防火墙的管理口如何设置能ssh登录?
- 0关注
- 0收藏,43浏览
和路由器配置方式一样参考
本电子书由CyberArticle制作。点击这里下载CyberArticle。注册版本不会显示该信息。 删除广告
V7MSR路由器作为SSH服务端登录配置方法
目录
1
配置需求或说明
1.1
适用产品系列
本案例适用于ComwareV7 软件平台MSRWiNet系列路由器,如MSR830-10BEI-WiNet 、MSR830-6EI-WiNet 、 MSR830-5BEI-WiNet 、 MSR830-6BHI-WiNet 、 MSR830-10BHI-WiNet等。
1.2
配置需求
Host(SSH客户端)与Router建立本地连接。Host采用SSH协议登录到Router上,以保证数据信息交换的安全。此处采用的认证方式为password认证,用户名和密码保存在Router上。
2
组网图
3
配置步骤
3.1
设备作为 SSH 服务器端设置
# 生成RSA密钥对。
<H3C>system-view //从用户视图进入系统视图
System View: return to User View with Ctrl+Z.
[H3C]public-key local create rsa //生成本地非对称密钥对类型为RSA
The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes.
Press CTRL+C to abort.
Input the bits of the modulus[default = 1024]:
Generating Keys...
++++++++++++++++++++++++++++++++++++++
+++++++++++
+++++++++++++
+++
# 生成DSA密钥对。
[H3C]public-key local create dsa //生成本地非对称密钥对类型为DSA
The range of public key size is (512 ~ 2048). NOTES: If the key modulus is greater than 512, It will take a few minutes.
Press CTRL+C to abort.
Input the bits of the modulus[default = 1024]:
Generating Keys...
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
+++++++++++++++++++++++++++++++*+++++++++++++
# 启动SSH服务器。
[H3C]ssh server enable //使能Stelnet服务器功能
# 配置VLAN虚接口Vlan-interface 1的IP地址为192.168.1.1,此地址作为SSH 服务器的登录地址。
[H3C]interface Vlan-interface 1 //创建VLAN1接口并进入VLAN1接口视图
[H3C-Vlan-interface1] ip address 192.168.1.1 255.255.255.0 //指定VLAN接口1的IP地址为192.168.1.1,子网掩码都为255.255.255.0
[H3C-Vlan-interface1]quit //退出接口视图
# 设置SSH客户端登录用户界面的认证方式为password认证。
[H3C] line vty 0 4 //创建VTY 0~4用户线视图
[H3C-line-vty0-4]authentication-mode scheme //设置用户登录设备时的认证方式为AAA认证方式
# 设置Router上远程用户登录协议为SSH。
[H3C-line-vty0-4]protocol inbound ssh //设置用户线VTY 0到VTY 4只支持SSH协议
[H3C-line-vty0-4]quit //退出用户线视图
# 创建本地用户client001,密码为aabbcc,并设置用户访问的命令级别为最高级别 3。
[H3C] local-user client001 class manage //添加名称为client001的设备管理类本地用户
[H3C-luser-manage-client001]password simple aabbcc //设置设备管理类本地用户admin的密码为明文aabbcc
[H3C-luser-manage-client001]service-type ssh //设置服务类型为ssh
[H3C-luser-manage-client001] authorization-attribute user-role network-admin //配置设备管理类本地用户admin的授权用户角色为network-admin
[H3C-luser-manage-client001]quit //退出当前视图
# 配置 SSH 用户 client001 的服务类型为 Stelnet,认证方式为 password 认证(此步骤非必配)。
[H3C]ssh user client001 service-type stelnet authentication-type password
#保存配置
[H3C]save force //强制保存配置
3.2
SSH
客户端设置以及配置验证
SSH客户端软件有很多,此处以SecureCRT SecureCRT登录方式如下:打开文件---快速连接,选择协议SSH1,输入设置的用户名和口令:
通过Web界面配置管理口SSH登录,入口通常不在接口的编辑页面,而主要在独立的系统服务管理模块里。
方案一:通过Web界面配置(推荐)
开启全局SSH服务:在Web界面导航至“系统” > “安全设置”(或“服务管理”),找到“启用SSH”的选项并勾选,然后点击“确定”保存。
在管理口上启用SSH访问:接着进入“网络设置” > “接口配置” > “物理接口”,编辑你的管理口(通常是
M-GigabitEthernet0/0/0)。在“访问限制”或类似选项中,勾选“SSH” 并确认。
完成这两步后,就可以使用SSH客户端(如PuTTY、SecureCRT)通过管理口的IP地址和端口(默认22)进行登录了。
方案二:通过命令行配置(当Web界面失效时)
如果始终无法在Web界面找到配置入口,或者需要执行更高级的定制,可以通过Console口或已有远程连接登录到设备的命令行界面(CLI),按顺序执行以下命令。
生成密钥并开启SSH服务:
public-key local create rsa # 生成RSA密钥对system-view
ssh server enable # 开启SSH服务配置管理接口:
ip address 192.168.1.1 24 # 配置管理IP地址interface M-GigabitEthernet0/0/0 # 进入管理口视图
quit将管理口加入安全域并放通策略:
import interface M-GigabitEthernet0/0/0 # 将管理口加入安全域security-zone name Management # 进入管理安全域
quit
# 放通Management到Local域的策略,确保SSH流量可被处理
acl advanced 3000
rule 0 permit tcp source any destination any destination-port eq 22
quit
zone-pair security source Management destination Local
packet-filter 3000
quit配置VTY用户线:
authentication-mode scheme # 使用AAA本地认证line vty 0 4
protocol inbound ssh # 仅允许SSH登录
quit创建本地用户:
password simple your-password # 设置密码local-user your-username class manage
service-type ssh # 授权SSH服务
authorization-attribute user-role network-admin # 授予管理权限
quit
故障排查指南
如果配置后仍无法通过SSH登录,可以按以下步骤逐一排查:
确认网络连通性:在你的电脑上,用
ping <防火墙管理IP>测试能否连通。检查服务状态:在设备上执行
display ssh server status,确认Stelnet server状态为enabled。核对用户权限:确保SSH用户已通过
local-user正确创建,且service-type包含ssh。检查防火墙策略:确认管理口已加入
Management安全域,并配置了从Management到Local的放行策略。
暂无评论
华三防火墙(F1000/F5000/M9000 等)管理口开启 SSH 登录,必须同时满足 接口 IP、安全域、SSH 服务、AAA 用户、VTY、密钥 六大要素,Web 界面通常只提供部分开关,完整配置建议用命令行(CLI)。
一、管理口 SSH 完整配置(可直接复制)
1. 配置管理口(以 M-GigabitEthernet 0/0/0 为例)
plaintext
system-view
# 进入管理口
interface M-GigabitEthernet 0/0/0
# 配置IP(与电脑同网段)
ip address 192.168.1.1 255.255.255.0
# 允许ping(测试连通性)
manage ping
# 允许SSH/HTTPS/Telnet管理
manage ssh
manage https
manage telnet
# 开启接口
undo shutdown
quit
2. 加入安全域(必须放 Management 域)
plaintext
# 进入Management安全域
security-zone name Management
# 把管理口加入
import interface M-GigabitEthernet 0/0/0
quit
3. 开启 SSH 服务器、生成密钥
plaintext
# 开启SSH服务
ssh server enable
# 生成RSA密钥(必须,否则SSH无法启动)
public-key local create rsa
# 可选:生成DSA/ECDSA(兼容更多客户端)
public-key local create dsa
public-key local create ecdsa
# 可选:修改SSH端口(默认22)
ssh server port 22
quit
4. 配置本地用户(AAA)
plaintext
system-view
# 创建管理级用户
local-user admin class manage
# 密码(cipher加密存储)
password cipher Admin@123
# 允许SSH/HTTPS/Telnet
service-type ssh https telnet
# 授权管理员权限
authorization-attribute user-role network-admin
authorization-attribute user-role level-15
quit
5. 配置 VTY 线路(允许 SSH 登录)
plaintext
# 进入VTY 0~63
user-interface vty 0 63
# 认证模式:scheme(AAA用户名/密码)
authentication-mode scheme
# 只允许SSH协议(禁用Telnet更安全)
protocol inbound ssh
# 权限等级15
user privilege level 15
quit
6. 保存配置
plaintext
save force
二、Web 界面开启 SSH(简化版)
如果只能用 Web:
【网络】→【接口】→ 找到 M-GigabitEthernet 0/0/0
配置 IP / 掩码
勾选:允许 SSH 管理、允许 Ping
【系统】→【管理员】→【管理员设置】
新建 / 编辑用户:勾选 SSH、HTTPS,权限 网络管理员
【系统】→【服务管理】→【SSH 服务】
勾选 启用 SSH 服务器
端口默认 22
【安全】→【安全域】→ 确认 Management 域已包含管理口
注意:Web 界面无法生成密钥,密钥必须用 CLI 执行 public-key local create rsa。
三、常见失败原因(必查)
接口未开管理权限
必须执行 manage ssh,仅配 IP 不行
安全域错误
管理口必须在 Management 域,不能放 Trust/Untrust
未生成密钥
日志提示:SSH server could not be started
修复:public-key local create rsa
VTY 未配 scheme/ssh
认证失败:User authentication failed
端口被 ACL / 策略拦截
检查:display acl all、display zone-pair security
VPN 实例隔离
管理口绑定了 VPN 实例:需在 Ucenter/SSH 客户端指定 VPN
四、连通性测试
plaintext
# 测试管理口是否ping通
ping 192.168.1.1
# 测试SSH端口(默认22)
telnet 192.168.1.1 22
# 查看SSH状态
display ssh server status
display public-key local rsa
display local-user
display user-interface vty 0 63
五、快速排错脚本
plaintext
# 一键检查SSH配置
display current-configuration | include "ssh|public-key|user-interface vty|local-user|security-zone Management|inte
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论