05-H3C MSR系列路由器 SSH客户端登录方法
本章节下载: 05-H3C MSR系列路由器 SSH客户端登录方法 (206.61 KB)
H3C MSR系列路由器
SSH客户端登录方法
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍了使用SSH(Secure Shell,安全外壳)功能实现安全的远程访问或文件管理的典型配置举例。
本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解SSH特性。
如图3-1所示,Device A作为Stelnet客户端,采用SSH协议远程登录到Device B上。要求:
· Device B采用本地认证的方式认证用户,Stelnet服务器采用的认证方式为password认证。
· 登录用户名为client001,密码为123456TESTplat&!,用户登录设备后可以正常使用所有命令。
· 为提高安全性,需要以Stelnet客户端保存的主机公钥来验证Stelnet服务器,Stelnet客户端只信任通过验证的Stelnet服务器并继续访问该服务器。
图3-1 设备作为Stelnet客户端配置组网图
· 为了使SSH的版本协商和算法协商过程正常运行,且为了保证客户端对连接的服务器的认证正常进行,请在服务器端生成RSA、DSA密钥对。
· Stelnet客户端通过VTY用户线访问设备。因此,需要配置登录用户线的认证方式为scheme方式。
· 为了采用本地认证的方式认证用户,需要在Stelnet服务器上创建相应的本地用户,并在本地用户视图下配置密码。
· 为了使Stelnet用户登录设备后能正常使用所有命令,将用户的用户角色设置为network-admin,缺省情况下本地用户的用户角色为network-operator。
· 因为需要以Stelnet客户端保存的主机公钥来验证Stelnet服务器,所以需要先将Stelnet服务器主机公钥配置在Stelnet客户端上。
本举例适用于H3C Comware V7平台的MSR系列路由器。以H3C MSR3610-X1产品的R6749P14版本为示例,具体操作可能因不同产品型号和软件版本而略有差异,请以实际情况为准。
# 生成RSA密钥对。
<DeviceB> system-view
[DeviceB] public-key local create rsa
The range of public key size is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
........................++++++
...................++++++
..++++++++
............++++++++
Create the key pair successfully.
# 生成DSA密钥对。
[DeviceB] public-key local create dsa
The range of public key size is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]:
Generating Keys...
.++++++++++++++++++++++++++++++++++++++++++++++++++*
........+......+.....+......................................+
...+.................+..........+...+
Create the key pair successfully.
# 使能SSH服务器功能。
[DeviceB] ssh server enable
# 配置接口GigabitEthernet1/0/1的IP地址,客户端将通过该地址连接Stelnet服务器。
[DeviceB] interface GigabitEthernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 192.168.1.40 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
# 设置Stelnet客户端登录用户界面的认证方式为scheme。
[DeviceB] line vty 0 63
[DeviceB-line-vty0-63] authentication-mode scheme
[DeviceB-line-vty0-63] quit
# 创建本地用户client001,并设置密码为明文123456TESTplat&!,服务类型为SSH,用户角色为network-admin。
[DeviceB]local-user client001 class manage
New local user added.
[DeviceB-luser-manage-client001] password simple 123456TESTplat&!
[DeviceB-luser-manage-client001]service-type ssh
[DeviceB-luser-manage-client001] authorization-attribute user-role network-admin
[DeviceB-luser-manage-client001]quit
# 显示服务器端DSA公钥内容。
[DeviceB] display public-key local dsa public
=====================================================
Key name: dsakey(default)
Key type: DSA
Key length: 1024
Time when key pair created: 11:02:10 2014/08/07
Key code:
308201B73082012C06072A8648CE3804013082011F02818100D757262C4584C44C211F18BD
96E5F061C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE65BE6C265854889DC1E
DBD13EC8B274DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B06FD60FE01941D
DD77FE6B12893DA76EEBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B36895038
7811C7DA33021500C773218C737EC8EE993B4F2DED30F48EDACE915F0281810082269009E1
4EC474BAF2932E69D3B1F18517AD9594184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD
35D02492B3959EC6499625BC4FA5082E22C5B374E16DD00132CE71B020217091AC717B6123
91C76C1FB2E88317C1BD8171D41ECB83E210C03CC9B32E810561C21621C73D6DAAC028F4B1
585DA7F42519718CC9B09EEF03818400028180077F06B3E343CAE9988F4BE3F76FACBAB565
AB73D4BA295C52BA92428B1F2DA1E6DD652413DD3AFE0C5A4FCF365100CBE34CECA55A2C30
A2A9FF7E899628557E39CE8FC615F53193A7E200B4B1CB21E3F1091D595716D229DDED6872
061F9B4B08301ADC81F7EC1501FFB863C0009536596CCB508596C3325892DC6D8C5C35B5
# 配置接口GigabitEthernet1/0/1的IP地址,客户端将通过该地址连接Stelnet服务器。
[DeviceA] interface GigabitEthernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 192.168.1.56 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
# 指定服务器端的主机公钥名称为key1,并进入公钥视图。
[DeviceA] public-key peer key1
Enter public key view. Return to system view with "peer-public-key end" command.
# 在客户端配置服务器端的主机公钥(由于客户端缺省采用DSA主机公钥认证服务器,因此这里输入的是在在服务器端通过display public-key local dsa public命令显示公钥内容。)
# 退出公钥视图,并保存用户输入的公钥。
[DeviceA-pkey-public-key-key1] peer-public-key end
[DeviceA] return
# 建立到服务器192.168.1.40的SSH连接,并指定服务器端的主机公钥key1。输入正确的用户名和密码之后,即可成功登录到Device B上,用户角色为network-admin。
<DeviceA> ssh2 192.168.1.40 publickey key1
login as: client001
client001@192.168.1.40's password:
******************************************************************************
* Copyright (c) 2004-2021 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<DeviceB>
· DeviceA
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.1.56 255.255.255.0
#
public-key peer key1
public-key-code begin
308201B73082012C06072A8648CE3804013082011F02818100D757262C4584C44C211F18BD
96E5F061C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE65BE6C265854889DC1E
DBD13EC8B274DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B06FD60FE01941D
DD77FE6B12893DA76EEBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B36895038
7811C7DA33021500C773218C737EC8EE993B4F2DED30F48EDACE915F0281810082269009E1
4EC474BAF2932E69D3B1F18517AD9594184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD
35D02492B3959EC6499625BC4FA5082E22C5B374E16DD00132CE71B020217091AC717B6123
91C76C1FB2E88317C1BD8171D41ECB83E210C03CC9B32E810561C21621C73D6DAAC028F4B1
585DA7F42519718CC9B09EEF03818400028180077F06B3E343CAE9988F4BE3F76FACBAB565
AB73D4BA295C52BA92428B1F2DA1E6DD652413DD3AFE0C5A4FCF365100CBE34CECA55A2C30
A2A9FF7E899628557E39CE8FC615F53193A7E200B4B1CB21E3F1091D595716D229DDED6872
061F9B4B08301ADC81F7EC1501FFB863C0009536596CCB508596C3325892DC6D8C5C35B5
public-key-code end
peer-public-key end
#
· DeviceB
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.1.40 255.255.255.0
#
line vty 0 63
authentication-mode scheme
#
ssh server enable
#
local-user client001 class manage
password hash $h$6$TZDvtSF8dZvNpjxr$+gcQprRZcPhaeRidjakWFoNIyri0wefdYEHscj/3UDiVB03x8wEQFEH+cofRI0aykMKtORUpTfElxjUGwXGVrw==
authorization-attribute user-role network-operator
authorization-attribute user-role network-admin
service-type ssh
#
· 《H3C MSR 系列路由器 配置指导(V7)》中的“安全配置指导”
· 《H3C MSR 系列路由器 命令参考(V7)》中的“安全命令参考”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!