tpwallet官网下载 H3C S3610&S5510系列以太网交换机 操作手册

1 SSH2.0配置

 

1.1  SSH2.0简介

SSH是Secure Shell（安全外壳）的简称。用户通过一个不能保证安全的网络环境远程登录到设备时，SSH可以利用加密和强大的认证功能提供安全保障，保护设备不受诸如IP地址欺诈、明文密码截取等攻击。

设备支持SSH服务器功能，可以接受多个SSH客户端的连接。同时，设备还支持SSH客户端功能，允许用户与支持SSH服务器功能的设备建立SSH连接，从而实现从本地设备通过SSH登录到远程设备上。

 

1.1.1  算法和密钥

加密和解密过程中使用的一组变换规则称为算法。将未加密的信息称为明文，加密后的信息称为密文。加密和解密都是在密钥的控制下进行的。密钥是一组特定的字符串，是控制明文和密文变换的唯一参数，起到“钥匙”的作用。通过加密变换操作，可以将明文变换为密文，或者通过解密变换操作，将密文恢复为明文。如图1-1所示。

图1-1 加密和解密变换关系

 

基于密钥的算法通常有两类：对称算法和非对称密钥算法。

1.1.2  非对称密钥算法

非对称密钥算法是指通信的每一端都存在一对密钥，即一个私钥，一个公钥。公钥是公开的，私钥只有合法者拥有，从公钥很难推出私钥。

非对称密钥算法可以用于加密，也就是用公钥对报文进行加密，然后由拥有私钥的合法者使用私钥对数据进行解密，这样保证数据的机密性。

非对称密钥算法还可以用于数字签名，比如用户1使用自己的私钥对数据进行签名，然后发给用户2，用户2可以用用户1的公钥验证签名，如果签名是正确的，那么就能够确认该数据来源于用户1。

RSA（Rivest Shamir and Adleman）是非对称密钥算法，RSA既可以用于加密，又可以用于签名。

1.1.3  SSH工作过程

在整个通讯过程中，为实现SSH的安全连接，服务器端与客户端要经历如下五个阶段：

表1-1 SSH服务器端与客户端建立连接的五个阶段

过程

说明

详细内容

版本号协商阶段

SSH目前包括SSH1和SSH2两个版本，双方通过版本协商确定使用的版本

1.1.3  1.  

密钥和算法协商阶段

SSH支持多种加密算法，双方根据本端和对端支持的算法，协商出最终使用的算法

1.1.3  2.

认证阶段

SSH客户端向服务器端发起认证请求，服务器端对客户端进行认证

1.1.3  3.

会话请求阶段

认证通过后，客户端向服务器端发送会话请求

1.1.3  4.

交互会话阶段

会话请求通过后，服务器端和客户端进行信息的交互

1.1.3  5.

 

1. 版本号协商阶段

具体步骤如下：

l              服务器打开端口22，等待客户端连接。

l              客户端向服务器端发起TCP初始连接请求，TCP连接建立后，服务器向客户端发送第一个报文，包括版本标志字符串，格式为“SSH-<主协议版本号>.<次协议版本号>-<软件版本号>”，协议版本号由主版本号和次版本号组成，软件版本号主要是为调试使用。

l              客户端收到报文后，解析该数据包，如果服务器端的协议版本号比自己的低，且客户端能支持服务器端的低版本，就使用服务器端的低版本协议号，否则使用自己的协议版本号。

l              客户端回应服务器一个报文，包含了客户端决定使用的协议版本号。服务器比较客户端发来的版本号，决定是否能同客户端一起工作。

l              如果协商成功，则进入密钥和算法协商阶段，否则服务器端断开TCP连接。

 

2. 密钥和算法协商阶段

具体步骤如下：

l              服务器端和客户端分别发送算法协商报文给对端，报文中包含自己支持的公钥算法列表、加密算法列表、MAC（Message Authentication Code，消息验证码）算法列表、压缩算法列表等。

l              服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法。

l              服务器端和客户端利用DH交换（Diffie-Hellman Exchange）算法、主机密钥对等参数，生成会话密钥和会话ID。

通过以上步骤，服务器端和客户端就取得了相同的会话密钥和会话ID。对于后续传输的数据，两端都会使用会话密钥进行加密和解密，保证了数据传送的安全。在认证阶段，两端会使用会话ID用于认证过程。

 

3. 认证阶段

具体步骤如下：

l              客户端向服务器端发送认证请求，认证请求中包含用户名、认证方法、与该认证方法相关的内容（如：password认证时，内容为密码）。

l              服务器端对客户端进行认证，如果认证失败，则向客户端发送认证失败消息，其中包含可以再次认证的方法列表。

l              客户端从认证方法列表中选取一种认证方法再次进行认证。

l              该过程反复进行，直到认证成功或者认证次数达到上限，服务器关闭连接为止。

SSH提供两种认证方法：

l              password认证：客户端向服务器发出password认证请求，将用户名和密码加密后发送给服务器；服务器将该信息解密后得到用户名和密码的明文，与设备上保存的用户名和密码进行比较，tp钱包官网正版下载并返回认证成功或失败的消息。

l              publickey认证：采用数字签名的方法来认证客户端。目前， tpwallet官网最新版设备上可以利用RSA两种公共密钥算法实现数字签名。客户端发送包含用户名、公共密钥和公共密钥算法的publickey认证请求给服务器端。服务器对公钥进行合法性检查，如果不合法，则直接发送失败消息；否则，服务器利用数字签名对客户端进行认证，并返回认证成功或失败的消息。

 

4. 会话请求阶段

认证通过后，客户端向服务器发送会话请求。服务器等待并处理客户端的请求。在这个阶段，请求被成功处理后，服务器会向客户端回应SSH_SMSG_SUCCESS包，SSH进入交互会话阶段；否则回应SSH_SMSG_FAILURE包，表示服务器处理请求失败或者不能识别请求。

5. 交互会话阶段

会话请求成功后，连接进入交互会话阶段。在这个模式下，数据被双向传送。客户端将要执行的命令加密后传给服务器，服务器接收到报文，解密后执行该命令，将执行的结果加密发还给客户端，客户端将接收到的结果解密后显示到终端上。

 

1.2  配置非对称密钥 1.2.1  生成非对称密钥

生成服务器端的RSA密钥是完成SSH登录的必要操作。

1. 生成RSA密钥

表1-2 生成RSA密钥

操作

命令

说明

进入系统视图

system-view

-

生成本地RSA密钥对

public-key local create rsa

必选

缺省情况下，没有生成RSA密钥对

 

 

1.2.2  导出非对称密钥

对于已经生成的RSA密钥对，可以根据指定格式在屏幕上显示主机公钥或导出主机公钥到指定文件，从而为在远端配置RSA主机公钥作准备。

表1-3 导出RSA密钥

操作

命令

说明

进入系统视图

system-view

-

根据指定格式在屏幕上显示本地RSA主机公钥或导出本地RSA主机公钥到指定文件

public-key local export rsa { openssh | ssh1 | ssh2  } [ filename ]

二者至少选择其一

 

1.2.3  销毁非对称密钥

表1-4 销毁非对称密钥

操作

命令

说明

进入系统视图

system-view

-

销毁非对称密钥对

public-key local destroy rsa

必选

 

1.3  配置设备作为SSH服务器 1.3.1  SSH服务器配置任务简介

表1-5 SSH服务器配置任务简介

配置任务

说明

详细配置

生成RSA密钥

必选

1.2.1  1.

使能SSH服务器功能

必选

1.3.2 

配置客户端的公钥

对于采用publickey认证的SSH用户为必选

对于采用password认证的SSH用户为可选

1.3.4 

配置SSH用户

可选

1.3.5 

配置服务器上的SSH管理功能

可选

1.3.6 

 

1.3.2  使能SSH服务器功能

表1-6 使能SSH服务器功能

操作

命令

说明

进入系统视图

system-view

-

使能SSH服务器功能

ssh server enable

必选

缺省情况下，SSH服务器功能处于关闭状态

 

1.3.3  配置SSH客户端登录时的用户界面

SSH客户端通过VTY用户界面访问设备。因此，需要配置SSH客户端登录时采用的VTY用户界面，使其支持SSH远程登录协议。配置结果在下次登录请求时生效。

表1-7 配置SSH客户端登录时的用户界面

操作

命令

说明

进入系统视图

system-view

-

进入一个或多个VTY用户界面视图

user-interface vty number [ ending-number ]

-

配置登录用户界面的认证方式为scheme方式

authentication-mode scheme [ command-authorization ]

必选

缺省情况下，用户界面认证为password方式

配置所在用户界面支持SSH协议

protocol inbound { all | ssh| telnet }

可选

缺省情况下，系统支持所有的协议，即支持Telnet和SSH

 

 

1.3.4  配置客户端的公钥

 

SSH用户采用publickey认证方式时，需要在服务器端配置客户端的RSA主机公钥，并在客户端为该SSH用户指定与主机公钥对应的RSA私钥，以便当客户端登录服务器端时，对客户端进行验证。

可以通过手工配置和从公钥文件中导入两种方式来配置客户端的publickey公钥：

l              手工配置客户端的publickey公钥时，可以采用拷贝粘贴的方式将客户端的主机公钥配置到服务器端。这种方式要求拷贝粘贴的主机公钥必须是未经转换的DER（Distinguished Encoding Rules，特异编码规则）公钥编码格式。

l              从公钥文件中导入客户端的publickey公钥时，系统会自动将客户端生成的公钥文件转换为PKCS（Public Key Cryptography Standards，公共密钥加密标准）编码形式，并实现客户端公钥的配置。这种方式需要客户端事先将publickey密钥的公钥文件通过FTP/TFTP以二进制（binary）方式上传到服务器端。

 

表1-8 手工配置客户端的公钥

操作

命令

说明

进入系统视图

system-view

-

进入公共密钥视图

public-key peer keyname

-

进入公共密钥编辑视图

public-key-code begin

-

配置客户端的公钥

直接输入公钥内容

必选

在输入公钥内容时，字符之间可以有空格，也可以按回车键继续输入数据

退回公共密钥视图

public-key-code end

-

退出视图时，系统自动保存配置的公钥密钥

退回系统视图

peer-public-key end

-

 

表1-9 从公钥文件中导入客户端的公钥

操作

命令

说明

进入系统视图

system-view

-

从公钥文件中导入SSH用户的公钥

public-key peer keyname import sshkey filename

必选

 

1.3.5  配置SSH用户

通过本配置，可以在创建SSH用户的同时，指定SSH用户的服务类型和认证方式。

表1-10 配置SSH用户

操作

命令

说明

进入系统视图

system-view

-

创建SSH用户，并指定SSH用户的服务类型和认证方式

SSH用户的服务类型为stelnet

ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname }

二者必选其一

SSH用户的服务类型为all或sftp

ssh user username service-type { all | sftp } authentication-type { password | { any | password-publickey | publickey } assign publickey keyname work-directory directory-name }

 

 

 

1.3.6  配置服务器上的SSH管理功能

SSH的管理功能包括：

l              设置SSH服务器是否兼容SSH1版本的客户端

l              设置RSA服务器密钥的更新时间，此配置仅对SSH客户端版本为SSH1的用户有效

l              设置SSH认证的超时时间

l              设置SSH用户请求连接的认证尝试次数

通过定时更新服务器密钥以及对用户认证时间、认证次数的限制，可以防止恶意地对密钥和用户名的猜测和破解，从而提高了SSH连接的安全性。

表1-11 配置服务器上的SSH管理功能

操作

命令

说明

进入系统视图

system-view

-

设置SSH服务器是否兼容SSH1版本的客户端

ssh server compatible-ssh1x enable

可选

缺省情况下，SSH服务器兼容SSH1版本的客户端

设置RSA服务器密钥对的更新时间

ssh server rekey-interval hours

可选

缺省情况下，系统不更新RSA服务器密钥对

设置SSH用户的认证超时时间

ssh server authentication-timeout time-out-value

可选

缺省情况下，SSH用户的认证超时时间为60秒

设置SSH认证尝试的最大次数

ssh server authentication-retries times

可选

缺省情况下，SSH连接认证尝试的最大次数为3次

 

 

1.4  配置设备作为SSH客户端 1.4.1  SSH客户端配置任务简介

表1-12 SSH客户端配置任务简介

配置任务

说明

详细配置

为SSH客户端指定源IP地址或源接口

可选

1.4.2 

配置SSH客户端是否支持首次认证

可选

1.4.3 

建立SSH客户端和服务器端的连接

必选

1.4.4 

 

1.4.2  为SSH客户端指定源IP地址或源接口

用户可以通过以下配置，为SSH客户端指定源IP地址或者源接口，这样客户端可以用指定的IP地址或接口地址访问SSH服务器，增加了业务的可管理性。

表1-13 为SSH客户端指定源IP地址或源接口

操作

命令

说明

进入系统视图

system-view

-

为SSH客户端指定源IP地址或源接口

为SSH客户端指定源IPv4地址或源接口

ssh client source { ip ip-address | interface interface-type interface-number }

必选

缺省情况下，客户端用设备路由指定的接口地址访问SSH服务器

为SSH客户端指定源IPv6地址或源接口

ssh client ipv6 source { ipv6 ipv6-address | interface interface-type interface-number }

 

1.4.3  配置SSH客户端是否支持首次认证

当设备作为SSH客户端和服务器端连接时，可以设置SSH客户端对访问的SSH服务器是否进行首次认证。

l              如果支持首次认证，则当SSH客户端首次访问服务器，而客户端没有配置服务器端的主机公钥时，用户可以选择继续访问该服务器，并在客户端保存该主机公钥；当用户下次访问该服务器时，就以保存的主机公钥来认证该服务器。

l              如果不支持首次认证，则当客户端没有配置服务器端的主机公钥时，客户端将拒绝访问该服务器。用户必须事先将要访问的服务器端的主机公钥配置在本地，同时指定要连接的服务器端的主机公钥名称，以便客户端对连接的服务器进行认证。

1. 配置SSH客户端支持首次认证

表1-14 配置SSH客户端支持首次认证

操作

命令

说明

进入系统视图

system-view

-

设置SSH客户端对访问的SSH服务器进行首次认证

https://www.ynjddb.com

ssh client first-time enable

可选

缺省情况下，客户端进行首次认证

 

2. 配置SSH客户端不支持首次认证

如果配置SSH客户端不支持首次认证，则需要在客户端配置服务器端的主机公钥，并为要连接的服务器指定主机公钥名称，

表1-15 配置SSH客户端不支持首次认证

操作

命令

说明

进入系统视图

system-view

-

设置SSH客户端对访问的SSH服务器不进行首次认证

undo ssh client first-time

必选

缺省情况下，客户端进行首次认证

配置服务器端的公钥

请参见“1.3.4  配置客户端的公钥”

必选

在客户端配置服务器端公钥的方法，与在服务器端配置客户端公钥的方法相同

在客户端上指定要连接的服务器端的主机公钥名称

ssh client authentication server server assign publickey keyname

必选

 

1.4.4  建立SSH客户端和服务器端的连接

表1-16 建立SSH客户端和服务器端的连接

操作

命令

说明

建立SSH客户端和服务器端的连接，并指定客户端和服务器的首选密钥交换算法、首选加密算法和首选HMAC算法

建立SSH客户端和IPv4服务器端的连接，并指定客户端和服务器的首选密钥交换算法、首选加密算法和首选HMAC算法

ssh2 server [ port-number ] [ prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ]

二者必选其一

必须在用户视图下执行本命令

建立SSH客户端和IPv6服务器端的连接，并指定客户端和服务器的首选密钥交换算法、首选加密算法和首选HMAC算法

ssh2 ipv6 server [ port-number ] [ prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ]

 

1.5  SSH协议显示和维护

在完成上述配置后，在任意视图下执行display命令，可以显示配置后SSH的运行情况，通过查看显示信息，验证配置的效果。

表1-17 SSH协议显示和维护

操作

命令

显示本地密钥对的公钥部分

display public-key local rsa public

显示保存在本地的远端公钥信息

display public-key peer [ brief | name publickey-name ]

显示当前为SFTP客户端设置的源IP地址或者源接口

display sftp client source

显示当前为SSH客户端设置的源IP地址或者源接口

display ssh client source

在SSH服务器端显示该服务器的状态信息或会话信息

display ssh server { status | session }

在SSH客户端显示客户端保存的服务器端的主机公钥和服务器的对应关系

display ssh server-info

在SSH服务器端显示SSH用户信息

display ssh user-information [ username ]

 

1.6  设备作为SSH服务器配置举例 1.6.1  password认证配置举例 1. 组网需求

如图1-2，配置Host（SSH客户端）与Switch建立本地连接。Host采用SSH协议登录到Switch上，以保证数据信息交换的安全。SSH用户采用的认证方式为password认证。

2. 组网图

图1-2 SSH本地配置组网图

 

3. 配置步骤

(1)        配置SSH服务器Switch

# 生成RSA密钥对，并启动SSH服务器。

<Switch> system-view

[Switch] public-key local create rsa

[Switch] ssh server enable

# 配置VLAN接口1的IP地址，客户端将通过该地址连接SSH服务器。

[Switch] interface vlan-interface 1

[Switch-Vlan-interface1] ip address 192.168.1.40 255.255.255.0

[Switch-Vlan-interface1] quit

# 设置SSH客户端登录用户界面的认证方式为AAA认证。

[Switch] user-interface vty 0 4

[Switch-ui-vty0-4] authentication-mode scheme

# 设置Switch上远程用户登录协议为SSH。

[Switch-ui-vty0-4] protocol inbound ssh

[Switch-ui-vty0-4] quit

# 创建本地用户client001，并设置用户访问的命令级别为3。

[Switch] local-user client001

[Switch-luser-client001] password simple aabbcc

[Switch-luser-client001] service-type ssh level 3

[Switch-luser-client001] quit

# 配置SSH用户client001的服务类型为Stelnet，认证方式为password认证。

[Switch] ssh user client001 service-type stelnet authentication-type password

(2)        配置SSH客户端Host

 

# 建立与SSH服务器端的连接。

打开PuTTY.exe程序，出现如图1-3所示的客户端配置界面。在“Host Name（or IP address）”文本框中输入SSH服务器的IP地址为192.168.1.40。

图1-3 SSH客户端配置界面（1）

 

在上图中，单击<Open>按钮。按提示输入用户名client001及密码aabbcc，即可进入Switch的配置界面。

1.6.2  publickey认证配置举例 1. 组网需求

如图1-4，配置Host（SSH客户端）与Switch建立本地连接。Host采用SSH协议登录到Switch上，以保证数据信息交换的安全。SSH用户采用的认证方式为publickey认证，公共密钥算法为RSA。

2. 组网图

图1-4 SSH本地配置组网图

 

3. 配置步骤

(1)        配置SSH服务器Switch

# 生成RSA密钥对，并启动SSH服务器。

<Switch> system-view

[Switch] public-key local create rsa

[Switch] ssh server enable

# 配置VLAN接口1的IP地址，客户端将通过该地址连接SSH服务器。

[Switch] interface vlan-interface 1

[Switch-Vlan-interface1] ip address 192.168.1.40 255.255.255.0

[Switch-Vlan-interface1] quit

# 设置用户接口上认证模式为AAA认证。

[Switch] user-interface vty 0 4

[Switch-ui-vty0-4] authentication-mode scheme

# 设置Switch上远程用户登录协议为SSH。

[Switch-ui-vty0-4] protocol inbound ssh

# 设置用户能访问的命令级别为3。

[Switch-ui-vty0-4] user privilege level 3

[Switch-ui-vty0-4] quit

 

# 从文件key.pub中导入远端的公钥。

[Switch] public-key peer Switch001 import sshkey key.pub

# 设置SSH用户client002的认证方式为publickey，并指定公钥为Switch001。

[Switch] ssh user client002 service-type stelnet authentication-type publickey assign publickey Switch001

(2)        配置SSH客户端Host

# 生成RSA密钥对。

在客户端运行PuTTYGen.exe，在参数栏中选择“SSH-2 RSA”，点击<Generate>，产生客户端密钥对。

图1-5 生成客户端密钥（1）

 

在产生密钥对的过程中需不停的移动鼠标，鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地方，否则进程条的显示会不动，密钥对将停止产生，见图1-6。

图1-6 生成客户端密钥（2）

 

密钥对产生后，点击<Save public key>，输入存储公钥的文件名key.pub，点击保存。

图1-7 生成客户端密钥（3）

 

点击<Save private key>存储私钥，弹出警告框，提醒是否保存没做任何保护措施的私钥，点击<Yes>，输入私钥文件名为private，点击保存。

图1-8 生成客户端密钥（4）

 

 

# 指定私钥文件，并建立与SSH服务器的连接。

打开PuTTY.exe程序，出现如图1-9所示的客户端配置界面。在“Host Name（or IP address）”文本框中输入SSH服务器的IP地址为192.168.1.40。

图1-9 SSH客户端配置界面（1）

 

单击“SSH”下面的“Auth”（认证），出现如图1-10的界面。单击<Browse…>按钮，弹出文件选择窗口。选择与配置到服务器端的公钥对应的私钥文件private。

图1-10 SSH客户端配置界面（2）

 

如图1-10，单击<Open>按钮。按提示输入用户名client002，即可进入Switch的配置界面。

1.7  设备作为SSH客户端配置举例 1.7.1  password认证配置举例 1. 组网需求

如图1-11，配置Switch A作为客户端，采用SSH协议登录到Switch B上。SSH用户采用的认证方式为password认证，用户名为client001，密码为aabbcc。

2. 组网图

图1-11 设备作为SSH客户端配置组网图

 

3. 配置步骤

(1)        配置SSH服务器Switch B

# 生成RSA密钥对，并启动SSH服务器。

<SwitchB> system-view

[SwitchB] public-key local create rsa

[SwitchB] ssh server enable

# 配置VLAN接口1的IP地址，客户端将通过该地址连接SSH服务器。

[SwitchB] interface vlan-interface 1

[SwitchB-Vlan-interface1] ip address 10.165.87.136 255.255.255.0

[SwitchB-Vlan-interface1] quit

# 设置SSH客户端登录用户界面的认证方式为AAA认证。

[SwitchB] user-interface vty 0 4

[SwitchB-ui-vty0-4] authentication-mode scheme

# 设置Switch B上远程用户登录协议为SSH。

[SwitchB-ui-vty0-4] protocol inbound ssh

[SwitchB-ui-vty0-4] quit

# 创建本地用户client001。

[SwitchB] local-user client001

[SwitchB-luser-client001] password simple aabbcc

[SwitchB-luser-client001] service-type ssh level 3

[SwitchB-luser-client001] quit

# 配置SSH用户client001的服务类型为Stelnet，认证方式为password认证。

[SwitchB] ssh user client001 service-type stelnet authentication-type password

(2)        配置SSH客户端Switch A

# 配置VLAN接口1的IP地址。

<SwitchA> system-view

[SwitchA] interface vlan-interface 1

[SwitchA-Vlan-interface1] ip address 10.165.87.137 255.255.255.0

[SwitchA-Vlan-interface1] quit

[SwitchA] quit

l              如果客户端支持首次认证，则可以直接与服务器建立连接。

# 建立到服务器10.165.87.136的SSH连接。

<SwitchA> ssh2 10.165.87.136

Username: client001

Trying 10.165.87.136 ...

Press CTRL+K to abort

Connected to 10.165.87.136 ...

 

The Server is not authenticated. Continue? [Y/N]:y

Do you want to save the server public key? [Y/N]:n

Enter password:

 

Copyright (c) 2004-2008 Hangzhou H3C Tech. Co.， Ltd. All rights reserved. 

Without the owner's prior written consent，                                

no decompiling or reverse-engineering shall be allowed.                   

 

<SwitchB>

l              如果客户端不支持首次认证，则需要进行如下配置。

# 配置客户端对服务器不进行首次认证。

[SwitchA] undo ssh client first-time

# 在客户端配置SSH服务器端的主机公钥。在公共密钥编辑视图输入服务器端的主机公钥，即在服务器端通过display public-key local rsa public命令显示的公钥内容。

[SwitchA] public-key peer key1

[SwitchA-pkey-public-key] public-key-code begin

[SwitchA-pkey-key-code]308201B73082012C06072A8648CE3804013082011F0281810

0D757262C4584C44C211F18BD96E5F0

[SwitchA-pkey-key-code]61C4F0A423F7FE6B6B85B34CEF72CE14A0D3A5222FE08CECE

65BE6C265854889DC1EDBD13EC8B274

[SwitchA-pkey-key-code]DA9F75BA26CCB987723602787E922BA84421F22C3C89CB9B0

6FD60FE01941DDD77FE6B12893DA76E

[SwitchA-pkey-key-code]EBC1D128D97F0678D7722B5341C8506F358214B16A2FAC4B3

68950387811C7DA33021500C773218C

[SwitchA-pkey-key-code]737EC8EE993B4F2DED30F48EDACE915F0281810082269009E

14EC474BAF2932E69D3B1F18517AD95

[SwitchA-pkey-key-code]94184CCDFCEAE96EC4D5EF93133E84B47093C52B20CD35D02

492B3959EC6499625BC4FA5082E22C5

[SwitchA-pkey-key-code]B374E16DD00132CE71B020217091AC717B612391C76C1FB2E

88317C1BD8171D41ECB83E210C03CC9

[SwitchA-pkey-key-code]B32E810561C21621C73D6DAAC028F4B1585DA7F42519718CC

9B09EEF0381840002818000AF995917

[SwitchA-pkey-key-code]E1E570A3F6B1C2411948B3B4FFA256699B3BF871221CC9C5D

F257523777D033BEE77FC378145F2AD

[SwitchA-pkey-key-code]D716D7DB9FCABB4ADBF6FB4FDB0CA25C761B308EF53009F71

01F7C62621216D5A572C379A32AC290

[SwitchA-pkey-key-code]E55B394A217DA38B65B77F0185C8DB8095522D1EF044B465E

8716261214A5A3B493E866991113B2D

[SwitchA-pkey-key-code]485348

[SwitchA-pkey-key-code] public-key-code end

[SwitchA-pkey-public-key] peer-public-key end

# 指定服务器10.165.87.136对应的主机公钥名称为key1。

[SwitchA] ssh client authentication server 10.165.87.136 assign publickey key1

[SwitchA] quit

# 建立到服务器10.165.87.136的SSH连接。

<SwitchA> ssh2 10.165.87.136

Username: client001

Trying 10.165.87.136

Press CTRL+K to abort

Connected to 10.165.87.136...

Enter password:

Copyright (c) 2004-2007 Hangzhou H3C Tech. Co.， Ltd. All rights reserved.

Without the owner's prior written consent，                               

no decompiling or reverse-engineering shall be allowed.                  

 

<SwitchB>

1.7.2  publickey认证配置举例 1. 组网需求

如图1-12，配置Switch A作为客户端，采用SSH协议登录到Switch B上。SSH用户采用的认证方式为publickey认证，公共密钥算法为RSA。

2. 组网图

图1-12 设备作为SSH客户端配置组网图

 

3. 配置步骤

(1)        配置SSH服务器Switch B

# 生成RSA密钥对，并启动SSH服务器。

<SwitchB> system-view

[SwitchB] public-key local create rsa

[SwitchB] ssh server enable

# 配置VLAN接口1的IP地址，客户端将通过该地址连接SSH服务器。

[SwitchB] interface vlan-interface 1

[SwitchB-Vlan-interface1] ip address 10.165.87.136 255.255.255.0

[SwitchB-Vlan-interface1] quit

# 设置SSH客户端登录用户界面的认证方式为AAA认证。

[SwitchB] user-interface vty 0 4

[SwitchB-ui-vty0-4] authentication-mode scheme

# 设置Switch B上远程用户登录协议为SSH。

[SwitchB-ui-vty0-4] protocol inbound ssh

# 设置用户能访问的命令级别为3。

[SwitchB-ui-vty0-4] user privilege level 3

[SwitchB-ui-vty0-4] quit

 

# 从文件key.pub中导入远端的公钥。

[SwitchB] public-key peer Switch001 import sshkey key.pub

# 设置SSH用户client002的认证方式为publickey，并指定公钥为Switch001。

[SwitchB] ssh user client002 service-type stelnet authentication-type publickey assign publickey Switch001

(2)        配置SSH客户端Switch A

# 配置VLAN接口1的IP地址。

<SwitchA> system-view

[SwitchA] interface vlan-interface 1

[SwitchA-Vlan-interface1] ip address 10.165.87.137 255.255.255.0

[SwitchA-Vlan-interface1] quit

# 生成RSA密钥对。

[SwitchA] public-key local create rsa

# 将生成的RSA主机公钥导出到指定文件key.pub中。

[SwitchA] public-key local export rsa ssh2 key.pub

[SwitchA] quit

 

# 建立到服务器10.165.87.136的SSH连接。

<SwitchA> ssh2 10.165.87.136

Username: client002

Trying 10.165.87.136 ...

Press CTRL+K to abort

Connected to 10.165.87.136 ...

 

The Server is not authenticated. Continue? [Y/N]:y

Do you want to save the server public key? [Y/N]:n

 

Copyright (c) 2004-2007 Hangzhou H3C Tech. Co.， Ltd. All rights reserved.

Without the owner's prior written consent，                               

no decompiling or reverse-engineering shall be allowed.                  

 

<SwitchB>