华为设备ssh登录配置
Posted 来杯牛奶
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了华为设备ssh登录配置相关的知识,希望对你有一定的参考价值。
1.开启telnet服务
stelnet server enable
2.aaa下创建用户
aaa
local-user test001 password irreversible-cipher test@123
local-user test001 service-type terminal ssh
local-user test001 level 15
3.开启用户首次登录设备不检查公钥。
ssh client first-time enable //当STelnet/SFTP客户端第一次登录SSH服务器时,因为此时STelnet/SFTP客户端还没有保存SSH服务器的公钥。那么在STelnet/SFTP客户端第一次登录SSH服务器时,不对SSH服务器的公钥进行有效性检查。登录后,系统将自动分配并保存公钥,为下次登录时认证。
4.vty下配置认证模式为aaa,支持通过SSH协议登录设备
user-interface vty 0 9
authentication-mode aaa
protocol inbound ssh
user privilege level 3
2步骤的 local-user test001 level 15优先于4步骤的user privilege level 3,当2步骤未配置local-user test001 level 15时,则使用4步骤的user privilege level 3
5.新版本增加的功能。
ssh ipv6 server-source all-interface
ssh server-source all-interface 指定SSH服务器的源接口为设备上所有配置ip的接口 或 ssh server-source -i interface xxxx,指定SSH服务器的源接口为某一个接口。如果同时配置,则会优先选择ssh server-source -i命令指定的接口作为ssh服务器的源接口,如果指定的源接口无法登录成功,则会从其他有效接口中选择接口登录。
配完以上步骤即可使用ssh登录。
6.创建ssh user
是否创建ssh user用户取决于ssh authentication-type default password命令。如果配置了undo ssh authentication-type default password,则需要创建ssh用户。
如果配置了ssh authentication-type default password则无需创建ssh user即可登录。
如果配置了undo ssh authentication-type default password 则需要创建ssh user 才能登录
ssh user test001
ssh user test001 authentication-type password
ssh user test001 service-type stelnet
如果即配置了ssh authentication-type default password又创建了ssh user,则使用ssh user登录,如果此时未配置ssh user test002 authentication-type或ssh user test002 service-type stelnet则无法登录。
7.配置acl
acl ipv6 number 2001
description For SSH v6
rule 5 permit source 2409::/128
acl number 2000
description For STelnet
rule 5 permit source 1.1.1.0 0.0.0.255
ssh server acl 2000
ssh ipv6 server acl 2001
user-interface vty 0 9
acl ipv6 2001 inbound
acl 2000 inbound
注释:ssh server acl 2000和acl 2000 inbound有一个拒绝,动作就是拒绝。
各业务模块的ACL默认动作及ACL处理机制
在telnet和stelnet使用时,如果所有rule未匹配到,即使不配deny,默认动作就为deny。如果acl中未配置任何rule,则默认为permit允许
ACL默认动作及处理规则 | Telnet | STelnet | HTTP | FTP | TFTP |
ACL默认动作 | deny | deny | deny | deny | deny |
命中permit规则 | permit(允许登录) | permit(允许登录) | permit(允许登录) | permit(允许登录) | permit(允许登录) |
命中deny规则 | deny(拒绝登录) | deny(拒绝登录) | deny(拒绝登录) | deny(拒绝登录) | deny(拒绝登录) |
ACL中配置了规则,但未命中任何规则 | deny(拒绝登录) | deny(拒绝登录) | deny(拒绝登录) | deny(拒绝登录) | deny(拒绝登录) |
ACL中未配置规则 | permit(允许登录) | permit(允许登录) | permit(允许登录) | permit(允许登录) | permit(允许登录) |
ACL未创建 | permit(允许登录) | permit(允许登录) | permit(允许登录) | permit(允许登录) | permit(允许登录) |
以上是关于华为设备ssh登录配置的主要内容,如果未能解决你的问题,请参考以下文章