h3c交换机SSH配置方法

2024年2月9日发(作者：)

h3c交换机SSH配置方法

1、生成密钥

rsa local-key-pair create

2、创建SSH用户

local-user ssh

password cipher h3c_^*)!!^%

service-type ssh level 3

quit

3、指定SSH用户认证方式及服务类型

ssh user ssh authentication-type password

ssh user ssh service-type stelnet

4、在VTY接口下指定用SSH协议登陆

user-interface vty 0

authentication-mode scheme

protocol inbound ssh

quit

3. 配置步骤

(1)

配置SSH服务器Switch

# 生成RSA密钥对，并启动SSH服务器。

system-view

[Switch] public-key local create rsa

[Switch] ssh server enable

# 配置VLAN接口1的IP地址，客户端将通过该地址连接SSH服务器。

[Switch] interface vlan-interface 1

[Switch-Vlan-interface1] ip address 192.168.1.40 255.255.255.0

[Switch-Vlan-interface1] quit

# 设置SSH客户端登录用户界面的认证方式为AAA认证。

[Switch] user-interface vty 0 4

[Switch-ui-vty0-4] authentication-mode scheme

# 设置Switch上远程用户登录协议为SSH。

[Switch-ui-vty0-4] protocol inbound ssh

[Switch-ui-vty0-4] quit

# 创建本地用户client001，并设置用户访问的命令级别为3。

[Switch] local-user client001

[Switch-luser-client001] password simple aabbcc

[Switch-luser-client001] service-type ssh level 3

[Switch-luser-client001] quit

# 配置SSH用户client001的服务类型为Stelnet，认证方式为password认证。

[Switch] ssh user client001 service-type stelnet authentication-type

password

启动SSH服务器后，必须设置系统支持SSH远程登录协议。配置结果在下次登录请求时生效。

表1-3 配置SSH客户端登录时的用户界面所支持的协议

操作

进入系统视图

进入单一或多个用户界面视图

配置登录用户界面的认证方式

命令

system-view

user-interface

[

type-keyword ]

number

[

ending-number

]

authentication-mode

scheme

[ command-authorization ]

说明

-

必选

必选

可选

配置所在用户界面支持的协议

protocol inbound { all |

缺省情况下，系统支持所有的协ssh | telnet }

议，即支持Telnet和SSH

注意：

如果在该用户界面上配置支持的协议是SSH，为确保登录成功，务必使用authentication-mode scheme命令配置相应的认证方式。



如果某用户界面已经配置成支持SSH协议，则在此用户界面上配置authentication-mode password和authentication-mode none将失败。



1.3.3 生成、销毁或导出RSA密钥

生成服务器端的RSA密钥是完成SSH登录的必要操作。在使能SSH的情况下，如果没有生成RSA主机密钥对和服务器密钥对，仍然不能通过SSH登录。

对于已经生成的RSA密钥对，可以根据指定格式在屏幕上显示RSA主机公钥或导出RSA主机公钥到指定文件，从而为在远端配置RSA主机公钥作准备。

表1-4 生成主机密钥对和服务器密钥对

操作

进入系统视图

命令

system-view

说明

-

操作

生成RSA主机密钥对和服务器密钥对

命令

rsa

local-key-pair

create

说明

必选

注意：

在使能SSH的情况下，如果没有生成RSA主机密钥对和服务器密钥对，仍然不能通过SSH登录。

表1-5 销毁主机密钥对和服务器密钥对

操作

进入系统视图

销毁RSA主机密钥对和服务器密钥对

命令

system-view

rsa

local-key-pair

destroy

说明

-

可选

表1-6 导出主机公钥

操作

根据指定格式在屏幕上显示RSA主机公钥或导出RSA主机公钥到指定文件

命令

rsa

local-key-pair

export { ssh1 |

ssh2 | openssh }

[

filename

]

说明

可选

该命令可在任意视图下执行

注意：

rsa local-key-pair create命令只需执行一遍，交换机重启后不必再次执行。



服务器密钥和主机密钥的最小长度为512位，最大长度为2048位。在SSH2中，有的客户端要求服务器端生成的密钥长度必须大于或等于768位。





如果已配置过密钥对，再次配置时系统会提示是否进行替换。

1.3.4 配置SSH用户的认证方式

配置的认证方式在下次登录时生效。

表1-7 配置SSH用户的认证方式

操作

进入系统视图

为SSH用户配置认证方式

命令

system-view

ssh user

username

authentication-type

{ password | rsa |

password-publickey |

all }

说明

-

可选

缺省情况下，系统指定用户的认证方式为RSA认证

注意：

对于使用RSA认证方式的用户，必须在设备上配置相应的用户及其公钥。对于使用password认证方式的用户，用户的账号信息可以配置在设备或者远程认证服务器（如RADIUS认证服务器）上。

1.3.5 配置SSH用户的服务类型

表1-8 配置SSH用户的服务类型

操作

进入系统视图

为某一特定的用户指定服务类型

命令

system-view

说明

-

必选

ssh user

username

service-type

缺省情况下，系统缺{ stelnet | sftp |

省的服务类型为all }

stelnet

注意：



进行SFTP登录时，必须设置用户的服务类型为sftp或者all。

不需要使用SFTP服务时，SSH用户的类型设置为stelnet或者all。



1.3.6 配置服务器上的SSH管理功能

SSH的管理功能包括：



设置SSH服务器是否兼容SSH1

设置服务器密钥的定时更新时间

设置SSH认证的超时时间

设置SSH用户请求连接的认证尝试次数







通过定时更新服务器密钥以及对用户认证时间、认证次数的限制，可以防止恶意地对密钥和用户名的猜测和破解，从而提高了SSH连接的安全性。

表1-9 配置服务器上的SSH管理功能

操作

进入系统视图

设置SSH服务器是否兼容SSH1

命令

system-view

ssh server

compatible-ssh1x

enable

说明

-

可选

缺省情况下，SSH服务器兼容SSH1

可选

缺省情况下，系统不更新服务器密钥对

可选

设置服务器密钥对的更新时间

ssh server

rekey-interval

hours

设置SSH用户的认证超时时间

设置SSH认证尝试次数

ssh server

SSH用authentication-timeout

缺省情况下，户的认证超时时间time-out-value

为60秒

可选

ssh server

SSH连authentication-retries

缺省情况下，接认证尝试次数为times

3次

1.3.7 配置客户端的RSA公钥

本配置适用于对SSH用户采用RSA认证的情况。如果设备上对SSH用户配置的认证方式为password认证，则不必进行本配置。

在设备上配置的是客户端SSH用户的RSA公钥。而在客户端，需要为该SSH用户指定与RSA公钥对应的RSA私钥。客户端的密钥对是由支持SSH的客户端软件随机生成的。

可以通过手工配置和从公钥文件中导入这两种方式来配置客户端的RSA公钥。当用户执行从公钥文件中导入客户端RSA公钥的命令时，系统会自动对由客户端软件生成的公钥文件进行格式转换（转换为PKCS标准编码形式，Public Key Cryptography Standards，公共密钥加密标准），并实现客户端公钥的配置。这种方式需要客户端事先将RSA密钥的公钥文件通过FTP/TFTP方式上传到服务器端。

注意：

设备作为SSH服务器时，无法通过Secure CRT 4.07将客户端公钥上传到服务器端。



可以通过配置ssh user assign rsa-key、ssh user authentication-type、ssh user service-type中的任何一条命令来创建SSH用户，SSH用户最多只能创建1024个，其缺省配置认证方式为RSA，服务类型为stelnet。



如果没有创建SSH用户，只要本地用户存在，且设置的服务类型为SSH，则SSH客户端仍然可以通过该用户登录SSH服务器，此时缺省认证方式为password认证，SSH服务类型为stelnet。



表1-10 手工配置客户端的RSA公钥

操作

进入系统视图

进入公共密钥视图

进入公共密钥编辑视图

命令

system-view

rsa peer-public-key

keyname

public-key-code

begin

说明

-

必选

-

操作 命令 说明

-

在输入公钥内容时，字符之间可以有空格，也可以按回车键继续输入数据，所配置的公钥必须是按公钥格式编码的十六进制字符串

-

配置客户端的公钥 直接输入公钥内容

退出公共密钥编辑视图，public-key-code end

退出视图时，系统退回到公共密钥视图

自动保存配置的公钥密钥

退出公共密钥视图，退回peer-public-key end -

到系统视图

必选

keyname为已经存为SSH用户分配公共密钥

ssh user

username

assign rsa-key

keyname

在的公共密钥名称。使用该命令为用户分配公钥时，如果此用户已经被分配了公钥，则以最后一次分配的公钥为准

表1-11 从公钥文件中导入客户端的RSA公钥

操作

进入系统视图

从公钥文件中导入SSH用户的RSA公钥

命令 说明

system-view -

rsa peer-public-key

keyname import 必选

sshkey

filename