华为设备ssh登录配置

1.开启telnet服务

stelnet server enable

2.aaa下创建用户

aaa

     local-user test001 password irreversible-cipher test@123

     local-user test001 service-type terminal ssh

     local-user test001 level 15

3.开启用户首次登录设备不检查公钥。

ssh client first-time enable     //当STelnet/SFTP客户端第一次登录SSH服务器时,因为此时STelnet/SFTP客户端还没有保存SSH服务器的公钥。那么在STelnet/SFTP客户端第一次登录SSH服务器时,不对SSH服务器的公钥进行有效性检查。登录后,系统将自动分配并保存公钥,为下次登录时认证。

4.vty下配置认证模式为aaa,支持通过SSH协议登录设备

user-interface vty 0 9

     authentication-mode aaa

     protocol inbound ssh

     user privilege level 3

2步骤的 local-user test001 level 15优先于4步骤的user privilege level 3,当2步骤未配置local-user test001 level 15时,则使用4步骤的user privilege level 3

5.新版本增加的功能。

ssh ipv6 server-source all-interface

ssh server-source all-interface 指定SSH服务器的源接口为设备上所有配置ip的接口 或 ssh server-source -i interface xxxx,指定SSH服务器的源接口为某一个接口。如果同时配置,则会优先选择ssh server-source -i命令指定的接口作为ssh服务器的源接口,如果指定的源接口无法登录成功,则会从其他有效接口中选择接口登录。

配完以上步骤即可使用ssh登录。

6.创建ssh user

是否创建ssh user用户取决于ssh authentication-type default password命令。如果配置了undo ssh authentication-type default password,则需要创建ssh用户。

如果配置了ssh authentication-type default password则无需创建ssh user即可登录。

如果配置了undo ssh authentication-type default password 则需要创建ssh user 才能登录

ssh user test001

ssh user test001 authentication-type password

ssh user test001 service-type stelnet

如果即配置了ssh authentication-type default password又创建了ssh user,则使用ssh user登录,如果此时未配置ssh user test002 authentication-type或ssh user test002 service-type stelnet则无法登录。

7.配置acl

acl ipv6 number 2001

      description For SSH v6

      rule 5 permit source 2409::/128

acl number 2000

      description For STelnet

      rule 5 permit source 1.1.1.0 0.0.0.255

ssh server acl 2000

ssh ipv6 server acl 2001

user-interface vty 0 9

      acl ipv6 2001 inbound

      acl 2000 inbound

注释:ssh server acl 2000和acl 2000 inbound有一个拒绝,动作就是拒绝。

 各业务模块的ACL默认动作及ACL处理机制

在telnet和stelnet使用时,如果所有rule未匹配到,即使不配deny,默认动作就为deny。如果acl中未配置任何rule,则默认为permit允许

ACL默认动作及处理规则

Telnet

STelnet

HTTP

FTP

TFTP

ACL默认动作

deny

deny

deny

deny

deny

命中permit规则

permit(允许登录)

permit(允许登录)

permit(允许登录)

permit(允许登录)

permit(允许登录)

命中deny规则

deny(拒绝登录)

deny(拒绝登录)

deny(拒绝登录)

deny(拒绝登录)

deny(拒绝登录)

ACL中配置了规则,但未命中任何规则

deny(拒绝登录)

deny(拒绝登录)

deny(拒绝登录)

deny(拒绝登录)

deny(拒绝登录)

ACL中未配置规则

permit(允许登录)

permit(允许登录)

permit(允许登录)

permit(允许登录)

permit(允许登录)

ACL未创建

permit(允许登录)

permit(允许登录)

permit(允许登录)

permit(允许登录)

permit(允许登录)

发表评论

相关文章