03 华三SSH 远程登录
1 AI解说官网
Kimi.ai - 帮你看更大的世界 (moonshot.cn)
华三交换机的SSH配置主要目的是通过SSH协议实现安全的远程登录和管理,以确保数据传输的安全性。以下是配置SSH的一般步骤和思路:
- 生成密钥对:首先需要在交换机上生成RSA和DSA密钥对,这是SSH协议中用于加密和认证的密钥。
- 开启SSH服务:在交换机上启用SSH服务,以允许远程客户端通过SSH协议连接。
- 配置管理接口:设置交换机的管理接口(通常是VLAN接口)的IP地址,这个地址将作为SSH客户端连接交换机的目的地。
- 创建用户和密码:创建一个本地用户,并设置密码,同时指定用户的权限级别,如network-admin。
- 配置认证方式:在用户界面上设置认证方式,通常为password认证,确保只有知道密码的用户才能登录。
- 设置用户服务类型:为用户指定服务类型,如SSH,确保用户可以通过SSH协议登录。
- 配置vty虚拟接口:配置vty(虚拟终端)接口,允许通过SSH协议进行远程登录。
- 保存配置:完成配置后,保存设置以确保在设备重启后仍然有效。
- 使用SSH客户端连接:使用SSH客户端软件(如CRT、xshell、SecureCRT、PuTTY等)输入交换机的IP地址、用户名和密码进行连接。
- 验证配置:连接成功后,检查是否能够成功登录并执行管理操作,以验证SSH配置是否正确。
通过以上步骤,可以确保华三交换机通过SSH协议实现安全、可靠的远程管理。在配置过程中,应严格遵循安全最佳实践,确保只有授权用户才能访问交换机。
2 AI 解说官网
天工AI——能搜、能聊、能写、能画的全能AI助手 (tiangong.cn)
SSH(Secure Shell)是一种网络协议,用于在不安全的网络上提供安全的远程登录和其他安全网络服务。它通常用于访问远程计算机或服务器,并且可以在传输数据时加密所有流量,从而保护数据免受窃听和篡改。
SSH协议最初是由芬兰的一家公司开发的,现在已成为广泛使用的标准协议之一。它提供了许多安全特性,包括:
- 密码认证:SSH使用密码来验证用户身份。
- 公钥加密:SSH使用公钥加密技术来保证通信的安全性。
- 客户端和服务器之间的身份验证:SSH客户端和服务器之间会进行身份验证,以确保双方的身份都是合法的。
- 加密隧道:SSH可以建立加密隧道,以便在网络上传输数据时保护数据的机密性和完整性。
在华三交换机上启用SSH后,您可以使用SSH客户端软件(如PuTTY或OpenSSH)通过SSH协议连接到交换机。一旦建立了SSH连接,您就可以执行各种命令,例如查看交换机的状态、配置交换机、管理交换机等等。
请注意,为了确保SSH连接的安全性,您应该使用强密码,并定期更改它们。此外,您还应该确保您的交换机和客户端软件都已更新到最新版本,以防止潜在的安全漏洞。
3 SSH 实验
[SW2-456-Vlan-interface10]display this
#
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
combo enable fiber
#
return
[SW2-456-Vlan-interface10]display this
#
interface Vlan-interface10
ip address 192.168.1.56 255.255.255.0
#
return
Arduino
解析:
在华三交换机的命令行界面(CLI)中,display this 命令用于显示当前视图下的所有配置。从您提供的命令输出中,我们可以解析出以下信息:
- VLAN接口配置:
- 有一个VLAN接口被配置为Vlan-interface10。
- 这个VLAN接口被分配了IP地址192.168.1.34,子网掩码为255.255.255.0。
interface Vlan-interface10
ip address 192.168.1.34 255.255.255.0
Bash
- GigabitEthernet1/0/1接口配置:
- 接口GigabitEthernet1/0/1被配置为链路模式桥(bridge),这意味着它参与了生成树协议(STP)或其他基于桥接的网络协议。
- 接口被设置为trunk模式,这是一种用于连接交换机之间的链路类型,允许多个VLAN穿过单个物理链路。
- port trunk permit vlan all 命令允许所有VLAN通过这个trunk链路。
- combo enable fiber 命令启用了combo端口,使其能够作为光纤接口使用。
interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
combo enable fiber
Bash
return 命令在华三交换机的CLI中用于从当前配置视图返回到上一级视图,或者退出当前的命令模式。
这些配置通常用于交换机的基本设置,包括接口的IP配置和链路属性设置。在实际的网络环境中,这些设置确保了交换机接口能够正确地与其他网络设备通信,并且能够传输不同VLAN的流量。
[SW1-123]user-interface vty 0 4
[SW1-123-line-vty0-4]authentication-mode scheme
[SW1-123-line-vty0-4]user
[SW1-123-line-vty0-4]user-role net
[SW1-123-line-vty0-4]user-role network-op
[SW1-123-line-vty0-4]user-role network-operator
[SW1-123-line-vty0-4]protocol inbound ssh
[SW1-123-line-vty0-4]id
[SW1-123-line-vty0-4]idle-timeout 10
[SW1-123-line-vty0-4]quit
Arduino
在您提供的华三交换机命令行界面(CLI)输出中,显示了对虚拟终端(VTY)接口的配置。以下是对这些配置指令的详细解释:
- 进入VTY接口配置模式:
- [SW1-123]user-interface vty 0 4 命令进入VTY接口的配置模式,这里的 0 4 指的是VTY0到VTY4,即前五个VTY接口。
- 设置认证模式:
- [SW1-123-line-vty0-4]authentication-mode scheme 设置VTY接口的认证模式为scheme。在华三的设备中,这意味着将使用本地或远端认证方案(如RADIUS或TACACS+)来认证用户。
- 配置用户角色:
- [SW1-123-line-vty0-4]user 进入用户配置模式。
- [SW1-123-line-vty0-4]user-role net 授予用户 net(网络)角色,这通常与一组特定的权限相关。
- [SW1-123-line-vty0-4]user-role network-op 授予用户 network-op(网络操作)角色,这可能是一个预定义的角色,具有特定的权限集合。
- [SW1-123-line-vty0-4]user-role network-operator 授予用户 network-operator 角色,这是一个具有较高权限级别的角色,通常用于日常网络操作和维护任务。
- 设置允许的协议:
- [SW1-123-line-vty0-4]protocol inbound ssh 指定只允许通过SSH协议的入站连接。
- 设置VTY接口的ID:
- [SW1-123-line-vty0-4]id 为VTY接口分配一个ID,这可能用于其他配置或管理任务中标识接口。
- 设置空闲超时时间:
- [SW1-123-line-vty0-4]idle-timeout 10 设置VTY接口的空闲超时时间为10分钟。如果连接在这段时间内没有任何活动,它将自动断开。
- 退出配置模式:
- [SW1-123-line-vty0-4]quit 退出当前的VTY接口配置模式,返回到上一级命令行界面。
这些配置指令为交换机的VTY接口设置了一系列的安全和访问控制参数,确保只有拥有适当权限和使用SSH协议的用户才能远程登录到交换机。通过分配用户角色和限制协议类型,可以提高设备的安全性并限制可能的未授权访问。
[SW1-123]display this
#
sysname SW1-123
#
irf mac-address persistent timer
irf auto-update enable
undo irf link-delay
irf member 1 priority 1
#
lldp global enable
#
system-working-mode standard
xbar load-single
password-recovery enable
lpu-type f-series
#
stp global enable
#
scheduler logfile size 16
#
ssh server enable
#
domain default enable system
#
return
[SW1-123]
解析
在您提供的华三交换机的命令行界面(CLI)输出中,包含了一系列的系统配置指令。以下是对这些配置指令的解析:
- 系统名称设置:
- sysname SW1-123 设置了设备的系统名称为 SW1-123。
- IRF (Intelligent Resilient Framework) 配置:
- irf mac-address persistent timer 可能是用来设置IRF成员之间MAC地址的持久化和定时器的。
- irf auto-update enable 启用了IRF的自动更新功能。
- undo irf link-delay 取消了IRF链路延迟,这可能是用来加快IRF成员之间链路故障检测的。
- irf member 1 priority 1 设置了IRF集群中成员1的优先级为1。
- LLDP (Link Layer Discovery Protocol) 配置:
- lldp global enable 启用了LLDP协议,这有助于网络设备自动发现彼此并共享相关信息。
- 系统工作模式:
- system-working-mode standard 设置了系统的工作模式为标准模式。
- 性能调整:
- xbar load-single 可能与交换机的交叉条(X-Bar)负载分配有关,指示系统采用单一负载的方式。
- password-recovery enable 启用了密码恢复功能,以便于在忘记密码时能够恢复。
- 产品类型声明:
- lpu-type f-series 声明了线路处理单元(Line Processing Unit)的类型为F系列。
- 生成树协议 (STP) 配置:
- stp global enable 启用了全局的生成树协议,以防止网络环路。
- 系统调度日志文件大小:
- scheduler logfile size 16 设置了系统调度日志文件的大小为16。
- SSH服务:
- ssh server enable 启用了SSH服务,允许远程通过SSH协议安全登录。
- 域名配置:
- domain default enable system 启用了默认的系统域名。
最后,return 命令用于从当前视图退出,返回到上一级视图。
这些配置指令反映了设备的一些关键设置,包括系统名称、IRF集群配置、LLDP协议、系统工作模式、性能调整、STP协议、日志文件大小、SSH服务以及域名设置。这些配置对于确保网络设备正常运行和易于管理至关重要。
#
user-group system
#
local-user admin class manage
password hash $h$6$S9EZS0Tvw9UfcQzp$gazDl2XtNwtVZjIWcXDalEmAB7+qDU1XGGrclirai8RDzqrK7CrvbhPhrWUsz/wdaNax8nCKsWTpnVJ/+4FMWw==
service-type ssh
authorization-attribute user-role level-15
authorization-attribute user-role network-operator
#
return
[SW2-456]
Arduino解析
在您提供的华三交换机命令行界面(CLI)输出中,包含了创建和管理本地用户账号的配置。以下是对这些配置指令的解析:
- 用户组定义:
- user-group system 定义了一个名为 system 的用户组。这通常用于将用户分类并应用统一的权限设置。
- 本地用户创建与管理:
- local-user admin class manage 创建了一个属于 manage 类的本地用户 admin。用户类决定了用户可以执行的命令集和权限级别。
- 密码设置:
- password hash $h$6$S9EZS0Tvw9UfcQzp$gazDl2XtNwtVZjIWcXDalEmAB7+qDU1XGGrclirai8RDzqrK7CrvbhPhrWUsz/wdaNax8nCKsWTpnVJ/+4FMWw== 设置了用户 admin 的密码,并且使用了密码散列技术来提高安全性。这里的密码是一个散列值,不是明文。
- 服务类型指定:
- service-type ssh 指定用户 admin 可以利用 SSH 服务来登录系统。
- 授权属性设置:
- authorization-attribute user-role level-15 授予用户 admin 权限级别 15。在华三的权限模型中,不同的数字代表不同的权限级别,15 通常是一个较高的管理权限。
- authorization-attribute user-role network-operator 授予用户 admin network-operator 的角色,这可能提供一组特定的网络操作权限。
测试
<SW1-123>ssh2 192.168.1.56
Username: admin
Press CTRL+C to abort.
Connecting to 192.168.1.56 port 22.
The server is not authenticated. Continue? [Y/N]:y
Do you want to save the server public key? [Y/N]:n
admin@192.168.1.56's password:
Enter a character ~ and a dot to abort.
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
解析
您提供的文本看起来像是一个SSH客户端尝试通过SSH2协议连接到IP地址为192.168.1.56的华三交换机(假设为SW1-123)的会话示例。以下是该过程的逐步解释:
- SSH连接命令:
- <SW1-123>ssh2 192.168.1.56 命令表示从当前设备(SW1-123)通过SSH2协议连接到IP地址为192.168.1.56的远程设备。
- 用户名输入:
- 系统提示输入用户名,这里输入的是 admin,这是之前在交换机上配置的具有SSH登录权限的本地用户账号。
- 连接信息:
- 显示 Connecting to 192.168.1.56 port 22. 表示SSH客户端正在尝试连接到目标IP地址的22端口,这是SSH协议的默认端口。
- 服务器认证警告:
- 提示 The server is not authenticated. Continue? [Y/N]: 表示客户端无法验证服务器的身份。这是一个安全提示,询问用户是否继续连接。用户选择了继续(输入了 y)。
- 保存服务器公钥:
- 系统询问 Do you want to save the server public key? [Y/N]: 是否保存服务器的公钥以便于未来的连接。用户选择了不保存(输入了 n)。
- 密码输入:
- 提示 admin@192.168.1.56's password: 要求输入用户 admin 的密码。
- 版权信息:
- 成功登录后,显示了版权信息,表明连接已经建立,并且用户现在处于 <SW2-456> 提示符下,这可能表示远程设备的系统名称或提示符。
- 中断连接:
- 提供了中断连接的提示:输入一个波浪号(~)和一个小数点(.)可以中止当前的连接。
注意
SSH2(Secure Shell 2)是SSH协议的第二版,它是一种网络协议,用于在不安全的网络上提供安全的数据通信通道。SSH2不仅提供远程登录功能,还提供诸如远程执行命令、文件传输、端口转发等安全服务。以下是使用SSH2的一些主要原因:
- 加密通信:SSH2使用加密算法来保护数据传输,确保传输过程中的数据不被窃听。
- 认证机制:SSH2支持多种认证方法,如密码认证、公钥认证、基于密钥的认证等,增强了安全性。
- 完整性校验:SSH2协议还包括消息完整性校验,以防止数据在传输过程中被篡改。
- 兼容性:SSH2是广泛支持的标准,大多数现代操作系统和网络设备都支持SSH2连接。
- 改进的安全性:与SSH1相比,SSH2提供了更强的加密和更安全的认证机制,减少了安全漏洞的风险。
- 压缩功能:SSH2协议支持压缩数据,这可以减少传输的数据量,提高传输效率。
- 正向/反向端口转发:SSH2允许用户将一个端口的流量转发到另一个端口,这在需要访问内部网络服务或创建VPN时非常有用。
- X11转发:SSH2支持X11转发,允许用户在远程机器上运行图形界面应用程序,并在本地机器上显示。
- SCP和SFTP:SSH2协议支持安全文件传输协议(SFTP)和安全复制协议(SCP),这些协议允许加密文件传输。
- 更强的错误处理:SSH2在错误处理和异常情况下提供更强的鲁棒性。
- 协议完整性:SSH2协议设计得更为完整,它包含了更多的功能和更好的性能。
在网络管理中,SSH2是一个非常重要的工具,特别是在需要远程访问网络设备(如交换机、路由器)时,它提供了一种安全、可靠的方法来执行这些任务。
故障原因
<SW2-456>ssh2 192.168.1.34
Username: hello
Press CTRL+C to abort.
Connecting to 192.168.1.34 port 22.
The server is not authenticated. Continue? [Y/N]:y
Do you want to save the server public key? [Y/N]:n
hello@192.168.1.34's password:
Enter a character ~ and a dot to abort.
Connection to 192.168.1.34 closed by remote host.
Connection to 192.168.1.34 closed.
<SW2-456>Arduino
您提供的文本是一个SSH2连接尝试的示例,其中用户尝试从设备SW2-456连接到IP地址为192.168.1.34的远程主机。以下是该过程的逐步解释和可能发生的情况:
- SSH2连接命令:
- <SW2-456>ssh2 192.168.1.34 是从SW2-456设备发起的SSH2连接命令,目标是IP地址为192.168.1.34的远程主机。
- 用户名输入:
- 提示输入用户名,这里输入的是 hello。
- 连接过程:
- 显示 Connecting to 192.168.1.34 port 22. 表示SSH客户端正在尝试连接到远程主机的22端口,这是SSH的默认端口。
- 服务器认证警告:
- 提示 The server is not authenticated. Continue? [Y/N]: 表示客户端无法验证服务器的身份。用户选择了继续连接(输入了 y)。
- 保存服务器公钥:
- 提示 Do you want to save the server public key? [Y/N]: 询问用户是否要保存服务器的公钥。用户选择不保存(输入了 n)。
- 密码输入:
- 提示 hello@192.168.1.34's password: 要求输入用户名 hello 的密码。
- 连接中断:
- 显示 Connection to 192.168.1.34 closed by remote host. 表示连接被远程主机关闭。这可能有几个原因:
- 密码错误:如果输入的密码不正确,远程主机可能会关闭连接。
- 用户权限问题:用户 hello 可能没有权限从该设备进行SSH连接。
- 远程主机配置:远程主机的SSH配置可能限制了某些类型的连接或用户。
- 网络问题:可能存在网络连接问题,导致连接中断。
- 显示 Connection to 192.168.1.34 closed by remote host. 表示连接被远程主机关闭。这可能有几个原因:
- 会话结束:
- 最后,显示 Connection to 192.168.1.34 closed. 确认连接已经关闭,用户返回到本地设备SW2-456的命令行界面。
