V7版本交换机 ssh客户端身份验证服务器 怎么配置
- 1关注
- 1收藏,2022浏览
问题描述:
在V5版本中是这样的:【命令】ssh client authentication
server server assign publickey
keynameundo ssh client authentication
server server assign
publickey【视图】系统视图【缺省级别】2:系统级【参数】server:服务器的IP地址或名称,为1~80个字符的字符串。assign
publickey keyname:指定服务器端的主机公钥。keyname表示主机公钥名称,为1~64个字符的字符串。【描述】ssh client authentication
server命令用来在客户端上指定要连接的服务器端的主机公钥名称,以便客户端判断认证连接的服务器是否为可信赖的服务器。undo ssh client authentication
server命令用来取消在客户端上指定要连接的服务器端的主机公钥。缺省情况下,客户端不指定要连接的服务器端的主机公钥名称,而是在客户端登录服务器的时候使用登录服务器时所用的IP地址或主机名作其对应的公钥名称。如果客户端不支持首次认证,客户端将拒绝访问未经认证的服务器。此时,需要在客户端配置服务器端的公钥,并指定该公钥与服务器端的对应关系,以便在客户端对连接的服务器端进行认证时,能够根据该对应关系使用正确的公钥对服务器端进行认证。需要注意的是,指定的服务器端的主机公钥必须已经存在。相关配置可参考命令ssh client first-time enable。【举例】# 服务器的IP地址为192.168.0.1,在客户端指定该服务器的公钥名称为key1。
组网及组网描述:
在V5版本中是这样的:【命令】ssh client authentication
server server assign publickey
keynameundo ssh client authentication
server server assign
publickey【视图】系统视图【缺省级别】2:系统级【参数】server:服务器的IP地址或名称,为1~80个字符的字符串。assign
publickey keyname:指定服务器端的主机公钥。keyname表示主机公钥名称,为1~64个字符的字符串。【描述】ssh client authentication
server命令用来在客户端上指定要连接的服务器端的主机公钥名称,以便客户端判断认证连接的服务器是否为可信赖的服务器。undo ssh client authentication
server命令用来取消在客户端上指定要连接的服务器端的主机公钥。缺省情况下,客户端不指定要连接的服务器端的主机公钥名称,而是在客户端登录服务器的时候使用登录服务器时所用的IP地址或主机名作其对应的公钥名称。如果客户端不支持首次认证,客户端将拒绝访问未经认证的服务器。此时,需要在客户端配置服务器端的公钥,并指定该公钥与服务器端的对应关系,以便在客户端对连接的服务器端进行认证时,能够根据该对应关系使用正确的公钥对服务器端进行认证。需要注意的是,指定的服务器端的主机公钥必须已经存在。相关配置可参考命令ssh client first-time enable。【举例】# 服务器的IP地址为192.168.0.1,在客户端指定该服务器的公钥名称为key1。
- 2020-07-02提问
- 举报
-
(0)
最佳答案
您好,请知:
请参考如下整套SSH配置的案例:
1.4 通过SSH进行远程登录
1.4.1 通过SSH登录交换机简介
SSH是Secure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到交换机时,SSH可以利用加密和强大的认证功能提供安全保障,保护交换机不受诸如IP地址欺诈、明文密码截取等攻击。交换机支持SSH功能,用户可以通过SSH方式登录到交换机上,对交换机进行远程管理和维护如图1-8所示。
表1-6 采用SSH方式登录需要具备的条件
对象 | 需要具备的条件 |
SSH Server | 配置SSH Server的IP地址,SSH Server与SSH Client间路由可达 |
配置SSH登录的认证方式和其它配置(根据SSH Server的情况而定) | |
SSH Client | 如果是主机作为SSH客户端,则需要在主机上运行SSH客户端程序 |
获取要登录的SSH Server的IP地址 |
交换机既可以充当SSH Server,也可以充当SSH Client。
作为SSH Server:
· 可在SSH Server上进行一系列的配置,实现对不同SSH Client的登录权限的控制。
· 缺省情况下,交换机的SSH Server功能处于关闭状态,因此当您使用SSH方式登录交换机前,首先需要通过Console口登录到交换机上,开启交换机的SSH Server功能、对认证方式及其它属性进行相应的配置,才能保证通过SSH方式正常登录到交换机。
作为SSH Client:
· 可通过交换机登录到SSH Server上,从而对SSH Server进行操作。
· 缺省情况下,交换机的SSH Client功能处于开启状态。
1.4.2 通过SSH Client登录到交换机
1. 配置前提
通过Console口本地登录交换机,具体请参见1.2 通过Console口/AUX口进行本地登录。
2. 配置过程
表1-7 交换机充当SSH SERVER时的配置
操作 | 命令 | 说明 | |
进入系统视图 | system-view | - | |
生成本地DSA或RSA密钥对 | public-key local create { dsa | rsa } | 必选 缺省情况下,没有生成DSA和RSA密钥对 | |
使能SSH SERVER功能 | ssh server enable | 必选 缺省情况下,SSH SERVER功能处于关闭状态 | |
退出至系统视图 | quit | - | |
进入VTY用户界面视图 | user-interface vty first-number [ last-number ] | - | |
配置登录用户界面的认证方式为scheme方式 | authentication-mode scheme | 必选 缺省情况下,用户界面认证为password方式 | |
配置所在用户界面支持SSH协议 | protocol inbound { all | ssh | telnet } | 可选 缺省情况下,系统支持所有的协议,即支持Telnet和SSH | |
退出至系统视图 | quit | - | |
配置交换机采用的认证方案 | 进入ISP域视图 | domain domain-name | 可选 缺省情况下,系统使用的AAA方案为local 如果采用local认证,则必须进行后续的本地用户配置;如果采用RADIUS或者HWTACACS方式认证,则需进行如下配置: · 交换机上的配置请参见“安全配置指导”中的“AAA” · AAA服务器上需要配置相关的用户名和密码,具体请参见服务器的指导书 |
配置域使用的AAA方案 | authentication default { hwtacacs-scheme hwtacacs-scheme-name [ local ] | local | none | radius-scheme radius-scheme-name [ local ] } | ||
退出至系统视图 | quit | ||
创建本地用户,并进入本地用户视图 | local-user user-name | 必选 缺省情况下,没有配置本地用户 | |
设置本地认证口令 | password { cipher | simple } password | 必选 缺省情况下,没有配置本地认证口令 | |
设置本地用户的命令级别 | authorization-attribute level level | 可选 缺省情况下,命令级别为0 | |
设置本地用户的服务类型 | service-type ssh | 必选 缺省情况下,不对用户授权任何服务 | |
退回系统视图 | quit | - | |
建立SSH用户,并指定SSH用户的认证方式 | ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname } | 可选 缺省情况下,没有配置SSH用户及SSH用户的认证方式 | |
配置VTY用户界面的公共属性 | - | 可选 详细配置请参见5.3.2 配置用户界面公共属性 | |
· 从SSH Client登录到交换机(SSH Server)的具体步骤,与充当SSH Client的设备型号有关,请参考SSH Client设备配套的用户手册。
· 本章只介绍采用password方式认证SSH客户端的配置方法,publickey方式的配置方法及SSH的详细介绍,请参见“安全配置指导”中的“SSH”。
使能命令行授权功能或命令行计费功能后,还需要进行如下配置才能保证命令行授权功能生效:
· 需要创建HWTACACS方案,在方案中指定授权服务器的IP地址以及授权过程的其它参数;
· 需要在ISP域中引用已创建的HWTACACS方案。
详细介绍请参见“安全配置指导”中的“AAA”。
· 用户采用password认证方式登录交换机时,其所能访问的命令级别取决于AAA方案中定义的用户级别。AAA方案为local认证时,用户级别通过authorization-attribute level level命令设定;AAA方案为RADIUS或者HWTACACS方案认证时,在相应的RADIUS或者HWTACACS服务器上设定相应用户的级别。有关AAA、RADIUS、HWTACACS的详细内容,请参见“AAA配置指导”中的“AAA”。
· 用户采用publickey认证方式登录交换机时,其所能访问的命令级别取决于用户界面上通过user privilege level命令配置的级别。
1.4.3 交换机充当SSH Client登录其它设备
1. 配置前提
通过Console口本地登录交换机,具体请参见1.2 通过Console口/AUX口进行本地登录。
图1-9 通过交换机登录到其它设备
如果Telnet Client与Telnet Server相连的端口不在同一子网内,请确保两台设备间路由可达。
2. 配置过程
表1-8 交换机作为SSH Client登录到其它设备的配置
操作 | 命令 | 说明 |
交换机作为SSH Client登录到SSH IPv4服务器端 | ssh2 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * | 必选 server:服务器IPv4地址或主机名称,为1~20个字符的字符串,不区分大小写 此命令在用户视图下执行 |
交换机作为SSH Client登录到SSH IPv6服务器端 | ssh2 ipv6 server [ port-number ] [ vpn-instance vpn-instance-name ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] * | 必选 server:服务器的IPv6地址或主机名称,为1~46个字符的字符串,不区分大小写 此命令在用户视图下执行 |
为配合SSH Server,交换机充当SSH Client时还可进一步进行其它配置,具体配置请参见“安全配置指导”中的“SSH”。
配置完成后,交换机即可登录到相应的SSH Server上。
- 2020-07-02回答
- 评论(0)
- 举报
-
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论