• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

02-设备管理

目录

02-H3C无线控制器SSH典型配置举例

本章节下载 02-H3C无线控制器SSH典型配置举例  (709.17 KB)

02-H3C无线控制器SSH典型配置举例

H3C无线控制器SSH典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



1  简介

本文档介绍SSH典型配置举例。

2  配置前提

本文档适用于使用Comware软件版本的无线控制器和接入点产品,不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解WLAN接入和SSH的特性。

3  设备作为Stelnet服务器配置举例(password认证)

说明

无线控制器和客户端路由可达。

 

3.1  组网需求

·     用户可以通过Client上运行的Stelnet客户端软件(SSH2版本)安全地登录到AC上,并被授予用户角色network-admin进行配置管理;

·     AC采用password认证方式对Stelnet客户端进行认证,客户端的用户名和密码保存在本地。

图1 设备作为Stelnet服务器配置组网图

 

3.2  配置步骤

(1)     配置Stelnet服务器

# 生成RSA密钥对。

<AC> system-view

[AC] public-key local create rsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[AC] public-key local create dsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+.

Create the key pair successfully.

# 生成ECDSA密钥对。

[AC] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 使能Stelnet服务器功能。

[AC] ssh server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器。

[AC] interface vlan-interface 2

[AC-Vlan-interface2] ip address 192.168.1.40 255.255.255.0

[AC-Vlan-interface2] quit

# 设置Stelnet客户端登录用户线的认证方式为AAA认证。

[AC] line vty 0 15

[AC-line-vty0-15] authentication-mode scheme

[AC-line-vty0-15] quit

# 创建设备管理类本地用户client001,并设置密码为明文aabbcc,服务类型为SSH,用户角色为network-admin。

[AC] local-user client001 class manage

[AC-luser-manage-client001] password simple aabbcc

[AC-luser-manage-client001] service-type ssh

[AC-luser-manage-client001] authorization-attribute user-role network-admin

[AC-luser-manage-client001] quit

# 配置SSH用户client001的服务类型为Stelnet,认证方式为password认证。(此步骤可以不配置)

[AC] ssh user client001 service-type stelnet authentication-type password

3.3  验证配置

说明

Stelnet客户端软件有很多,例如PuTTY、OpenSSH等。本文中仅以客户端软件PuTTY0.58为例,说明Stelnet客户端的配置方法。

 

# 建立与Stelnet服务器端的连接。

打开PuTTY.exe程序,出现如图2所示的客户端配置界面。在“Host Name(or IP address)”文本框中输入Stelnet服务器的IP地址为192.168.1.40。

图2 Stelnet客户端配置界面

 

图2中,单击<Open>按钮。按提示输入用户名client001及密码aabbcc,即可进入AC的配置界面。

4  设备作为Stelnet服务器配置举例(publickey认证)

4.1  组网需求

·     用户可以通过Client上运行的Stelnet客户端软件(SSH2版本)安全地登录到AC上,并被授予用户角色network-admin进行配置管理;

·     AC采用publickey认证方式对Stelnet客户端进行认证,使用的公钥算法为RSA。

图3 设备作为Stelnet服务器配置组网图

 

 

4.2  配置步骤

说明

·     在服务器的配置过程中需要指定客户端的公钥信息,因此建议首先完成客户端密钥对的配置,再进行服务器的配置。

·     客户端软件有很多,例如PuTTY、OpenSSH等。本文中仅以客户端软件PuTTY0.58为例,说明Stelnet客户端的配置方法。

 

(1)     配置Stelnet客户端

# 生成RSA密钥对。

在客户端运行PuTTYGen.exe,在参数栏中选择“SSH-2 RSA”,点击<Generate>,产生客户端密钥对。

图4 生成客户端密钥(步骤1)

 

在产生密钥对的过程中需不停地移动鼠标,鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地方,否则进程条的显示会不动,密钥对将停止产生,见图5

图5 生成客户端密钥(步骤2

 

密钥对产生后,点击<Save public key>,输入存储公钥的文件名key.pub,点击<保存>按钮。

图6 生成客户端密钥(步骤3)

 

点击<Save private key>存储私钥,弹出警告框,提醒是否保存没做任何保护措施的私钥,点击<Yes>,输入私钥文件名为private.ppk,点击保存。

图7 生成客户端密钥(步骤4)

 

客户端生成密钥对后,需要将保存的公钥文件key.pub通过FTP/TFTP方式上传到服务器,具体过程略。

(2)     配置Stelnet服务器

# 生成RSA密钥对。

<AC> system-view

[AC] public-key local create rsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[AC] public-key local create dsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+

Create the key pair successfully.

# 生成ECDSA密钥对。

[AC] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 使能Stelnet服务器功能。

[AC] ssh server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器。

[AC] interface vlan-interface 2

[AC-Vlan-interface2] ip address 192.168.1.40 255.255.255.0

[AC-Vlan-interface2] quit

# 设置Stelnet客户端登录用户线的认证方式为AAA认证。

[AC] line vty 0 15

[AC-line-vty0-15] authentication-mode scheme

[AC-line-vty0-15] quit

# 从文件key.pub中导入远端的公钥,并命名为ackey。

[AC] public-key peer ackey import sshkey key.pub

# 设置SSH用户client002的认证方式为publickey,并指定公钥为ackey。

[AC] ssh user client002 service-type stelnet authentication-type publickey assign publickey ackey

# 创建设备管理类本地用户client002,并设置服务类型为SSH,用户角色为network-admin。

[AC] local-user client002 class manage

[AC-luser-manage-client002] service-type ssh

[AC-luser-manage-client002] authorization-attribute user-role network-admin

[AC-luser-manage-client002] quit

4.3  验证配置

# 指定私钥文件,并建立与Stelnet服务器的连接。

打开PuTTY.exe程序,出现如图8所示的客户端配置界面。在“Host Name(or IP address)”文本框中输入Stelnet服务器的IP地址为192.168.1.40。

图8 Stelnet客户端配置界面

 

# 单击左侧导航栏“Connection->SSH”,出现如图9的界面。选择“Preferred SSH protocol version”为“2”。

图9 Stelnet客户端配置界面

 

单击左侧导航栏“Connection->SSH”下面的“Auth”(认证),出现如图10的界面。单击<Browse…>按钮,弹出文件选择窗口。选择与配置到服务器端的公钥对应的私钥文件private.ppk。

图10 Stelnet客户端配置界面

 

图10,单击<Open>按钮。按提示输入用户名client002,即可进入Switch的配置界面。

5  设备作为Stelnet客户端配置举例(password认证)

5.1  组网需求

·     配置AC作为Stelnet客户端,用户能够通过AC安全地登录到Switch上,并被授予用户角色network-admin进行配置管理。

·     Switch作为Stelnet服务器采用password认证方式对Stelnet客户端进行认证,客户端的用户名和密码保存在Switch上。

图11 设备作为Stelnet客户端配置组网图

 

5.2  配置步骤

(1)     配置Stelnet服务器

# 生成RSA密钥对。

<Switch> system-view

[Switch] public-key local create rsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[Switch] public-key local create dsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+

Create the key pair successfully.

# 生成ECDSA密钥对。

[Switch] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 使能Stelnet服务器功能。

[Switch] ssh server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接Stelnet服务器。

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.1.40 255.255.255.0

[Switch-Vlan-interface2] quit

# 设置Stelnet客户端登录用户线的认证方式为AAA认证。

[Switch] line vty 0 15

[Switch-line-vty0-15] authentication-mode scheme

[Switch-line-vty0-15] quit

# 创建设备管理类本地用户client001,并设置密码为明文aabbcc,服务类型为SSH,用户角色为network-admin。

[Switch] local-user client001 class manage

[Switch-luser-manage-client001] password simple aabbcc

[Switch-luser-manage-client001] service-type ssh

[Switch-luser-manage-client001] authorization-attribute user-role network-admin

[Switch-luser-manage-client001] quit

# 配置SSH用户client001的服务类型为Stelnet,认证方式为password认证。(此步骤可以不配置)

[Switch] ssh user client001 service-type stelnet authentication-type password

(2)     Stelnet客户端建立与Stelnet服务器的连接

# 配置VLAN接口2的IP地址。

<AC> system-view

[AC] interface vlan-interface 2

[AC-Vlan-interface2] ip address 192.168.1.56 255.255.255.0

[AC-Vlan-interface2] quit

[AC] quit

5.3  验证配置

·     客户端本地没有服务器端的主机公钥,首次与服务器建立连接

# 建立到服务器192.168.1.40的SSH连接,选择在不认证服务器的情况下继续访问服务网,并在客户端保存服务器端的本地公钥。

<AC> ssh2 192.168.1.40

Username: client001

Press CTRL+C to abort.

Connecting to 192.168.1.40 port 22.

The server is not authenticated. Continue? [Y/N]:y

Do you want to save the server public key? [Y/N]:y

client001@192.168.1.40's password:

 

Enter a character ~ and a dot to abort.

 

******************************************************************************

* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<Switch>

输入正确的用户名和密码之后,即可成功登录到Switch上。由于选择在本地保存服务器端的主机公钥,下次用户登录Switch时直接输入正确密码即可成功登录。

·     客户端配置服务器端的主机公钥后,与服务器建立连接

# 在客户端配置SSH服务器端的主机公钥。在公钥视图输入服务器端的主机公钥,即在服务器端通过display public-key local dsa public命令显示的公钥内容。

[AC] public-key peer key1

Enter public key view. Return to system view with "peer-public-key end" command.

[AC-pkey-public-key-key1]308201B73082012C06072A8648CE3804013082011F0281810

0D757262C4584C44C211F18BD96E5F0

[AC-pkey-public-key-key1]61C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE

65BE6C265854889DC1EDBD13EC8B274

[AC-pkey-public-key-key1]DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B0

6FD60FE01941DDD77FE6B12893DA76E

[AC-pkey-public-key-key1]EBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B3

68950387811C7DA33021500C773218C

[AC-pkey-public-key-key1]737EC8EE993B4F2DED30F48EDACE915F0281810082269009E

14EC474BAF2932E69D3B1F18517AD95

[AC-pkey-public-key-key1]94184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD35D02

492B3959EC6499625BC4FA5082E22C5

[AC-pkey-public-key-key1]B374E16DD00132CE71B020217091AC717B612391C76C1FB2E

88317C1BD8171D41ECB83E210C03CC9

[AC-pkey-public-key-key1]B32E810561C21621C73D6DAAC028F4B1585DA7F42519718CC

9B09EEF0381840002818000AF995917

[AC-pkey-public-key-key1]E1E570A3F6B1C2411948B3B4FFA256699B3BF871221CC9C5D

F257523777D033BEE77FC378145F2AD

[AC-pkey-public-key-key1]D716D7DB9FCABB4ADBF6FB4FDB0CA25C761B308EF53009F71

01F7C62621216D5A572C379A32AC290

[AC-pkey-public-key-key1]E55B394A217DA38B65B77F0185C8DB8095522D1EF044B465E

8716261214A5A3B493E866991113B2D

[AC-pkey-public-key-key1]485348

[AC-pkey-public-key-key1] peer-public-key end

[AC] quit

# 建立到服务器192.168.1.40的SSH连接,并指定服务器端的主机公钥。

<AC> ssh2 192.168.1.40 public-key key1

Username: client001

Press CTRL+C to abort.

Connecting to 192.168.1.40 port 22.

client001@192.168.1.40's password:

Enter a character ~ and a dot to abort.

 

******************************************************************************

* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<Switch>

输入正确的用户名和密码之后,即可成功登录到Switch B上。

·     客户端本地已有服务器端的主机公钥,直接与服务器建立连接

<AC> ssh2 192.168.1.40

Username: client001

Press CTRL+C to abort.

Connecting to 192.168.1.40 port 22.

client001@192.168.1.40's password:

Enter a character ~ and a dot to abort.

 

******************************************************************************

* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<Switch>

输入正确的密码之后,即可成功登录到Switch B上。

6  设备作为Stelnet客户端配置举例(publickey认证)

6.1  组网需求

·     配置AC作为Stelnet客户端,用户能够通过AC安全地登录到Switch上,并被授予用户角色network-admin进行配置管理。

·     Switch作为Stelnet服务器采用publickey认证方式对Stelnet客户端进行认证,使用的公钥算法为DSA。

图12 设备作为Stelnet客户端配置组网图

 

6.2  配置步骤

说明

在服务器的配置过程中需要指定客户端的公钥信息,因此需要首先完成客户端密钥对的配置,再进行服务器的配置。

 

(1)     配置Stelnet客户端

# 配置VLAN接口2的IP地址。

<AC> system-view

[AC] interface vlan-interface 2

[AC-Vlan-interface2] ip address 192.168.1.56 255.255.255.0

[AC-Vlan-interface2] quit

# 生成DSA密钥对。

[AC] public-key local create dsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+

Create the key pair successfully.

# 将生成的DSA主机公钥导出到指定文件key.pub中。

[AC] public-key local export dsa ssh2 key.pub

[AC] quit

客户端生成密钥对后,需要将保存的公钥文件key.pub通过FTP/TFTP方式上传到服务器,具体过程略。

(2)     配置Stelnet服务器

# 生成RSA密钥对。

<Switch> system-view

[Switch] public-key local create rsa

The range of public key size is (512 ~ 2048)

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[Switch] public-key local create dsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+

Create the key pair successfully.

# 生成ECDSA密钥对。

[Switch] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 使能Stelnet服务器功能。

[Switch] ssh server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接SSH服务器。

[Switch] interface vlan-interface 2

[Switch-Vlan-interface2] ip address 192.168.1.40 255.255.255.0

[Switch-Vlan-interface2] quit

# 设置Stelnet客户端登录用户线的认证方式为AAA认证。

[Switch] line vty 0 15

[Switch-line-vty0-15] authentication-mode scheme

[Switch-line-vty0-15] quit

# 从文件key.pub中导入远端的公钥,并命名为ackey。

[Switch] public-key peer ackey import sshkey key.pub

# 设置SSH用户client002的认证方式为publickey,并指定公钥为ackey。

[Switch] ssh user client002 service-type stelnet authentication-type publickey assign publickey ackey

# 创建设备管理类本地用户client002,并设置服务类型为SSH,用户角色为network-admin。

[Switch] local-user client002 class manage

[Switch-luser-manage-client002] service-type ssh

[Switch-luser-manage-client002] authorization-attribute user-role network-admin

[Switch-luser-manage-client002] quit

6.3  验证配置

# 建立到服务器192.168.1.40的SSH连接。

<AC> ssh2 192.168.1.40

Username: client002

Press CTRL+C to abort.

Connecting to 192.168.1.40 port 22.

The server is not authenticated. Continue? [Y/N]:y

Do you want to save the server public key? [Y/N]:n

Enter a character ~ and a dot to abort.

 

******************************************************************************

* Copyright (c) 2004-2019 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<Switch>

由于本地未保存服务器端的主机公钥,因此在选择继续访问服务器之后,即可成功登录到Switch B上。

7  设备作为SFTP服务器配置举例(password认证)

7.1  组网需求

·     Client和AC 之间建立SSH连接,Client作为SFTP客户端登录到AC,,并被授予用户角色network-admin进行文件管理和文件传送等操作;

·     AC采用password认证方式对SFTP客户端进行认证,客户端的用户名和密码保存在本地。

·     AC和Client之间路由可达。

图13 设备作为SFTP服务器配置组网图

 

7.2  配置步骤

(1)     配置SFTP服务器

# 生成RSA密钥对。

<AC> system-view

[AC] public-key local create rsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[AC] public-key local create dsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+

Create the key pair successfully.

# 生成ECDSA密钥对。

[AC] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 启动SFTP服务器。

[AC] sftp server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接SSH服务器。

[AC] interface vlan-interface 2

[AC-Vlan-interface2] ip address 192.168.1.45 255.255.255.0

[AC-Vlan-interface2] quit

# 创建设备管理类本地用户client002,并设置密码为明文aabbcc,服务类型为SSH,用户角色为network-admin,工作目录为cfa0:/。

[AC] local-user client002 class manage

[AC-luser-manage-client002] password simple aabbcc

[AC-luser-manage-client002] service-type ssh

[AC-luser-manage-client002] authorization-attribute user-role network-admin work-directory cfa0:/

[AC-luser-manage-client002] quit

# 配置SSH用户认证方式为password,服务类型为SFTP。(此步骤可以不配置)

[AC] ssh user client002 service-type sftp authentication-type password

7.3  验证配置

说明

·     SFTP客户端软件有很多,本文中仅以客户端软件PuTTY0.58中的PSFTP为例,说明SFTP客户端的配置方法。

·     PSFTP只支持password认证,不支持publickey认证。

 

# 建立与SFTP服务器的连接。

打开psftp.exe程序,出现如图14所示的客户端配置界面。输入如下命令:

open 192.168.1.45

根据提示输入用户名client002,密码aabbcc,即可登录SFTP服务器。

图14 SFTP客户端登录界面

 

8  设备作为SFTP客户端配置举例(publickey认证)

8.1  组网需求

·     配置AC 1作为SFTP客户端,用户能够通过AC 1安全地登录到AC 2上,并被授予用户角色network-admin进行文件管理和文件传送等操作。

·     AC 2作为SFTP服务器采用publickey认证方式对SFTP客户端进行认证,使用的公钥算法为RSA。

图15 设备作为SFTP客户端配置组网图

 

8.2  配置步骤

说明

在服务器的配置过程中需要指定客户端的公钥信息,因此建议首先完成客户端密钥对的配置,再进行服务器的配置。

 

(1)     配置SFTP客户端

# 配置VLAN接口2的IP地址。

<AC1> system-view

[AC1] interface vlan-interface 2

[AC1-Vlan-interface2] ip address 192.168.0.2 255.255.255.0

[AC1-Vlan-interface2] quit

# 生成RSA密钥对。

[AC1] public-key local create rsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 将生成的RSA主机公钥导出到指定文件pubkey中。

[AC1] public-key local export rsa ssh2 pubkey

[AC1] quit

客户端生成密钥对后,需要将保存的公钥文件pubkey通过FTP/TFTP方式上传到服务器,具体过程略。

(2)     配置SFTP服务器

# 生成RSA密钥对。

<AC2> system-view

[AC2] public-key local create rsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[AC2] public-key local create dsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+

Create the key pair successfully.

# 生成ECDSA密钥对。

[AC2] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 启动SFTP服务器。

[AC2] sftp server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接SSH服务器。

[AC2] interface vlan-interface 2

[AC2-Vlan-interface2] ip address 192.168.0.1 255.255.255.0

[AC2-Vlan-interface2] quit

# 从文件pubkey中导入远端的公钥,并命名为ackey。

[AC2] public-key peer ackey import sshkey pubkey

# 设置SSH用户client001的服务类型为SFTP,认证方式为publickey,并指定公钥为ackey。

[AC2] ssh user client001 service-type sftp authentication-type publickey assign publickey ackey

# 创建设备管理类本地用户client001,并设置服务类型为SSH,用户角色为network-admin,工作目录为cfa0:/。

[AC2] local-user client001 class manage

[AC2-luser-manage-client001] service-type ssh

[AC2-luser-manage-client001] authorization-attribute user-role network-admin work-directory cfa0:/

[AC2-luser-manage-client001] quit

8.3  验证配置

# 与远程SFTP服务器建立连接,进入SFTP客户端视图。

<AC1> sftp 192.168.0.1 identity-key rsa

Username: client001

Press CTRL+C to abort.

Connecting to 192.168.0.1 port 22.

The server is not authenticated. Continue? [Y/N]:y

Do you want to save the server public key? [Y/N]:n

sftp>

# 显示服务器的当前目录,删除文件z,并检查此文件是否删除成功。

sftp> dir -l

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey

drwxrwxrwx   1 noone    nogroup         0 Sep 01 06:22 new

-rwxrwxrwx   1 noone    nogroup       225 Sep 01 06:55 pub

-rwxrwxrwx   1 noone    nogroup         0 Sep 01 08:00 z

sftp> delete z

Removing /z

sftp> dir -l

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey

drwxrwxrwx   1 noone    nogroup         0 Sep 01 06:22 new

-rwxrwxrwx   1 noone    nogroup       225 Sep 01 06:55 pub

# 新增目录new1,并检查新目录是否创建成功。

sftp> mkdir new1

sftp> dir -l

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey

drwxrwxrwx   1 noone    nogroup         0 Sep 01 06:22 new

-rwxrwxrwx   1 noone    nogroup       225 Sep 01 06:55 pub

drwxrwxrwx   1 noone    nogroup         0 Sep 02 06:30 new1

# 将目录名new1更名为new2,并查看是否更名成功。

sftp> rename new1 new2

sftp> dir -l

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey

drwxrwxrwx   1 noone    nogroup         0 Sep 01 06:22 new

-rwxrwxrwx   1 noone    nogroup       225 Sep 01 06:55 pub

drwxrwxrwx   1 noone    nogroup         0 Sep 02 06:33 new2

# 从服务器上下载文件pubkey2到本地,并更名为public。

sftp> get pubkey2 public

Fetching / pubkey2 to public

/pubkey2                                  100% 225     1.4KB/s   00:00

# 将本地文件pu上传到服务器上,更名为puk,并查看上传是否成功。

sftp> put pu puk

Uploading pu to / puk

sftp> dir -l

-rwxrwxrwx   1 noone    nogroup      1759 Aug 23 06:52 config.cfg

-rwxrwxrwx   1 noone    nogroup       225 Aug 24 08:01 pubkey2

-rwxrwxrwx   1 noone    nogroup       283 Aug 24 07:39 pubkey

drwxrwxrwx   1 noone    nogroup         0 Sep 01 06:22 new

drwxrwxrwx   1 noone    nogroup         0 Sep 02 06:33 new2

-rwxrwxrwx   1 noone    nogroup       283 Sep 02 06:35 pub

-rwxrwxrwx   1 noone    nogroup       283 Sep 02 06:36 puk

sftp>

# 退出SFTP客户端视图。

sftp> quit

<AC1>

9  SCP文件传输配置举例(password认证)

9.1  组网需求

如下图所示,AC 1作为SCP客户端,AC 2作为SCP服务器。现有如下具体需求:

·     用户能够通过AC 1安全地安全地登录到AC 2上,并被授予用户角色network-admin与AC 2进行文件传输。

·     AC 2采用password认证对SCP客户端进行认证,客户端的用户名和密码保存在AC 2上。

图16 SCP文件传输配置组网图

 

9.2  配置步骤

(1)     配置SCP服务器

# 生成RSA密钥对。

<AC2> system-view

[AC2] public-key local create rsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[AC2] public-key local create dsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+.

Create the key pair successfully.

# 生成ECDSA密钥对。

[AC2] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 使能SCP服务器功能。

[AC2] scp server enable

# 配置接口VLAN接口2的IP地址,客户端将通过该地址连接SCP服务器。

[AC2] interface vlan-interface 2

[AC2-Vlan-interface2] ip address 192.168.0.1 255.255.255.0

[AC2-Vlan-interface2] quit

# 创建设备管理类本地用户client001,并设置密码为明文aabbcc,服务类型为SSH。

[AC2] local-user client001 class manage

[AC2-luser-manage-client001] password simple aabbcc

[AC2-luser-manage-client001] service-type ssh

[AC2-luser-manage-client001] authorization-attribute user-role network-admin

[AC2-luser-manage-client001] quit

# 配置SSH用户client001的服务类型为scp,认证方式为password认证。(此步骤可以不配置)

[AC2] ssh user client001 service-type scp authentication-type password

(2)     配置SCP客户端

# 配置接口VLAN 2的IP地址。

<AC1> system-view

[AC1] interface vlan-interface 2

[AC1-Vlan-interface2] ip address 192.168.0.2 255.255.255.0

[AC1-Vlan-interface2] quit

[AC1] quit

9.3  验证配置

# 与远程SCP服务器建立连接,并下载远端的remote.bin文件,下载到本地后更名为local.bin。

<AC1> scp 192.168.0.1 get remote.bin local.bin

Username: client001

Press CTRL+C to abort.

Connecting to 192.168.0.1 port 22.

The server is not authenticated. Continue? [Y/N]:y

Do you want to save the server public key? [Y/N]:n

client001@192.168.0.1’s password:

remote.bin                                       100% 2875     2.8KB/s   00:00

10  NETCONF over SSH配置举例(password认证)

10.1  组网需求

·     用户可以通过Client上运行的支持NETCONF over SSH连接的SSH客户端软件(SSH2版本)安全地登录到AC上,并被授予用户角色network-admin进行配置管理;

·     AC采用password认证方式对Stelnet客户端进行认证,客户端的用户名和密码保存在本地。

·     AC和Client之间路由可达。

图17 设备作为NETCONF over SSH服务器配置组网图

 

10.2  配置步骤

# 生成RSA密钥对。

<AC> system-view

[AC] public-key local create rsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[AC] public-key local create dsa

The range of public key size is (512 ~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+.

Create the key pair successfully.

# 生成ECDSA密钥对。

[AC] public-key local create ecdsa secp256r1

Generating Keys...

.

Create the key pair successfully.

# 使能NETCONF over SSH服务器功能。

[AC] netconf ssh server enable

# 配置VLAN接口2的IP地址,客户端将通过该地址连接NETCONF over SSH服务器。

[AC] interface vlan-interface 2

[AC-Vlan-interface2] ip address 192.168.100.49 255.255.255.0

[AC-Vlan-interface2] quit

# 设置NETCONF over SSH客户端登录用户线的认证方式为AAA认证。

[AC] line vty 0 63

[AC-line-vty0-63] authentication-mode scheme

[AC-line-vty0-63] quit

# 创建设备管理类本地用户client001,并设置密码为明文aabbcc,服务类型为SSH,用户角色为network-admin。

[AC] local-user client001 class manage

[AC-luser-manage-client001] password simple aabbcc

[AC-luser-manage-client001] service-type ssh

[AC-luser-manage-client001] authorization-attribute user-role network-admin

[AC-luser-manage-client001] quit

# 配置SSH用户client001的服务类型为NETCONF,认证方式为password认证。(此步骤可以不配置)

[AC] ssh user client001 service-type netconf authentication-type password

10.3  验证配置

用户通过支持NETCONF over SSH连接的客户端软件与AC建立NETCONF over SSH连接之后,可直接进入AC的NETCONF配置模式。

# 打开支持NETCONF over SSH登录方式的客户端软件,本文以NetConf Browser 2015(Version3.1)工具为例。

# 在菜单栏中选择“File> Connect…”。

·     “NETCONF version”选择“Auto select”。

·     “Host”文本框处输入设备IP“192.168.100.49”。

·     “Port”文本框处输入“830”。

·      “Username”文本框处输入“client001”。

·     单击“Connect”按钮完成设置。

图18 通过NetConf Browser连接设备

 

 

图19 输入密码:aabbcc。

 

图20 登录成功

 

与AC建立NETCONF over SSH连接之后,直接进入AC的NETCONF配置模式。用户登录时获得network-admin权限,例如:

# 在NetConf Browser的“Command XML”区域输入以下信息,并点击Send:

<get-sessions/>

# 在“Output XML”区域显示NETCONF用户的会话信息。

<?xml version="1.0" encoding="utf-8"?>

<rpc-reply xmlns="urn:ietf:params:xml:ns:netconf:base:1.0" message-id="2">

  <get-sessions>

    <Session>

      <SessionID>1</SessionID>

      <Line>vty1</Line>

      <UserName>client001</UserName>

      <Since>2011-01-01T08:36:27</Since>

      <LockHeld>false</LockHeld>

    </Session>

  </get-sessions>

</rpc-reply>

 

11  相关资料

·     《H3C 无线控制器产品 配置指导》中的“安全配置指导”。

·     《H3C 无线控制器产品 命令参考》中的“安全命令参考。

·     《H3C 无线控制器产品 配置指导》中的“WLAN接入配置指导”。

·     《H3C 无线控制器产品 命令参考》中的“WLAN接入命令参考”。

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们