以SSH方式登陆SecPath防火墙的典型配置

以SSH方式登陆SecPath防火墙的典型配置

 

一、 组网需求：

通过SSH方式管理SecPath防火墙。

在SecPath防火墙上，SSH支持的认证方式有两种:口令认证和RSA认证。此处采用的SSH客户端为免费的putty程序。

二、 组网图

 

三、 基于口令认证的配置信息

1.     SecPath防火墙的主要配置

创建本地密钥，默认512位

[Quidway] rsa local-key-pair create

配置VTY属性

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] authentication-mode scheme

[Quidway-ui-vty0-4] protocol inbound ssh

创建本地帐号

[Quidway] local-user admin

[Quidway-luser-ssh1] password simple admin

[Quidway-luser-ssh1] service-type ssh

[Quidway-luser-ssh1] level 3

创建SSH用户认证类型

[Quidway] ssh user admin authentication-type password

 

2.        客户端的主要配置

 

 

 

 

 

四、 基于RSA认证的配置信息

1.     SecPath防火墙的主要配置

创建本地帐号

[Quidway] local-user zhaobiao

[Quidway-luser-ssh2] service-type ssh

配置VTY属性

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] authentication-mode sheme

[Quidway-ui-vty0-4] protocol inbound ssh

创建SSH帐号并指定验证类型为RSA

[Quidway] ssh user zhaobiao authentication-type RSA

创建公钥

[Quidway] rsa peer-public-key rsa

[Quidway-rsa-public] public-key-code begin

[Quidway-rsa-key-code]30818702 818100AB 706D0EA1 E9A29CB0 5A8010F9 0C36064D    

[Quidway-rsa-key-code]A6396A07 19BCB874 49419AF1 6BE02B7C E1A23706 A4CDB0BB    

[Quidway-rsa-key-code]EB17D7CA 03954D65 7A3056EE C2A54E04 6715ECBC 2CF70D72    

[Quidway-rsa-key-code]37574AE3 715B5A87 F39CF8B0 CBCB6032 DF47E3C6 6EB63374     

[Quidway-rsa-key-code]B6214C8B 51E5A5C8 0456E013 FA5DDB65 1F805E00 42265E86    

[Quidway-rsa-key-code]89BDF8D1 6BBC44AD 53E77C54 34ED5F02 0125  [Quidway-key-code] public-key-code end

[Quidway-rsa-public] peer-public-key end

指派SSH公钥

[Quidway] ssh user zhaobiao assign rsa-key rsa

 

2.        客户端的主要配置

使用PuTTY Key Generator的软件，生成公钥和私钥：

 

保存公钥和私钥：

 

 

由于生成的密钥是通用的格式，因此还需要将这些密钥转换成我司设备支持的格式，使用sshkey软件将保存到本地的公钥文件rsa进行转换：

 

使用Putty软件进行远程管理：

 

 

 

 

 

五、 配置关键点

1、SSH服务默认开启；

2、配置并产生本地RSA密钥对。请您在进行其它SSH配置之前，一定记得完成rsa local-key-pair create配置，生成本地密钥对；

3、当防火墙作为SSH2.0的服务器端时，使用rsa local-key-pair create命令生成的密钥对必须至少为768位，否则SSH2.0的客户端将无法成功登录，此时如果需要对SSH2.0的客户端进行RSA认证，则要求SSH2.0的客户端生成的密钥对也至少为768位；

4、客户登录时输入的用户名应与路由器上配置的ssh user username命令中的username保持一致，否则无法建立连接；

5、为确保登录成功，务必配置相应的验证方式为authentication-mode scheme；若配置其他验证方式为authentication-mode password和authentication-mode none，则protocol inbound ssh配置结果将失败。