cjh 登录与管理 2022-05-07 此文章访问量 629

华为路由器配置用户通过STelnet登录设备示例-SSH

华为路由器配置用户通过STelnet登录设备示例-SSH

配置思路
采用如下的思路配置用户通过STelnet登录设备：
    PC1端已安装登录SSH服务器软件，PC2端已安装密钥对生成软件、公钥转换软件、登录SSH服务器软件。
    在SSH服务器端生成本地密钥对，实现在服务器端和客户端进行安全地数据交互。
    在SSH服务器端配置SSH用户client001和client002分别使用不同的认证方式。
    在SSH服务器端开启STelnet服务功能。
    配置安全策略，保证只有PC1和PC2才能登录设备。
    在SSH服务器端配置SSH用户client001和client002的服务方式为STelnet。
    用户client001和client002分别以STelnet方式实现登录SSH服务器。
操作步骤
    在服务器端生成本地密钥对
    <Huawei> system-view
    [Huawei] sysname SSH Server
    [SSH Server] rsa local-key-pair create
    The key name will be: Host
    RSA keys defined for Host already exist.
    Confirm to replace them? (y/n):y
    The range of public key size is (512 ~ 2048).
    NOTES: If the key modulus is less than 2048,
           It will introduce potential security risks.
    Input the bits in the modulus[default = 2048]:2048
    Generating keys...
    ......................................................................................+++
    ....+++
    .......................................++++++++
    ..............++++++++

    在服务器端创建SSH用户
    # 配置VTY用户界面。
    [SSH Server] user-interface vty 0 4
    [SSH Server-ui-vty0-4] authentication-mode aaa
    [SSH Server-ui-vty0-4] protocol inbound ssh
    [SSH Server-ui-vty0-4] quit

        创建SSH用户client001。
        # 新建用户名为client001的SSH用户，且认证方式为password。
        [SSH Server] aaa
        [SSH Server-aaa] local-user client001 password irreversible-cipher Huawei@123
        [SSH Server-aaa] local-user client001 privilege level 3
        [SSH Server-aaa] local-user client001 service-type ssh
        [SSH Server-aaa] quit
        [SSH Server] ssh user client001 authentication-type password

        创建SSH用户client002。
        # 新建用户名为client002的SSH用户，且认证方式为RSA。
        [SSH Server] aaa
        [SSH Server-aaa] local-user client002 password irreversible-cipher Helloworld@6789
        [SSH Server-aaa] local-user client002 privilege level 3
        [SSH Server-aaa] local-user client002 service-type ssh
        [SSH Server-aaa] quit
        [SSH Server] ssh user client002 authentication-type rsa

        # 在PC2端生成客户端的本地密钥对。
            在客户端运行puttygen.exe。用于生成公用密钥、私用密钥两个文件，供后续使用。
            选取“SSH2 RSA”，单击“Generate”，进入密钥生成状态，此时需要将鼠标在空白处进行移动，从而不断生成密钥。
            生成客户端密钥对（1）

待到密钥生成完毕，单击“Save public key”保存文件名为key.pub。
生成客户端密钥对

单击“Save private key”，弹出对话框，提醒是否保存没做任何保护措施的私钥，选择“是”，保存文件名为private.ppk。
生成客户端密钥对（3）

在客户端运行sshkey.exe。将生成的公有密钥转化为设备所需要的字符串。
打开上一个程序所生成的SSH所需的公有密钥文件key.pub。
转换客户端公钥（1）

单击“Convert(C)”，查看到生成前后的公钥。
转换客户端公钥（2）

# 在SSH服务器端输入PC2端上产生的RSA公钥。
[SSH Server] rsa peer-public-key rsakey001

[SSH Server-rsa-key-code] public-key-code end
[SSH Server-rsa-public-key] peer-public-key end

    # 在SSH服务器端为SSH用户client002绑定STelnet客户端的RSA公钥。
    [SSH Server] ssh user client002 assign rsa-key rsakey001

SSH服务器端开启STelnet服务功能
# 开启STelnet服务功能。
[SSH Server] stelnet server enable

配置安全策略，保证只有PC1和PC2才能登录设备
[SSH Server] acl 2001
[SSH Server-acl-basic-2001] rule permit source 10.137.217.10 0
[SSH Server-acl-basic-2001] rule permit source 10.137.217.20 0
[SSH Server-acl-basic-2001] rule deny source 10.137.217.30 0
[SSH Server-acl-basic-2001] quit
[SSH Server] user-interface vty 0 4
[SSH Server-ui-vty0-4] acl 2001 inbound
[SSH Server-ui-vty0-4] quit

验证配置结果
    PC1端client001用password认证方式连接SSH服务器。
    # 通过PuTTY软件登录设备，输入设备的IP地址，选择协议类型为SSH。
    图7 通过PuTTY软件用password认证方式连接SSH服务器示意图

# 单击“Open”，出现如下界面，输入用户名和密码，并按Enter键，至此已登录到SSH服务器。
login as: client001
Sent username "client001"
client001@10.137.217.203's password:
<SSH Server>
PC2端client002用RSA认证方式连接SSH服务器。
# 通过PuTTY软件登录设备，输入设备的IP地址，选择协议类型为SSH。
通过PuTTY软件用RSA认证方式连接SSH服务器示意图（1）