S12518交换机
- 0关注
- 0收藏,55浏览
报错吗?
1.2.29 ssh2
【命令】
ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | aes256 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | aes256 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *
【参数】
server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写。
port-number:服务器端口号,取值范围为0~65535,缺省值为22。
vpn-instance vpn-instance-name:服务器所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。服务器位于公网中,则无需指定本参数。
identity-key:publickey认证采用的公钥算法,缺省算法为dsa。
· dsa:公钥算法为DSA。FIPS模式下不支持本算法。
· rsa:公钥算法为RSA。
prefer-ctos-cipher:客户端到服务器端的首选加密算法,缺省算法为aes128。
· 3des:3des-cbc加密算法。FIPS模式下不支持本算法。
· aes128:aes128-cbc加密算法。
· aes256:aes256-cbc加密算法。仅FIPS模式下支持本算法。
· des:des-cbc加密算法。FIPS模式下不支持本算法。
prefer-ctos-hmac:客户端到服务器端的首选HMAC算法,缺省算法为sha1-96。
· md5:HMAC算法hmac-md5。FIPS模式下不支持本算法。
· md5-96:HMAC算法hmac-md5-96。FIPS模式下不支持本算法。
· sha1:HMAC算法hmac-sha1。
· sha1-96:HMAC算法hmac-sha1-96。
prefer-kex:密钥交换首选算法,缺省算法为dh-group-exchange。
· dh-group-exchange:密钥交换算法diffie-hellman-group-exchange-sha1。FIPS模式下不支持本算法。
· dh-group1:密钥交换算法diffie-hellman-group1-sha1。FIPS模式下不支持本算法。
· dh-group14:密钥交换算法diffie-hellman-group14-sha1。
prefer-stoc-cipher:服务器端到客户端的首选加密算法,缺省算法为aes128。
prefer-stoc-hmac:服务器端到客户端的首选HMAC算法,缺省算法为sha1-96。
【描述】
ssh2命令用来建立Stelnet客户端和IPv4 Stelnet服务器端的连接,并指定公钥算法、客户端和服务器的首选密钥交换算法、首选加密算法和首选HMAC算法。
需要注意的是,当服务器端指定对客户端的认证方式为publickey认证时,客户端需要读取本地的私钥进行数字签名。由于publickey认证可以采用RSA和DSA两种公钥算法,所以需要通过identity-key关键字指定客户端采用的公钥算法,才能得到正确的本地私钥数据。
【举例】
# 登录地址为10.214.50.51的远程Stelnet服务器,采用如下连接策略:
· 首选密钥交换算法为dh-group1;
· 服务器到客户端的首选加密算法为aes128;
· 客户端到服务器的首选HMAC算法为md5;
· 服务器到客户端的HMAC算法为sha1-96。
<Sysname> ssh2 10.214.50.51 prefer-kex dh-group1 prefer-stoc-cipher aes128 prefer-ctos-hmac md5 prefer-stoc-hmac sha1-96
不报错,只能敲除ssh,没有ssh2开头的命令
核心区别
特性 | 老版本/其他系列 | S12518(Comware V7) |
|---|---|---|
命令格式 | 单条命令配置多种算法 | 分三条独立命令配置 |
配置视图 | 系统视图 | 系统视图 |
加密算法命令 | ssh2 algorithm cipher | ssh2 algorithm cipher |
密钥交换命令 | 包含在上条命令中 | ssh2 algorithm key-exchange |
MAC算法命令 | 包含在上条命令中 | ssh2 algorithm mac |
S12518的正确配置方法
1. 分别配置三类算法
# 进入系统视图
system-view
# 1. 配置加密算法(支持国密)
ssh2 algorithm cipher ?
aes128-cbc AES128-CBC encryption algorithm
aes128-ctr AES128-CTR encryption algorithm
aes128-gcm AES128-GCM encryption algorithm
aes192-ctr AES192-CTR encryption algorithm
aes256-cbc AES256-CBC encryption algorithm
aes256-ctr AES256-CTR encryption algorithm
aes256-gcm AES256-GCM encryption algorithm
des-cbc DES-CBC encryption algorithm
3des-cbc 3DES-CBC encryption algorithm
sm4-cbc SM4-CBC encryption algorithm (国密)
# 示例:配置加密算法
ssh2 algorithm cipher aes128-ctr aes256-ctr aes128-gcm aes256-gcm
# 如果需要国密算法
# ssh2 algorithm cipher sm4-cbc aes128-ctr aes256-ctr
# 2. 配置密钥交换算法
ssh2 algorithm key-exchange ?
dh-group14-sha1 Diffie-Hellman group14 with SHA1
dh-group-exchange-sha1 DH group exchange with SHA1
dh-group-exchange-sha256 DH group exchange with SHA256
ecdh-sha2-nistp256 ECDH with NIST P256
ecdh-sha2-nistp384 ECDH with NIST P384
ecdh-sha2-nistp521 ECDH with NIST P521
sm2-kep SM2 key exchange (国密)
# 示例:配置密钥交换算法
ssh2 algorithm key-exchange dh-group-exchange-sha256 ecdh-sha2-nistp256
# 国密配置
# ssh2 algorithm key-exchange sm2-kep dh-group-exchange-sha256
# 3. 配置MAC算法
ssh2 algorithm mac ?
hmac-md5 HMAC-MD5
hmac-md5-96 HMAC-MD5-96
hmac-sha1 HMAC-SHA1
hmac-sha1-96 HMAC-SHA1-96
hmac-sha2-256 HMAC-SHA2-256
hmac-sha2-512 HMAC-SHA2-512
sm3 SM3 HMAC (国密)
# 示例:配置MAC算法
ssh2 algorithm mac hmac-sha2-256 hmac-sha2-512
# 国密配置
# ssh2 algorithm mac sm3 hmac-sha2-256
2. 完整配置示例(推荐)
system-view
# 配置SSH算法套件
ssh2 algorithm cipher aes256-gcm aes128-gcm aes256-ctr aes128-ctr
ssh2 algorithm key-exchange ecdh-sha2-nistp256 ecdh-sha2-nistp384 dh-group-exchange-sha256
ssh2 algorithm mac hmac-sha2-256 hmac-sha2-512
# 启用SSH服务器
ssh server enable
# 配置SSH版本(强制使用SSHv2)
ssh server compatible-ssh1x disable
# 配置认证方式
ssh user admin authentication-type password
ssh user admin service-type stelnet
# 保存配置
save force
3. 国密算法专用配置
system-view
# 国密算法套件
ssh2 algorithm cipher sm4-cbc aes256-ctr aes128-ctr
ssh2 algorithm key-exchange sm2-kep dh-group-exchange-sha256
ssh2 algorithm mac sm3 hmac-sha2-256
# 启用国密算法支持
public-key peer gmkey
public-key-code sm2
# 此处粘贴SM2公钥
peer-public-key end
# 保存
save force
查看当前配置
# 查看已配置的SSH算法
display ssh2 algorithm
# 显示SSH服务器状态
display ssh server status
# 查看SSH用户信息
display ssh user
故障排查
如果SSH连接失败,检查以下配置:
# 1. 检查SSH服务是否开启
display ssh server status
# 2. 检查VTY线路配置
display line vty
# 确保有以下配置:
user-interface vty 0 15
authentication-mode scheme
protocol inbound ssh
# 3. 检查SSH用户
display ssh user
# 4. 检查ACL是否放行
display acl all
# 5. 查看日志
display logbuffer
不同系列对照表
设备系列 | 平台类型 | 命令格式 |
|---|---|---|
S12500/S12518 | Comware V7 | 分三条命令: ssh2 algorithm cipher/key-exchange/mac |
S10500/S75/S95 | Comware V5/V7 | 同上 |
S6800/S6850 | Comware V7 | 同上 |
S5560/S5130 | 园区交换机V7 | 同上 |
MSR/MSG系列 | 路由器V7 | 同上 |
老设备V5版本 | Comware V5 | 单条命令: ssh2 algorithm cipher后跟所有算法 |
重要提示
- 算法优先级:配置的算法顺序就是客户端协商时的优先级顺序,将最安全的算法放在前面。
- 安全建议:
- 优先使用AES-GCM、ECDH、SHA2等现代算法
- 禁用弱算法(DES、3DES、SHA1、MD5)
- 强制SSHv2,禁用SSHv1
- 兼容性:确保客户端支持配置的算法
- 配置后生效:SSH算法配置对新建立的SSH连接立即生效
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
ssh2就这些命令