”下面的“Auth”(认证),出现如图1-26的界面。
图1-26 SSH客户端配置界面(2)
单击<Browse…>按钮,弹出文件选择窗口。选择与配置到服务器端的公钥对应的私钥文件,并确定即可。
如图1-26,单击<Open>按钮,如果连接正常则会提示用户输入用户名client001。认证成功后,即可登录到服务器端。
#
public-key peer Switch001
public-key-code begin
30819F300D06092A864886F70D010101050003818D0030818902818100C3FDC7D2ACE733EE
40D78590C4710251119F86F3007EBC818EB5186E040B34582FC02ECD0276CE430F10DC3DDB
4D36332DB9845490C6F00921C2C4C8A15CEFDE45EB82A987E71C529696D1473F2F3FCDED1D
9D3EA7C8B0C05CD188A2DE36C4A627DA798F62D19837A33D5CC9EAEB78CC17CFD6E6B42DD1
public-key-code end
peer-public-key end
#
interface Vlan-interface1
ip address 192.168.0.1 255.255.255.0
#
ssh user client001 assign publickey Switch001
ssh user client001 authentication-type publickey
ssh user client001 service-type stelnet
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
生成服务器端的RSA和DSA密钥对是完成SSH登录的必要操作。
图1-27 SSH客户端采用password认证时的配置组网图
当用户通过交换机远程登录到另一台交换机时,如果通过的网络不能保证安全,为最大限度地保证数据信息交换的安全性,使用SSH来实现此目的,并采用password认证。如图1-27所示:
l 交换机Switch A作为SSH客户端,用来进行SSH登录的用户名为client001。
l 交换机Switch B作为SSH服务器,IP地址为10.165.87.136。
表1-9 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1602软件版本 |
全系列硬件版本 |
|
S5100-SI/EI系列 |
Release2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
|
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
|
S3100-52P |
Release 1602软件版本 |
S3100-52P |
|
S2126-EI |
Release 2106、Release 2107软件版本 |
S2126-EI |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1602软件版本 |
E152 |
|
E126 |
Release 2102、Release 2107软件版本 |
E126 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
配置SwitchB
# 在交换机上创建VLAN接口,并为其分配IP地址,作为客户端连接的SSH服务器地址。
<SwitchB> system-view
[SwitchB] interface vlan-interface 1
[SwitchB-Vlan-interface1] ip address 10.165.87.136 255.255.255.0
[SwitchB-Vlan-interface1] quit
注意:
生成服务器端的RSA和DSA密钥对是完成SSH登录的必要操作。
# 生成RSA和DSA密钥对。
[SwitchB] public-key local create rsa
[SwitchB] public-key local create dsa
# 设置用户接口上的认证模式为AAA认证。
[SwitchB] user-interface vty 0 4
[SwitchB-ui-vty0-4] authentication-mode scheme
# 设置用户接口上支持SSH协议。
[SwitchB-ui-vty0-4] protocol inbound ssh
[SwitchB-ui-vty0-4] quit
# 创建用户client001,设置认证密码为abc,登录协议为SSH,能访问的命令级别为3。
[SwitchB] local-user client001
[SwitchB-luser-client001] password simple abc
[SwitchB-luser-client001] service-type ssh level 3
[SwitchB-luser-client001] quit
# 配置SSH用户client001认证方式为password。
[SwitchB] ssh user client001 authentication-type password
配置SwitchA
# 在交换机上创建VLAN接口,并为其分配IP地址,作为连接SSH服务器端的SSH客户端地址。
<SwitchA> system-view
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] ip address 10.165.87.137 255.255.255.0
[SwitchA-Vlan-interface1] quit
# 建立到服务器10.165.87.136的SSH连接。
[SwitchA] ssh2 10.165.87.136
Connected to 10.165.87.136 ...
The Server is not authenticated. Do you continue to access it?(Y/N):y
Do you want to save the server's public key?(Y/N):n
**************************************************************************
* Copyright(c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
**************************************************************************
<SwitchB>
l 配置Switch B
#
local-user client001
password simple abc
service-type ssh
level 3
#
interface Vlan-interface1
ip address 10.165.87.136 255.255.255.0
#
ssh user client001 authentication-type password
ssh user client001 service-type stelnet
#
user-interface vty 0 4
authentication-mode scheme
protocol inbound ssh
l 配置Switch A
#
interface Vlan-interface1
ip address 10.165.87.137 255.255.255.0
#
l 生成服务器端的RSA和DSA密钥对是完成SSH登录的必要操作。
l 在用户界面上配置支持的协议是SSH后,为确保登录成功,请务必配置登录用户界面的认证方式为authentication-mode scheme(采用AAA认证),并确认缺省域使用的AAA方案为local。
图1-28 SSH客户端采用公钥认证时的配置组网图
当用户通过交换机远程登录到另一台交换机时,如果通过的网络不能保证安全,为更大限度地保证数据信息交换的安全性,使用SSH来实现此目的,并采用公钥认证。如图1-28所示:
l 交换机Switch A作为SSH客户端,用来进行SSH登录的用户名为client001。
l 交换机Switch B作为SSH服务器,IP地址为10.165.87.136。
表1-10 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1602软件版本 |
全系列硬件版本 |
|
S5100-SI/EI系列 |
Release2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
|
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
|
S3100-52P |
Release 1602软件版本 |
S3100-52P |
|
S2126-EI |
Release 2106、Release 2107软件版本 |
S2126-EI |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1602软件版本 |
E152 |
|
E126 |
Release 2102、Release 2107软件版本 |
E126 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
& 说明:
采用公钥认证时,可以采用RSA或DSA公钥作为服务器端认证客户端的公钥。这里以DSA公钥为例。
l 配置SwitchB
# 在交换机上创建VLAN接口,并为其分配IP地址,作为客户端连接的SSH服务器地址。
<SwitchB> system-view
[SwitchB] interface vlan-interface 1
[SwitchB-Vlan-interface1] ip address 10.165.87.136 255.255.255.0
[SwitchB-Vlan-interface1] quit
注意:
生成服务器端的RSA和DSA密钥对是完成SSH登录的必要操作。
# 生成RSA和DSA密钥对。
[SwitchB] public-key local create rsa
[SwitchB] public-key local create dsa
# 设置用户接口上的认证模式为AAA认证。
[SwitchB] user-interface vty 0 4
[SwitchB-ui-vty0-4] authentication-mode scheme
# 设置用户接口上支持SSH协议。
[SwitchB-ui-vty0-4] protocol inbound ssh
# 设置用户能访问的命令级别为3。
[SwitchB-ui-vty0-4] user privilege level 3
[SwitchB-ui-vty0-4] quit
# 创建用户client001,并指定认证方式为公钥认证。
[SwitchB] ssh user client001 authentication-type publickey
& 说明:
这里需要先在SSH客户端生成DSA密钥对,并将生成的DSA公钥保存到指定文件中,再将此公钥文件通过FTP/TFTP方式上传到服务器端,文件名为Switch001。有关配置请参见客户端的配置。
# 在服务器端从文件Switch001中导入客户端的公钥,公钥名为Switch001。
[SwitchB] public-key peer Switch001 import sshkey Switch001
# 为用户client001指定公钥Switch001。
[SwitchB] ssh user client001 assign publickey Switch001
l 配置SwitchA
# 在交换机上创建VLAN接口,并为其分配IP地址,作为连接SSH服务器端的SSH客户端地址。
<SwitchA> system-view
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] ip address 10.165.87.137 255.255.255.0
[SwitchA-Vlan-interface1] quit
# 生成DSA密钥对。
[SwitchA] public-key local create dsa
# 将生成的DSA主机公钥导出到指定文件中,文件名为Switch001。
[SwitchA] public-key local export dsa ssh2 Switch001
& 说明:
客户端生成密钥对后,需要将保存的公钥文件通过FTP/TFTP方式上传到服务器端,并完成服务器端配置后,才可继续客户端的配置。
# 建立到服务器10.165.87.136的SSH连接。
[SwitchA] ssh2 10.165.87.136 identity-key dsa
Connected to 10.165.87.136 ...
The Server is not authenticated. Do you continue to access it?(Y/N):y
Do you want to save the server's public key?(Y/N):n
**************************************************************************
* Copyright(c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
**************************************************************************
<SwitchB>
l 配置SwitchB
#
public-key peer Switch001
public-key-code begin
308201B73082012C06072A8648CE3804013082011F02818100D757262C4584C44C211F18BD
96E5F061C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE65BE6C265854889DC1E
DBD13EC8B274DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B06FD60FE01941D
DD77FE6B12893DA76EEBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B36895038
7811C7DA33021500C773218C737EC8EE993B4F2DED30F48EDACE915F0281810082269009E1
4EC474BAF2932E69D3B1F18517AD9594184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD
35D02492B3959EC6499625BC4FA5082E22C5B374E16DD00132CE71B020217091AC717B6123
91C76C1FB2E88317C1BD8171D41ECB83E210C03CC9B32E810561C21621C73D6DAAC028F4B1
585DA7F42519718CC9B09EEF0381840002818066E34E6F395E111C559A97BCB67B019DAA4C
4292E4AF541F71DD16A4CE6463F55491B38B24E5F7DC7CFD0B80F6E61916C60DB29DC62B44
AFC87ED3725AB6592BE5F2D3BA64BC1ACC5642D493C64A915157514D0C94A0019BBB38E7B8
092765BB30FB45C78C2B7EF564BF8F0C27E9A923675DCCEEAC193413BD120D43652A149E
public-key-code end
peer-public-key end
#
interface Vlan-interface1
ip address 10.165.87.136 255.255.255.0
#
ssh user client001 assign publickey Switch001
ssh user client001 authentication-type publickey
ssh user client001 service-type stelnet
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
l 配置Switch A
#
interface Vlan-interface1
ip address 10.165.87.137 255.255.255.0
#
生成服务器端的RSA和DSA密钥对是完成SSH登录的必要操作。
图1-29 SSH客户端配置组网图
当用户通过交换机远程登录到另一台交换机时,如果通过的网络不能保证安全,为更大限度地保证数据信息交换的安全性,使用SSH来实现此目的。如图1-29所示:
l 交换机Switch A作为SSH客户端,用来进行SSH登录的用户名为client001。
l 交换机Switch B作为SSH服务器,IP地址为10.165.87.136。
l 采用公钥认证方式,以提高安全性。
表1-11 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1602软件版本 |
全系列硬件版本 |
|
S5100-SI/EI系列 |
Release2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
|
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
|
S3100-52P |
Release 1602软件版本 |
S3100-52P |
|
S2126-EI |
Release 2106、Release 2107软件版本 |
S2126-EI |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1602软件版本 |
E152 |
|
E126 |
Release 2102、Release 2107软件版本 |
E126 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
配置SwitchB
# 在交换机上创建VLAN接口,并为其分配IP地址,作为客户端连接的SSH服务器地址。
<SwitchB> system-view
[SwitchB] interface vlan-interface 1
[SwitchB-Vlan-interface1] ip address 10.165.87.136 255.255.255.0
[SwitchB-Vlan-interface1] quit
注意:
生成服务器端的RSA和DSA密钥对是完成SSH登录的必要操作。
# 生成RSA和DSA密钥对。
[SwitchB] public-key local create rsa
[SwitchB] public-key local create dsa
# 设置用户接口上的认证模式为AAA认证。
[SwitchB] user-interface vty 0 4
[SwitchB-ui-vty0-4] authentication-mode scheme
# 设置用户接口上支持SSH协议。
[SwitchB-ui-vty0-4] protocol inbound ssh
# 设置用户能访问的命令级别为3。
[SwitchB-ui-vty0-4] user privilege level 3
[SwitchB-ui-vty0-4] quit
# 创建用户client001,并指定认证方式为公钥认证。
[SwitchB] ssh user client001 authentication-type publickey
& 说明:
这里需要先在SSH客户端生成DSA密钥对,并将生成的DSA公钥保存到指定文件中,再将此公钥文件通过FTP/TFTP方式上传到服务器端,文件名为Switch001。有关配置请参见客户端的配置。
# 在服务器端从文件Switch001中导入客户端的公钥,公钥名为Switch001。
[SwitchB] public-key peer Switch001 import sshkey Switch001
# 为用户client001指定公钥Switch001。
[SwitchB] ssh user client001 assign publickey Switch001
# 将服务器端生成的DSA主机公钥导出到指定文件中,文件名为Switch002。
[SwitchB] public-key local export dsa ssh2 Switch002
& 说明:
采用不支持首次认证时,需要将服务器端导出的DSA密钥的公钥文件通过FTP/TFTP方式上传到客户端,文件名为Switch002。
配置SwitchA
# 在交换机上创建VLAN接口,并为其分配IP地址,作为连接SSH服务器端的SSH客户端地址。
<SwitchA> system-view
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] ip address 10.165.87.137 255.255.255.0
[SwitchA-Vlan-interface1] quit
# 生成DSA密钥对。
[SwitchA] public-key local create dsa
# 将生成的DSA主机公钥导出到指定文件中,文件名为Switch001。
[SwitchA] public-key local export dsa ssh2 Switch001
& 说明:
客户端生成密钥对后,需要将导出的公钥文件通过FTP/TFTP方式上传到服务器端。并完成服务器端配置后,才可继续客户端的配置。
# 设置不支持首次认证
[SwitchA] undo ssh client first-time
& 说明:
采用不支持首次认证时,需要先在SSH服务器端将SSH服务器端生成的DSA公钥导出到指定文件中,再将此公钥文件通过FTP/TFTP方式上传到客户端,文件名为Switch002。有关配置请参见服务器端的配置。
# 在客户端从文件Switch002中导入服务器端的公钥,公钥名为Switch002。
[SwitchA] public-key peer Switch002 import sshkey Switch002
# 在客户端上指定要连接的服务器端的主机公钥名称。
[SwitchA] ssh client 10.165.87.136 assign publickey Switch002
# 建立到服务器10.165.87.136的SSH连接。
[SwitchA] ssh2 10.165.87.136 identity-key dsa
Connected to 10.165.87.136 ...
**************************************************************************
* Copyright(c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
**************************************************************************
<SwitchB>
l 配置SwitchB
#
public-key peer Switch001
public-key-code begin
308201B73082012C06072A8648CE3804013082011F02818100D757262C4584C44C211F18BD
96E5F061C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE65BE6C265854889DC1E
DBD13EC8B274DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B06FD60FE01941D
DD77FE6B12893DA76EEBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B36895038
7811C7DA33021500C773218C737EC8EE993B4F2DED30F48EDACE915F0281810082269009E1
4EC474BAF2932E69D3B1F18517AD9594184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD
35D02492B3959EC6499625BC4FA5082E22C5B374E16DD00132CE71B020217091AC717B6123
91C76C1FB2E88317C1BD8171D41ECB83E210C03CC9B32E810561C21621C73D6DAAC028F4B1
585DA7F42519718CC9B09EEF0381840002818066E34E6F395E111C559A97BCB67B019DAA4C
4292E4AF541F71DD16A4CE6463F55491B38B24E5F7DC7CFD0B80F6E61916C60DB29DC62B44
AFC87ED3725AB6592BE5F2D3BA64BC1ACC5642D493C64A915157514D0C94A0019BBB38E7B8
092765BB30FB45C78C2B7EF564BF8F0C27E9A923675DCCEEAC193413BD120D43652A149E
public-key-code end
peer-public-key end
#
vlan 1
#
interface Vlan-interface1
ip address 10.165.87.136 255.255.255.0
#
ssh user client001 assign publickey Switch001
ssh user client001 authentication-type publickey
ssh user client001 service-type stelnet
#
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
protocol inbound ssh
#
l 配置SwitchA
#
public-key peer Switch002
public-key-code begin
308201B83082012C06072A8648CE3804013082011F02818100D757262C4584C44C211F18BD
96E5F061C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE65BE6C265854889DC1E
DBD13EC8B274DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B06FD60FE01941D
DD77FE6B12893DA76EEBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B36895038
7811C7DA33021500C773218C737EC8EE993B4F2DED30F48EDACE915F0281810082269009E1
4EC474BAF2932E69D3B1F18517AD9594184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD
35D02492B3959EC6499625BC4FA5082E22C5B374E16DD00132CE71B020217091AC717B6123
91C76C1FB2E88317C1BD8171D41ECB83E210C03CC9B32E810561C21621C73D6DAAC028F4B1
585DA7F42519718CC9B09EEF0381850002818100A777C1A45FCF8F3B267944D7AF6F8F24FA
9301B452E833710EE0A076A44ED6B70D114E9CDFE58BF4081D347D1664376D33C365C07200
9ACC6347BACA0C0D6AB8D4954861458CFB5EE469155FD649CC406640FCECCD663036E0A1C2
73D56A04C56ED5B240F9C6C1C680CF97A7A04381A340EC94B28C73C71541D89880778C2D94
public-key-code end
peer-public-key end
#
vlan 1
#
interface Vlan-interface1
ip address 10.165.87.137 255.255.255.0
#
undo ssh client first-time
ssh client 10.165.87.136 assign publickey Switch002
#
生成服务器端的RSA和DSA密钥对是完成SSH登录的必要操作。
图1-30 SFTP配置示意图
SFTP客户端(SwitchA)和SFTP服务器(SwitchB)之间建立SSH连接,SFTP客户端(Switch A)登录到SFTP服务器(Switch B),进行文件管理和文件传送等操作,在SFTP服务器上已经存在SFTP用户名为client001、密码为abc。
表1-12 配置适用的产品与软硬件版本关系
|
产品 |
软件版本 |
硬件版本 |
|
S5600系列 |
Release 1602软件版本 |
全系列硬件版本 |
|
S5100-SI/EI系列 |
Release2200、Release 2201软件版本 |
全系列硬件版本 |
|
S3600-SI/EI系列 |
Release 1602软件版本 |
全系列硬件版本 |
|
S3100-EI系列 |
Release 2104、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-C-SI系列 S3100-T-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 |
|
S3100-TP-SI系列 |
Release 2102、Release 2107软件版本 |
全系列硬件版本 (除S3100-52TP-SI) |
|
S3100-52TP-SI |
Release 2106、Release 2107软件版本 |
S3100-52TP-SI |
|
S3100-52P |
Release 1602软件版本 |
S3100-52P |
|
S2126-EI |
Release 2106、Release 2107软件版本 |
S2126-EI |
|
S2000-EA系列 |
Release 2107软件版本 |
全系列硬件版本 |
|
E352&E328 |
Release 1602软件版本 |
E352&E328 |
|
E152 |
Release 1602软件版本 |
E152 |
|
E126 |
Release 2102、Release 2107软件版本 |
E126 |
|
E126A |
Release 2104、Release 2107软件版本 |
E126A |
(1) SFTP服务器(Switch B)上的配置:
# 生成密钥对
<SwitchB> system-view
[SwitchB] public-key local create rsa
[SwitchB] public-key local create dsa
# 在交换机上创建VLAN接口,并为其分配IP地址,此IP地址将作为客户端连接到SFTP服务器时所使用的目的地址。
[SwitchB] interface vlan-interface 1
[SwitchB-Vlan-interface1] ip address 192.168.0.1 255.255.255.0
[SwitchB-Vlan-interface1] quit
# 设置SFTP客户端登录SFTP服务器用户界面的SSH认证方式为AAA认证。
[SwitchB] user-interface vty 0 4
[SwitchB-ui-vty0-4] authentication-mode scheme
# 设置交换机上远程用户登录协议为SSH。
[SwitchB-ui-vty0-4] protocol inbound ssh
[SwitchB-ui-vty0-4] quit
# 创建本地用户client001。
[SwitchB] local-user client001
[SwitchB-luser-client001] password simple abc
[SwitchB-luser-client001] service-type ssh
[SwitchB-luser-client001] quit
# 配置SSH用户认证方式为password。SSH的认证超时时间、尝试次数以及服务器密钥更新时间采用系统默认值。
[SwitchB] ssh user client001 authentication-type password
# 指定用户的服务类型为SFTP。
[SwitchB] ssh user client001 service-type sftp
# 启动SFTP服务器。
[SwitchB] sftp server enable
(2) SFTP客户端(Switch A)上的配置:
# SwitchA上的VLAN接口的IP地址必须同SwitchB上的VLAN接口的IP地址位于同一个网段,这里设置为“192.168.0.2”。
<SwitchA> system-view
[SwitchA] interface vlan-interface 1
[SwitchA-Vlan-interface1] ip address 192.168.0.2 255.255.255.0
[SwitchA-Vlan-interface1] quit
# 与远程SFTP服务器建立连接,并输入用户名client001、密码为abc进行登陆,进入sftp-client视图。
[SwitchA] sftp 192.168.0.1
The Server is not authenticated. Do you continue to access it?(Y/N):y
Do you want to save the server's public key?(Y/N):n
sftp-client>
# 显示服务器的当前目录,删除文件z,并检查此文件是否删除成功。
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
-rwxrwxrwx 1 noone nogroup 0 Sep 01 08:00 z
sftp-client> delete z
The following files will be deleted:
/z
Are you sure to delete it?(Y/N):y
This operation may take a long time.Please wait...
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
# 新增目录new1,并检查新目录是否创建成功。
sftp-client> mkdir new1
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
drwxrwxrwx 1 noone nogroup 0 Sep 02 06:30 new1
# 将目录名new1更名为new2,并查看是否更名成功。
sftp-client> rename new1 new2
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
-rwxrwxrwx 1 noone nogroup 225 Sep 01 06:55 pub
drwxrwxrwx 1 noone nogroup 0 Sep 02 06:33 new2
# 从服务器上下载文件pubkey2到本地,并更名为public。
sftp-client> get pubkey2 public
This operation may take a long time, please wait...
.
Remote file:/pubkey2 ---> Local file: public..
Downloading file successfully ended
# 将本地文件pu上传到服务器上,更名为puk,并查看上传是否成功。
sftp-client> put pu puk
This operation may take a long time, please wait...
Local file: pu ---> Remote file: /puk
Uploading file successfully ended
sftp-client> dir
-rwxrwxrwx 1 noone nogroup 1759 Aug 23 06:52 config.cfg
-rwxrwxrwx 1 noone nogroup 225 Aug 24 08:01 pubkey2
-rwxrwxrwx 1 noone nogroup 283 Aug 24 07:39 pubkey1
drwxrwxrwx 1 noone nogroup 0 Sep 01 06:22 new
drwxrwxrwx 1 noone nogroup 0 Sep 02 06:33 new2
-rwxrwxrwx 1 noone nogroup 283 Sep 02 06:35 pub
-rwxrwxrwx 1 noone nogroup 283 Sep 02 06:36 puk
sftp-client>
# 退出SFTP。
sftp-client> quit
[SwitchA]
l 配置SwitchB
#
local-user client001
password simple abc
service-type ssh
#
vlan 1
#
interface Vlan-interface1
ip address 192.168.0.1 255.255.255.0
#
sftp server enable
ssh user client001 authentication-type password
ssh user client001 service-type sftp
#
user-interface vty 0 4
authentication-mode scheme
protocol inbound ssh
#
l 配置SwitchA
#
vlan 1
#
interface Vlan-interface1
ip address 192.168.0.2 255.255.255.0
#
生成服务器端的RSA和DSA密钥对是完成SSH登录的必要操作。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
