華為交換機SSH配置詳解

一、華為交換機SSH配置命令

在開始配置SSH之前，需要確認設備已經支持SSH功能。使用display version命令查看設備版本，確認是否支持SSH。SSH在版本小於VRP3.10-61xx.UP0時不被支持。

display version

配置SSH需要用到以下幾個命令：

1. rsa local-key-pair       # 生成本地公私鑰對
2. ssh user xxxx authentication-type publickey  # 添加SSH用戶及指定公鑰
3. ssh user xxxxxxxx service-type stelnet # 添加SSH用戶的協議
4. user-interface vty 0 4   # 進入vty終端
5. authentication-mode aaa  # 認證方式為AAA
6. protocol inbound ssh    # 允許SSH協議登錄

二、華為交換機SSH的幾種模式

華為交換機支持的SSH模式有3種，分別是SSHv1、SSHv2和SSHv2 ACL。

SSHv1模式是老舊的SSH認證協議，不被推薦使用。SSHv2是新版的SSH認證協議，支持連接版IPv6地址，安全可靠。SSHv2 ACL是對SSHv2的進一步擴展，允許管理員通過訪問控制列表來限制特定SSH用戶的訪問許可權。

三、華為交換機SSH配置

下面是示例配置代碼，用於配置一個SSH用戶”gigawatt”，並限制其只能通過SSHv2協議進行登錄，同時限制其只能登錄VLAN 10所屬的設備：

[Switch]rsa local-key-pair
The key modulus size is 1024 bits.
% Generating key ...

Info: The operation will generate a new key pair. The old one will be removed!
Are you sure to continue? [Y/N]:y

[Switch]ssh user gigawatt authentication-type publickey
[Switch-aaa]ssh user gigawatt service-type ssh  // 允許SSH登錄
[Switch-aaa]user-interface vty 0 4
[Switch-line-vty0-4]authentication-mode scheme
[Switch-line-vty0-4]protocol inbound ssh     // 允許SSH協議登錄
[Switch-line-vty0-4]user privilege level 3   // 以3級許可權登錄
[Switch-line-vty0-4]acl acl-number 2001 inbound      // 設置訪問控制列表，限制用戶登錄VLAN 10
[Switch-acl-basic-2001]rule permit vlan-id 10    // 允許vlan-id 10，拒絕其它vlan-id
[Switch-acl-basic-2001]rule deny 0  // 拒絕其它用戶

四、華為交換機SSH遠程登錄配置命令

在遠程登錄交換機之前，需要確認遠程伺服器上已安裝SSH客戶端軟體（如PuTTY）。

要通過SSH遠程連接交換機，需要知道交換機的IP地址和登錄SSH的用戶名。配置命令如下：

ssh gigawatt@192.168.1.1

五、華為交換機SSH登錄命令

以下是SSH登錄交換機的命令：

ssh gigawatt@192.168.1.1

六、華為交換機SSH密鑰配置

SSH使用密鑰來進行認證。在遠程登錄SSH時需要通過密鑰來驗證身份。密鑰的生成可以使用下列命令：

ssh-keygen -t rsa

七、華為交換機SSH配置實例

下面是一個實際的SSH配置示例，允許用戶”gigawatt”通過SSHv2協議登錄交換機，並限制其只能訪問VLAN 10。同時，將另一個用戶”hacker”被禁止訪問交換機：

[Switch]rsa local-key-pair
[Switch]ssh user gigawatt authentication-type publickey
[Switch-aaa]ssh user gigawatt service-type ssh
[Switch-aaa]user-interface vty 0 4
[Switch-line-vty0-4]authentication-mode scheme
[Switch-line-vty0-4]protocol inbound ssh
[Switch-line-vty0-4]user privilege level 3
[Switch-line-vty0-4]acl acl-number 2001 inbound  // 限制用戶僅能登錄VLAN 10
[Switch-acl-basic-2001]rule permit vlan-id 10   
[Switch-acl-basic-2001]rule deny 0              // 拒絕其它vlan-id
[Switch-aaa]int ip vpn-instance mgmt
[Switch-aaa-ip-vpn-mgmt]quit
[Switch-aaa]int radius scheme-default 
[Switch-aaa-radius-default]server 192.168.7.100 
[Switch-aaa-radius-default]key authentication radius-key
[Switch-aaa-radius-default]quit
[Switch-aaa]domain giga.com.cn
[Switch-aaa-domain-giga.com.cn]authentication-scheme default
[Switch-aaa-domain-giga.com.cn]quit

[Switch-aaa]local-user hacker service-type ssh  //禁止用戶hacker訪問SSH
[Switch-aaa]aaa

八、華為交換機SSH指定埠

可以通過指定埠號來將SSH服務映射到不同的埠（如2222）。

ssh-gigawatt@192.168.1.1 -p 2222

原創文章，作者：小藍，如若轉載，請註明出處：https://www.506064.com/zh-tw/n/195709.html