华为NE40E交换机配置通过SSH登录设备
本节介绍了配置SSH的方法。SSH是在传统的Telnet协议之基础上发展起来的一种安全的远程登录协议。相比于Telnet,SSH无论是在认证方式或者数据传输的安全性上,都有很大的提高。
前提条件
在配置通过SSH登录设备之前,需要完成以下任务:
- 待调测设备运行正常。
- 通过Console口方式预先正确配置待调测设备接口的IP地址。
- 终端与待调测设备之间直连或有可达路由。
缺省情况下,用户可以通过管理网口使用STelnet方式直接登录设备。
设备上电后会自动将管理网口绑定到保留VPN(保留VPN为__LOCAL_OAM_VPN__),并为其配置固定IP地址192.168.0.1/24。
用户可以为终端配置192.168.0.0/24网段的任意其他IP,凭缺省用户名root、密码Changeme_123,通过SSH(STelnet)方式登录设备,实现对设备的现场维护。
在设备上进行业务配置后,需要及时修改用户名和密码。管理网口的IP可以修改和删除,并且根据需要关闭该接口。
请在作为SSH服务器的路由器上通过Console口进行如下的配置。
操作步骤
-
生成本地密钥对。
- 执行命令system-view,进入系统视图。
- 执行命令rsa local-key-pair create,产生本地RSA密钥对。
-
配置VTY用户界面支持SSH协议。
- 执行命令system-view,进入系统视图。
- 执行命令user-interface { vty first-ui-number | last-ui-number },进入VTY用户界面视图。
- 执行命令authentication-mode aaa,设置验证方式为AAA验证。
-
执行命令protocol inbound ssh,配置VTY支持SSH协议。
说明:必须设置VTY用户界面验证方式为AAA验证,否则protocol inbound ssh将不能配置成功。
- 在系统视图下执行命令ssh user user-name,创建SSH用户。
-
在系统视图下执行命令ssh user user-name authentication-type { password | rsa | dsa | ecc | password-rsa | password-dsa | password-ecc | all },配置SSH用户的认证方式。
根据实际配置需要,选择如下操作之一:
-
配置对SSH用户进行密码验证。
-
执行命令ssh user user-name authentication-type password,对SSH用户配置密码验证。
-
执行命令ssh authentication-type default password,对SSH用户配置缺省密码验证。
采用本地认证或HWTACACS服务器认证时,如果用户数量少可以采用第一种配置;如果用户数量比较多,对SSH用户使用缺省密码验证方式可以简化配置。
-
-
配置对SSH用户进行RSA验证
说明:使用加密算法时,RSA(1024位以下)加密算法安全性低,存在安全风险,在协议支持的加密算法选择范围内,建议使用更安全的加密算法,比如RSA(2048位以上)。
- 执行命令ssh user user-name authentication-type rsa,对SSH用户配置RSA验证。
- 执行命令rsa peer-public-key key-name,进入公共密钥视图。
- 执行命令public-key-code begin,进入公共密钥编辑视图。
- 输入合法的密钥编码hex-data,编辑公共密钥。
-
执行命令public-key-code end,退出公共密钥编辑视图。
如果未输入合法的密钥编码hex-data,执行peer-public-key end后,将无法生成密钥;如果第2步中指定的密key-name已经在别的窗口下被删除,再执行peer-public-key end时,系统会提示:密钥已经不存在,此时直接退到系统视图。
- 执行命令peer-public-key end,退出公共密钥视图,回到系统视图。
- 执行命令ssh user user-name assign rsa-key key-name,为SSH用户分配公钥。
-
-
如果创建认证方式为password或password-rsa的SSH用户,则还需要在AAA视图下创建同名的local-user用户。
- 在系统视图下执行命令aaa,进入AAA视图。
-
执行命令local-user user-name password cipher password,配置本地用户名及密码。
说明:密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。
- 执行命令local-user user-name level level,设置本地用户的用户优先级。
- 执行命令local-user user-name service-type ssh,设置本地用户的接入类型。
- 执行命令quit,退出AAA视图。
- 在系统视图下执行命令ssh user username service-type { sftp | stelnet | snetconf | all },配置SSH用户的服务方式。
- 在系统视图下执行命令stelnet server enable,使能STelnet服务。
- 在系统视图下执行命令commit,提交配置。
调测结果
通过SSH方式登录设备。本节仅介绍通过PuTTY软件登录设备的方法。
此处以待调测设备的IP地址192.168.1.1,SSH用户名client001,密码Root@123为例。
-
如下图所示,指定设备的IP地址为192.168.1.1,并指定登录方式为SSH。
-
输入用户名和密码,假设用户名client001,密码Root@123。
常见故障处理
如果SSH登录失败,可按如下步骤处理:
-
检查网络是否畅通。
使用ping命令查看网络连接情况。
- 如果ping不通,网络连接失败。请参见Ping不通问题定位问题。
- 如果ping通,请执行步骤2。
-
查看SSH服务是否启动。
执行命令display ssh server status,查看SSH服务器端配置信息。
display ssh server statusSSH version :1.99 SSH connection timeout :60 seconds SSH server key generating interval :0 hours SSH Authentication retries :3 times SFTP server :Disable STELNET server :Disable SNETCONF server :Disable说明:如果SSH服务器已经使能,请执行步骤3。
可以看到,SFTP、Stelnet和SNETCONF服务器没有使能。只有当系统启动了SSH服务,用户才能登录。执行如下命令,使能SSH服务器。
system-view[~HUAWEI]sftp server enable[~HUAWEI]stelnet server enable[~HUAWEI]snetconf server enable -
查看VTY用户界面下允许接入的协议配置是否正确。
[~HUAWEI]user-interface vty 0 4[~HUAWEI-ui-vty0-4]display thisuser-interface vty 0 4 authentication-mode aaa user privilege level 3 idle-timeout 0 0protocol inbound all缺省情况下,用户接入协议是Telnet。
- 如果用户接入协议是Telnet,那么用户将无法通过SSH成功登录。请执行步骤4。
- 如果用户接入协议是SSH或选择参数all,那么用户可通过SSH成功登录。请执行步骤5。
-
执行命令protocol inbound { SSH | all }配置允许登录接入用户类型的协议,选择参数SSH或all。
[~HUAWEI]user-interface vty 0 4[~HUAWEI-ui-vty0-4]protocol inbound ssh -
检查是否配置了RSA公钥。
设备作为SSH服务器时,必须配置本地密钥对。
执行命令display rsa local-key-pair public查看当前服务器端密钥对信息。如果没有配置,执行命令rsa local-key-pair create创建。
[~HUAWEI]rsa local-key-pair createThe key name will be:SSH Server_Host The range of public key size is (2048~2048). NOTE: Key pair generation will take a short while. -
检查是否配置了用户服务类型、认证类型和认证服务类型(只针对密码认证方式)。
-
创建SSH用户。
[~HUAWEI]ssh user abc[~HUAWEI]ssh user abc authentication-type all[~HUAWEI]ssh user abc service-type all[~HUAWEI]ssh user abc sftp-directory cfcard:/ssh同时在AAA视图下配置同名用户,并配置认证服务类型。
[~HUAWEI]aaa[~HUAWEI-aaa]local-user abc password cipher Huawei@123[~HUAWEI-aaa]local-user abc service-type ssh[~HUAWEI-aaa]quit -
对SSH用户配置缺省密码验证。
[~HUAWEI]ssh authentication-type default password同时在AAA视图下配置同名用户,并配置认证服务类型。
[~HUAWEI]aaa[~HUAWEI-aaa]local-user abc password cipher Huawei@123[~HUAWEI-aaa]local-user abc service-type ssh[~HUAWEI-aaa]quit
-
-
检查登录设备的用户数是否到达了上限。
SSH用户与Telnet用户使用的均是VTY通道,VTY通道是有限资源,最大可配置范围为0~21个。当登录用户数超过21个时,设备不再接受新的用户连接。
从Console口登录到设备,执行命令display users,查看当前的VTY通道是否全部被占用。缺省情况下,VTY通道允许的最大用户数是5个。
display user-interface maximum-vtyMaximum of VTY user:5display usersUser-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag 34 VTY 0 03:31:35 TEL 10.138.81.138 pass no Username : Unspecified 35 VTY 1 03:51:58 TEL 10.137.128.126 pass no Username : Unspecified 36 VTY 2 00:10:14 TEL 10.138.81.184 pass no Username : Unspecified 37 VTY 3 02:31:58 TEL 10.138.80.199 pass no Username : Unspecified + 39 VTY 4 00:00:00 TEL 10.138.78.80 pass no Username : Unspecified如果当前的用户数已经达到上限,可以执行命令user-interface maximum-vty vty-number,将VTY通道允许的最大用户数扩展到21个。
[~HUAWEI]user-interface maximum-vty 18 -
查看设备上VTY类型的用户界面下是否绑定了ACL。
如果绑定了ACL,但ACL规则中未指定permit客户端的IP地址,则使用SSH登录设备时将失败。即,如果需要使用某IP地址通过SSH登录到设备,必须在VTY类型的用户界面视图下绑定的ACL规则中配置允许该IP地址。
-
查看SSH版本信息。
执行命令display ssh server status,查看SSH版本信息。
display ssh server statusSSH version :1.99SSH connection timeout :60 seconds SSH authentication timeout (Seconds) : 60 SSH authentication retries (Times) : 3 SSH server key generating interval (Hours) : 0 SSH version 1.x compatibility : Enable SSH server keepalive : Enable SFTP server : Disable STELNET server : Enable SNETCONF server : Enable SNETCONF server port(830) : Disable SSH server port : 22 ACL name : ACL number : ACL6 name : ACL6 number : SSH server source address : 0.0.0.0-
如果使用SSHv1版本的客户端登录服务器,则服务器端版本兼容配置需要设置为使能。
system-view[~HUAWEI]ssh server compatible-ssh1x enable -
如果使用SSHv2版本的客户端登录服务器,请执行步骤10。
-
- 使能SSH客户端首次认证功能。[~HUAWEI]ssh client first-time enable
-
请收集如下信息,并联系华为技术支持工程师。
- 上述步骤的执行结果。
- 设备的配置文件、日志信息、告警信息。
- 上一篇:华为NE40E交换机配置DCN基本功能 2018-5-30
- 下一篇:华为NE40E交换机配置通过Telnet登录设备 2018-5-30