深圳鼎为网络科,一家从事华为Optix OSN3500,Optix OSN2500,Optix OSN1500设备销售的公司,致力于对超长距离及多业务数据传送网络需求的客户提供质量有保证的传输设备,本公司整机及单板型号齐全,价格合理,期待新老客户来电咨询!

你的位置:首页 > 产品资料 > 技术资料

华为NE40E交换机​​配置通过SSH登录设备

发布时间:2018-5-30 16:48:36浏览次数:资料来源:www.szdingwei.net

本节介绍了配置SSH的方法。SSH是在传统的Telnet协议之基础上发展起来的一种安全的远程登录协议。相比于Telnet,SSH无论是在认证方式或者数据传输的安全性上,都有很大的提高。

前提条件

图1 通过SSH登录设备组网图 

在配置通过SSH登录设备之前,需要完成以下任务:

  • 待调测设备运行正常。
  • 通过Console口方式预先正确配置待调测设备接口的IP地址。
  • 终端与待调测设备之间直连或有可达路由。
 说明:

缺省情况下,用户可以通过管理网口使用STelnet方式直接登录设备。

设备上电后会自动将管理网口绑定到保留VPN(保留VPN为__LOCAL_OAM_VPN__),并为其配置固定IP地址192.168.0.1/24。

用户可以为终端配置192.168.0.0/24网段的任意其他IP,凭缺省用户名root、密码Changeme_123,通过SSH(STelnet)方式登录设备,实现对设备的现场维护。

在设备上进行业务配置后,需要及时修改用户名和密码。管理网口的IP可以修改和删除,并且根据需要关闭该接口。

请在作为SSH服务器的路由器上通过Console口进行如下的配置。

操作步骤

  1. 生成本地密钥对。
    1. 执行命令system-view,进入系统视图。
    2. 执行命令rsa local-key-pair create,产生本地RSA密钥对。
  2. 配置VTY用户界面支持SSH协议。
    1. 执行命令system-view,进入系统视图。
    2. 执行命令user-interface { vty first-ui-number | last-ui-number },进入VTY用户界面视图。
    3. 执行命令authentication-mode aaa,设置验证方式为AAA验证。
    4. 执行命令protocol inbound ssh,配置VTY支持SSH协议。


       说明:

      必须设置VTY用户界面验证方式为AAA验证,否则protocol inbound ssh将不能配置成功。


  3. 在系统视图下执行命令ssh user user-name,创建SSH用户。
  4. 在系统视图下执行命令ssh user user-name authentication-type { password | rsa | dsa | ecc | password-rsa | password-dsa | password-ecc | all },配置SSH用户的认证方式。


    根据实际配置需要,选择如下操作之一:

    • 配置对SSH用户进行密码验证。

      • 执行命令ssh user user-name authentication-type password,对SSH用户配置密码验证。

      • 执行命令ssh authentication-type default password,对SSH用户配置缺省密码验证。

      采用本地认证或HWTACACS服务器认证时,如果用户数量少可以采用第一种配置;如果用户数量比较多,对SSH用户使用缺省密码验证方式可以简化配置。

    • 配置对SSH用户进行RSA验证

     说明:

    使用加密算法时,RSA(1024位以下)加密算法安全性低,存在安全风险,在协议支持的加密算法选择范围内,建议使用更安全的加密算法,比如RSA(2048位以上)。


    1. 执行命令ssh user user-name authentication-type rsa,对SSH用户配置RSA验证。
    2. 执行命令rsa peer-public-key key-name,进入公共密钥视图。
    3. 执行命令public-key-code begin,进入公共密钥编辑视图。
    4. 输入合法的密钥编码hex-data,编辑公共密钥。
    5. 执行命令public-key-code end,退出公共密钥编辑视图。


      如果未输入合法的密钥编码hex-data,执行peer-public-key end后,将无法生成密钥;如果第2步中指定的密key-name已经在别的窗口下被删除,再执行peer-public-key end时,系统会提示:密钥已经不存在,此时直接退到系统视图。


    6. 执行命令peer-public-key end,退出公共密钥视图,回到系统视图。
    7. 执行命令ssh user user-name assign rsa-key key-name,为SSH用户分配公钥。
  5. 如果创建认证方式为password或password-rsa的SSH用户,则还需要在AAA视图下创建同名的local-user用户。
    1. 在系统视图下执行命令aaa,进入AAA视图。
    2. 执行命令local-user user-name password cipher password,配置本地用户名及密码。


       说明:

      密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。


    3. 执行命令local-user user-name level level,设置本地用户的用户优先级。
    4. 执行命令local-user user-name service-type ssh,设置本地用户的接入类型。
    5. 执行命令quit,退出AAA视图。
  6. 在系统视图下执行命令ssh user username service-type { sftp | stelnet | snetconf | all },配置SSH用户的服务方式。
  7. 在系统视图下执行命令stelnet server enable,使能STelnet服务。
  8. 在系统视图下执行命令commit,提交配置。

调测结果

通过SSH方式登录设备。本节仅介绍通过PuTTY软件登录设备的方法。

此处以待调测设备的IP地址192.168.1.1,SSH用户名client001,密码Root@123为例。

  1. 如下图所示,指定设备的IP地址为192.168.1.1,并指定登录方式为SSH。

    图2 PuTTY软件登录设备示例图 

  2. 输入用户名和密码,假设用户名client001,密码Root@123。

    图3 PuTTY软件登录设备示例图 

常见故障处理

如果SSH登录失败,可按如下步骤处理:

  1. 检查网络是否畅通。

    使用ping命令查看网络连接情况。

    • 如果ping不通,网络连接失败。请参见Ping不通问题定位问题。
    • 如果ping通,请执行步骤2。
  2. 查看SSH服务是否启动。

    执行命令display ssh server status,查看SSH服务器端配置信息。

    display ssh server statusSSH version :1.99 SSH connection timeout :60 seconds SSH server key generating interval :0 hours SSH Authentication retries :3 times SFTP server :Disable STELNET server :Disable SNETCONF server :Disable
     说明:

    如果SSH服务器已经使能,请执行步骤3。

    可以看到,SFTP、Stelnet和SNETCONF服务器没有使能。只有当系统启动了SSH服务,用户才能登录。执行如下命令,使能SSH服务器。

    system-view[~HUAWEI]sftp server enable[~HUAWEI]stelnet server enable[~HUAWEI]snetconf server enable
  3. 查看VTY用户界面下允许接入的协议配置是否正确。

    [~HUAWEI]user-interface vty 0 4[~HUAWEI-ui-vty0-4]display thisuser-interface vty 0 4 authentication-mode aaa user privilege level 3 idle-timeout 0 0protocol inbound all

    缺省情况下,用户接入协议是Telnet。

    • 如果用户接入协议是Telnet,那么用户将无法通过SSH成功登录。请执行步骤4。
    • 如果用户接入协议是SSH或选择参数all,那么用户可通过SSH成功登录。请执行步骤5。
  4. 执行命令protocol inbound { SSH | all }配置允许登录接入用户类型的协议,选择参数SSH或all。

    [~HUAWEI]user-interface vty 0 4[~HUAWEI-ui-vty0-4]protocol inbound ssh
  5. 检查是否配置了RSA公钥。

    设备作为SSH服务器时,必须配置本地密钥对。

    执行命令display rsa local-key-pair public查看当前服务器端密钥对信息。如果没有配置,执行命令rsa local-key-pair create创建。

    [~HUAWEI]rsa local-key-pair createThe key name will be:SSH Server_Host The range of public key size is (2048~2048). NOTE: Key pair generation will take a short while.
  6. 检查是否配置了用户服务类型、认证类型和认证服务类型(只针对密码认证方式)。
    • 创建SSH用户。

      [~HUAWEI]ssh user abc[~HUAWEI]ssh user abc authentication-type all[~HUAWEI]ssh user abc service-type all[~HUAWEI]ssh user abc sftp-directory cfcard:/ssh

      同时在AAA视图下配置同名用户,并配置认证服务类型。

      [~HUAWEI]aaa[~HUAWEI-aaa]local-user abc password cipher Huawei@123[~HUAWEI-aaa]local-user abc service-type ssh[~HUAWEI-aaa]quit
    • 对SSH用户配置缺省密码验证。

      [~HUAWEI]ssh authentication-type default password

      同时在AAA视图下配置同名用户,并配置认证服务类型。

      [~HUAWEI]aaa[~HUAWEI-aaa]local-user abc password cipher Huawei@123[~HUAWEI-aaa]local-user abc service-type ssh[~HUAWEI-aaa]quit
  7. 检查登录设备的用户数是否到达了上限。

    SSH用户与Telnet用户使用的均是VTY通道,VTY通道是有限资源,最大可配置范围为0~21个。当登录用户数超过21个时,设备不再接受新的用户连接。

    从Console口登录到设备,执行命令display users,查看当前的VTY通道是否全部被占用。缺省情况下,VTY通道允许的最大用户数是5个。

    display user-interface maximum-vtyMaximum of VTY user:5display usersUser-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag 34 VTY 0 03:31:35 TEL 10.138.81.138 pass no Username : Unspecified 35 VTY 1 03:51:58 TEL 10.137.128.126 pass no Username : Unspecified 36 VTY 2 00:10:14 TEL 10.138.81.184 pass no Username : Unspecified 37 VTY 3 02:31:58 TEL 10.138.80.199 pass no Username : Unspecified + 39 VTY 4 00:00:00 TEL 10.138.78.80 pass no Username : Unspecified

    如果当前的用户数已经达到上限,可以执行命令user-interface maximum-vty vty-number,将VTY通道允许的最大用户数扩展到21个。

    [~HUAWEI]user-interface maximum-vty 18
  8. 查看设备上VTY类型的用户界面下是否绑定了ACL。

    如果绑定了ACL,但ACL规则中未指定permit客户端的IP地址,则使用SSH登录设备时将失败。即,如果需要使用某IP地址通过SSH登录到设备,必须在VTY类型的用户界面视图下绑定的ACL规则中配置允许该IP地址。

  9. 查看SSH版本信息。

    执行命令display ssh server status,查看SSH版本信息。

    display ssh server statusSSH version :1.99SSH connection timeout :60 seconds SSH authentication timeout (Seconds) : 60 SSH authentication retries (Times) : 3 SSH server key generating interval (Hours) : 0 SSH version 1.x compatibility : Enable SSH server keepalive : Enable SFTP server : Disable STELNET server : Enable SNETCONF server : Enable SNETCONF server port(830) : Disable SSH server port : 22 ACL name : ACL number : ACL6 name : ACL6 number : SSH server source address : 0.0.0.0
    • 如果使用SSHv1版本的客户端登录服务器,则服务器端版本兼容配置需要设置为使能。

      system-view[~HUAWEI]ssh server compatible-ssh1x enable
    • 如果使用SSHv2版本的客户端登录服务器,请执行步骤10。

  10. 使能SSH客户端首次认证功能。[~HUAWEI]ssh client first-time enable
  11. 请收集如下信息,并联系华为技术支持工程师。
    • 上述步骤的执行结果。
    • 设备的配置文件、日志信息、告警信息。


销售华为NE40E-X8_产品报价_销售厂家_产品特性_产品描述_深圳鼎为网络科技SDH传输设备销售有限公司
供应华为NE40E-X8_故障处理_安装调测_技术指标_技术参数_深圳鼎为网络科技SDH传输设备销售有限公司