最佳答案
登录设备
通过当前 SSH(22 端口)、Telnet 或 Console 线连接到交换机。
进入系统视图
<H3C> system-view
System View: return to User View with Ctrl+Z.
[H3C]
更改 SSH 服务器侦听端口
使用 ssh server port
命令设置新的端口号(建议在 1024 - 65535
之间,避开知名端口):
[H3C] ssh server port <new-port> # 将 <new-port> 替换为新端口号(如 8022)
(推荐)配置 VTY 用户线仅支持 SSH 协议
防止用户继续通过 Telnet 明文登录,强制走加密的 SSH 通道:
[H3C] line vty 0 63 # 进入所有虚拟终端线路视图
[H3C-line-vty0-63] protocol inbound ssh # 只允许 SSH 协议接入
[H3C-line-vty0-63] quit
开放防火墙策略,允许新端口流量
如果设备启用了包过滤(ACL)或安全策略,需添加规则放行新端口:
[H3C] acl advanced 3000 name Allow_SSH_New # 创建高级 ACL(或复用现有 ACL)
[H3C-acl-ipv4-adv-3000] rule permit tcp destination-port eq <new-port>
[H3C-acl-ipv4-adv-3000] quit
[H3C] interface vlan-interface 1 # 进入管理 VLAN 接口
[H3C-Vlan-interface1] packet-filter inbound ip-group 3000 # 应用入方向 ACL
[H3C-Vlan-interface1] quit
检查配置并保存
[H3C] display ssh server status # 查看 SSH 服务端口是否生效
[H3C] display current-configuration | include "ssh server port" # 确认端口修改
[H3C] save force # 强制保存配置
使用新端口重新登录测试
使用 SSH 客户端(如 PuTTY/Xshell)通过 新端口 连接设备,验证是否成功。
测试成功后,建议禁用旧端口的防火墙规则或 Telnet 服务,避免安全隐患。
风险点 | 规避措施 |
---|---|
自我锁定风险 | ✅ 操作前确保开启 Telnet 或保留 Console 物理访问权限 |
端口冲突 | 🔍 使用 |
防火墙遗漏 | 🔒 确认业务接口的 ACL/安全策略已放行 TCP/<new-port> |
旧服务残留 | 🚫 使用 |
端口范围约束
H3C 设备通常要求端口号 ≥1024,避免与系统服务冲突。
协议强制
protocol inbound ssh
是关键安全加固,确保远程登录仅通过加密通道。
日志监控
更改后关注日志 (display logbuffer
),确认有无非法登录尝试。
📌 操作口诀:
**先备后改,新旧并存;
协议锁紧,策略放行;
保存前测,安全至上。**
严格按流程操作可无缝迁移至新端口,显著提升交换机管理安全性。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论