S3100-16C-SI

配置通过SSH登录设备

3.6.1  功能简介

用户通过一个不能保证安全的网络环境远程登录到设备时，SSH（Secure Shell，安全外壳）可以利用加密和强大的认证功能提供安全保障，保护设备不受诸如IP地址欺诈、明文密码截取等攻击。

·     设备可以作为SSH服务器，以便用户能够使用SSH协议登录到设备进行远程管理和监控。具体配置请参见“3.6.2  配置设备作为SSH服务器”。

·     设备也可以作为SSH客户端，使用SSH协议登录到别的设备，对别的设备进行管理和监控。具体配置请参见“3.6.3  配置设备作为SSH客户端登录其他设备”。

3.6.2  配置设备作为SSH服务器

以下配置步骤只介绍采用password方式认证SSH客户端的配置方法，publickey方式的配置方法及SSH的详细介绍，请参见“安全配置指导”中的“SSH”。

(1)     进入系统视图。

system-view

(2)     生成本地密钥对。

（非FIPS模式）

public-key local create { dsa | ecdsa [ secp192r1 | secp256r1 | secp384r1 | secp521r1 ] | rsa } [ name key-name ]

（FIPS模式）

public-key local create { dsa | ecdsa [ secp256r1 | secp384r1 | secp521r1 ] | rsa } [ name key-name ]

(3)     开启SSH服务器功能。

ssh server enable

缺省情况下，SSH服务器功能处于关闭状态。

(4)     （可选）建立SSH用户，并指定SSH用户的认证方式。

ssh user username service-type stelnet authentication-type password

(5)     进入VTY用户线或VTY用户线类视图。

¡     进入VTY用户线视图。

line vty first-number [ last-number ]

¡     进入VTY用户线类视图。

line class vty

(6)     配VTY用户线的认证方式为scheme方式。

（非FIPS模式）

authentication-mode scheme

缺省情况下，VTY用户线的认证方式为password方式。

用户线视图下，authentication-mode和protocol inbound存在关联绑定关系，当两条命令中的任意一条配置了非缺省值，那么另外一条取用户线下的值。

（FIPS模式）

authentication-mode scheme

缺省情况下，VTY用户线的认证方式为scheme方式。

用户线视图下，authentication-mode和protocol inbound存在关联绑定关系，当两条命令中的任意一条配置了非缺省值，那么另外一条取用户线下的值。

(7)     （可选）配置VTY用户线支持的SSH协议。

（非FIPS模式）

protocol inbound { all | ssh | telnet }

缺省情况下，设备同时支持Telnet和SSH协议。

本配置将在用户下次使用该用户线登录时生效。

用户线视图下，authentication-mode和protocol inbound存在关联绑定关系，当两条命令中的任意一条配置了非缺省值，那么另外一条取用户线下的值。

（FIPS模式）

protocol inbound ssh

缺省情况下，设备支持SSH协议。

本配置将在用户下次使用该用户线登录时生效。

用户线视图下，authentication-mode和protocol inbound存在关联绑定关系，当两条命令中的任意一条配置了非缺省值，那么另外一条取用户线下的值。

(8)     （可选）配置SSH方式登录设备时，同时在线的最大用户连接数。

aaa session-limit ssh max-sessions

缺省情况下，SSH方式登录同时在线的最大用户连接数为32。

配置本命令后，已经在线的用户连接不会受到影响，只对新的用户连接生效。如果当前在线的用户连接数已经达到最大值，则新的连接请求会被拒绝，登录会失败。

关于该命令的详细描述，请参见“安全命令参考”中的“AAA”。

(9)     （可选）退回系统视图并配置VTY用户线的公共属性。

a.     退回系统视图。

quit

b.     配置VTY用户线的公共属性。

详细配置请参见“3.5.3  7. 配置VTY用户线的公共属性”。

#
super password level 3 simple huawei
#
ip http shutdown
#
radius scheme system
#
domain system
#
vlan 1
#
interface Vlan-interface1
ip address xx.xx.xx.xx 255.255.252.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
#
interface Ethernet1/0/2
#
interface Ethernet1/0/3
#
interface Ethernet1/0/4
#
interface Ethernet1/0/5
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
#
interface Ethernet1/0/8
#
interface Ethernet1/0/9
#
interface Ethernet1/0/10
#
interface Ethernet1/0/11
#
interface Ethernet1/0/12
#
interface Ethernet1/0/13
#
interface Ethernet1/0/14
#
interface Ethernet1/0/15
#
interface Ethernet1/0/16
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 x.x.x.x preference 60
#
snmp-agent
snmp-agent local-engineid xx
snmp-agent community write xxx
snmp-agent community read xxx
snmp-agent sys-info version all
#
ssh user xx authentication-type password
ssh user xx service-type all
#
user-interface aux 0
authentication-mode password
set authentication password simple xxxx
user-interface vty 0 4
authentication-mode scheme
user privilege level 3
set authentication password cipher  xxx
idle-timeout 3 0
protocol inbound ssh
#
return