H3C S5130系列交换机ssh典型配置举例（passwd认证）

Posted 2023-04-01

参考技术A 摘自H3C官网：http://www.h3c.com/cn/d_201803/1072475_30005_0.htm

 设备作为Stelnet 服务器配置举例（password认证）

1  组网需求

如 图1 所示，网络管理员需要通过Internet远程登录到校园网的网关设备（Device）上对其进行相关配置。为了提高对Device进行管理的安全性，可将Device配置为Stelnet服务器，并在Host上运行Stelnet客户端软件，在二者之间建立SSH连接。要求：

·Device通过SSH的password认证方式对客户端进行认证，认证过程在Device本地完成；

·网络管理员Host的登录用户名为client001，密码为aabbcc，登录设备后可以正常使用所有命令。

图1 设备作为Stelnet 服务器配置组网图

2  配置思路

·为了使SSH的版本协商和算法协商过程正常运行，且为了保证客户端对连接的服务器的认证正常进行，请在服务器端生成RSA和DSA密钥对。

·为了采用本地认证的方式认证用户，需要在本地服务器Device上创建相应的本地用户，并在本地用户视图下配置密码。

·Stelnet客户端通过VTY用户线访问设备。因此，需要配置登录用户线的认证方式为scheme方式。

·为了使Stelnet用户登录设备后能正常使用所有命令，将用户角色设置为network-admin，缺省情况下本地用户的用户角色为network-operator。

3  使用版本

本举例是在S5130EI_E-CMW710-R3106版本上进行配置和验证的。

4  配置步骤

# 生成RSA密钥对。

system-view

[Device] public-key local create rsa

The range of public key size is (512~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

........................++++++

...................++++++

..++++++++

............++++++++

Create the key pair successfully.

# 生成DSA密钥对。

[Device] public-key local create dsa

The range of public key size is (512~ 2048).

If the key modulus is greater than 512, it will take a few minutes.

Press CTRL+C to abort.

Input the modulus length [default = 1024]:

Generating Keys...

.++++++++++++++++++++++++++++++++++++++++++++++++++*

........+......+.....+......................................+

...+.................+..........+...+.

Create the key pair successfully.

# 使能SSH服务器功能。

[Device] ssh server enable

# 创建VLAN 2，并将GigabitEthernet1/0/2加入VLAN 2。

[Device] vlan 2

[Device-vlan2] port gigabitethernet 1/0/2

[Device-vlan2] quit

# 配置VLAN接口2的IP地址，客户端将通过该地址连接Stelnet服务器。

[Device] interface vlan-interface 2

[Device-Vlan-interface2] ip address 192.168.1.40 255.255.255.0

[Device-Vlan-interface2] quit

# 设置Stelnet客户端登录用户界面的认证方式为scheme。

[Device] line vty 0 63

[Device-line-vty0-63] authentication-mode scheme

[Device-line-vty0-63] quit

# 创建本地用户client001，并设置用户密码、服务类型和用户角色。

[Device] local-user client001 class manage

New local user added.

[Device-luser-manage-client001] password simple aabbcc

[Device-luser-manage-client001] service-type ssh

[Device-luser-manage-client001]authorization-attribute user-role network-admin

[Device-luser-manage-client001] quit

5 配置文件

#

vlan 2

#

interface Vlan-interface2

 ip address 192.168.1.40 255.255.255.0

#

interface GigabitEthernet1/0/2

 port access vlan 2

#

line vty 0 63

 authentication-mode scheme

#

ssh server enable

#

local-user client001 class manage

 password hash

$h$6$CqMnWdX6LIW/hz2Z$4+0Pumk+A98VlGVgqN3n/mEi7hJka9fEZpRZIpSNi9b

cBEXhpvIqaYTvIVBf7ZUNGnovFsqW7nYxjoToRDvYBg==

 service-type ssh

 authorization-attribute user-role network-admin

 authorization-attribute user-role network-operator

#

华为交换机用命令更改已有admin账户开启SSH

设备
华为S5720-28p-LI-AC

配置说明
[S5720-31]aaa
[S5720-31-aaa]local-user admin password irreversible-cipher $1a$D9A00’2I{M$\ast$
[5720-31-aaa]local-user admin service-type terminal ssh http
[S5720-31]]rsa local-key-pair create
[S5720-31]stelnet server enable
[5720-31]user-interface vty 0 4
[5720-31-ui-vty0-4]authentication-mode aaa
[S5720-31-ui-vty0-4]protocol inbound ssh