cjh 华为usg防火墙:通过STelnet登录CLI界面(本地认证) (SSH)
华为usg防火墙:通过STelnet登录CLI界面(本地认证) (SSH)
项目 | 数据 | |
|---|---|---|
FW | SSH账号 | sshadmin |
认证方式 | Password | |
密码 | CJH@123456 | |
服务方式 | Stelnet | |
管理员PC | SSH客户端软件:PuTTY软件(Windows XP系统),PuTTY软件包括STelnet等多用途客户端PuTTY工具和SFTP客户端PSFTP工具。 | |
(1)拓扑图
(2)华为usg防火墙:接口上启用SSH服务
interface GigabitEthernet1/0/0
undo shutdown
service-manage enable
ip address 10.12.3.4 255.255.0.0
service-manage ssh permit
把接口加入trust区域:
firewall zone trust
add interface GigabitEthernet1/0/0
配置默认路由:
[USG6000V2]ip route-static 0.0.0.0 0.0.0.0 10.12.12.254
配置策略允许所有:
#
security-policy
default action permit
(3)华为usg防火墙:认证方式起用为AAA
user-interface vty 0 4
authentication-mode aaa
user privilege level 15
protocol inbound ssh
(4)华为usg防火墙:创建SSH管理员账号sshadmin,指定认证方式为Password,服务方式为Stelnet。此处以本地认证方式为例。
aaa
manager-user sshadmin
password
Enter Password: 输入密码
Confirm Password: 再次输入密码
service-type ssh
(5)华为usg防火墙:生成本地密钥对
[USG6000V2]rsa local-key-pair create
The key name will be: USG6000V2_Host
The range of public key size is (2048 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
Input the bits in the modulus[default = 2048]: 回车
Generating keys...
..+++++
........................++
....++++
...........++
[USG6000V2]
(6)华为usg防火墙:启用STelnet服务
[FW] stelnet server enable
(7)华为usg防火墙:配置SSH用户
[FW] ssh user sshadmin
[FW] ssh user sshadmin authentication-type password
[FW] ssh user sshadmin service-type stelnet
(8)可选:配置SSH服务器参数。
# 配置SSH服务器服务端口号22,认证超时时间为80秒,认证重试次数为4次,密钥对更新时间为1小时,并启用兼容低版本功能。
如果SSH默认的协议端口号22发生变更,则service-manage功能不会再对该协议生效,需要额外配置安全策略允许该协议访问设备。
[FW] ssh server port 22
[FW] ssh server timeout 80
[FW] ssh server authentication-retries 4
[FW] ssh server rekey-interval 1
[FW] ssh server compatible-ssh1x enable
(9)测试:电脑使用ssh连接华为防火墙
输入的密码是正确的,但是登录是失败的:
解决方法一:
Error: Unrecognized command found at '^' position.
[USG6000V2]aaa
[USG6000V2-aaa]bind manager-user sshadmin role system-admin
解决方法二:
[USG6000V2] aaa
[USG6000V2-aaa]manager-user sshadmin
[USG6000V2-aaa-manager-user-sshadmin]level 15
Warning: The user binds a role, it's not allowed to change its level
[USG6000V2-aaa-manager-user-sshadmin]
备注:
对于Password认证方式的SSH管理员:如果采用本地认证方式,则SSH管理员的级别由本地配置的管理员级别决定(通过命令bind
manager-user manager-name role role-name为管理员账号绑定角色或者通过命令level
level配置管理员账号的权限级别);
如果采用服务器认证方式,则SSH管理员的级别由服务器返回的授权级别决定,当服务器未返回管理员的授权级别时,则SSH管理员的级别由VTY界面级别决定(通过命令user privilege level level配置管理员界面的级别)。
为保证管理员能正常登录设备,建议管理员级别不小于3级。
登录成功:
远程管理(列表、list、全)远程telnetlist、vtylist、consolelist、sshlist、httplist、weblist、httpslist
http://www.zh-cjh.com/wenzhangguilei/2441.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为usg防火墙:通过STelnet登录CLI界面(本地认证) (SSH)
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm