h3c交换机SSH配置方法
1、生成密钥
rsa local-key-pair create
2、创建SSH用户 local-user ssh
password cipher h3c_^*)!!^% service-type ssh level 3 quit
3、指定SSH用户认证方式及服务类型
ssh user ssh authentication-type password ssh user ssh service-type stelnet
4、在VTY接口下指定用SSH协议登陆 user-interface vty 0
authentication-mode scheme protocol inbound ssh quit
3. 配置步骤
(1) 配置SSH服务器Switch
# 生成RSA密钥对,并启动SSH服务器。
[Switch] public-key local create rsa [Switch] ssh server enable
# 配置VLAN接口1的IP地址,客户端将通过该地址连接SSH服务器。 [Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 192.168.1.40 255.255.255.0 [Switch-Vlan-interface1] quit
# 设置SSH客户端登录用户界面的认证方式为AAA认证。 [Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme # 设置Switch上远程用户登录协议为SSH。 [Switch-ui-vty0-4] protocol inbound ssh [Switch-ui-vty0-4] quit
# 创建本地用户client001,并设置用户访问的命令级别为3。 [Switch] local-user client001
[Switch-luser-client001] password simple aabbcc [Switch-luser-client001] service-type ssh level 3 [Switch-luser-client001] quit
# 配置SSH用户client001的服务类型为Stelnet,认证方式为password认证。
[Switch] ssh user client001 service-type stelnet authentication-type password
启动SSH服务器后,必须设置系统支持SSH远程登录协议。配置结果在下次登录请求时生效。
表1-3 配置SSH客户端登录时的用户界面所支持的协议
操作 进入系统视图 进入单一或多个用户界面视图 配置登录用户界面的认证方式 命令 system-view user-interface [ type-keyword ] number [ ending-number ] authentication-mode scheme [ command-authorization ] 说明 - 必选 必选 可选 配置所在用户界面支持的协议 protocol inbound { all | 缺省情况下,系统支持所有的协ssh | telnet } 议,即支持Telnet和SSH
注意:
如果在该用户界面上配置支持的协议是SSH,为确保登录成功,务必使用authentication-mode scheme命令配置相应的认证方式。
?
如果某用户界面已经配置成支持SSH协议,则在此用户界面上配置
authentication-mode password和authentication-mode none将失败。
?
1.3.3 生成、销毁或导出RSA密钥
生成服务器端的RSA密钥是完成SSH登录的必要操作。在使能SSH的情况下,如果没有生成RSA主机密钥对和服务器密钥对,仍然不能通过SSH登录。
对于已经生成的RSA密钥对,可以根据指定格式在屏幕上显示RSA主机公钥或导出RSA主机公钥到指定文件,从而为在远端配置RSA主机公钥作准备。
表1-4 生成主机密钥对和服务器密钥对
操作 进入系统视图 命令 system-view 说明 - 操作 生成RSA主机密钥对和服务器密钥对
命令 rsa local-key-pair create 说明 必选 注意:
在使能SSH的情况下,如果没有生成RSA主机密钥对和服务器密钥对,仍然不能通过SSH登录。
表1-5 销毁主机密钥对和服务器密钥对
操作 进入系统视图 销毁RSA主机密钥对和服务器密钥对
命令 system-view rsa local-key-pair destroy 说明 - 可选 表1-6 导出主机公钥
操作 根据指定格式在屏幕上显示RSA主机公钥或导出RSA主机公钥到指定文件 命令 rsa local-key-pair export { ssh1 | ssh2 | openssh } [ filename ] 说明 可选 该命令可在任意视图下执行
注意:
rsa local-key-pair create命令只需执行一遍,交换机重启后不必再次执行。
?
服务器密钥和主机密钥的最小长度为512位,最大长度为2048位。在SSH2中,有的客户端要求服务器端生成的密钥长度必须大于或等于768位。
? ?
如果已配置过密钥对,再次配置时系统会提示是否进行替换。