远程访问方式
- 通过AUX口远程访问
- 使用Telnet终端访问
- 使用SSH终端访问
- 通过异步串口访问
Telnet服务配置
# 配置与网络相连端口的IP地址
[H3C-GigabitEthernet0/0] ip address ip-address {mask|mask-length}# 使能Telnet服务器端功能
[H3C] telnet server enable# 进入vty用户界面视图,设置验证方式
[H3C] line vty first-num2 [last-num2]
[H3C-line-vty0-63] authentication-mode {none|password|scheme}# 设置登录密码和用户级别
[H3C-line-vty0-63] set authentication password {hash|simple} password
[H3C-line-vty0-63] user-role role-name# 创建用户、配置密码、设置服务类型、设置用户级别
[H3C] local-user username
[H3C-luser-manage-xxx] password {hash|simple} password
[H3C-luser-manage-xxx] service-type telnet
[H3C-luser-manage-xxx] authorization-attribute user-role role-name
关于三种认证方式:
# 方式1:无需认证(危险)
[H3C-line-vty0-63] authentication-mode none# 方式2:密码认证(简单,实例里用的就是这个)
[H3C-line-vty0-63] authentication-mode password
[H3C-line-vty0-63] set authentication password *simple* 123456
[H3C-line-vty0-63] user-role network-admin# 方式3:AAA认证(用户名+密码,推荐)
[H3C-line-vty0-63] authentication-mode scheme
[H3C] local-user telnetuser # 创建本地用户
[H3C-luser-manage-telnetuser] password *simple* user123
[H3C-luser-manage-telnetuser] service-type telnet # 指定服务类型为Telnet
# 设置用户权限并激活
[H3C-luser-manage-telnetuser] authorization-attribute user-role *network-admin*
[H3C-luser-manage-telnetuser] state active
一些参数说明(示例都用simple和network-admin了):
simple:明文密码(配置时直接显示)cipher/hash:加密密码(配置时显示为密文)network-admin:最高管理员权限network-operator:操作员权限(只读)
Telnet配置示例
网络拓扑:
- Telnet客户端:IP地址 192.168.1.1,子网掩码 255.255.255.0
- Telnet服务器:IP地址 192.168.1.254
场景:配置支持5个并发Telnet会话,使用用户名密码认证
<H3C> system-view# 配置管理接口IP
[H3C] interface GigabitEthernet 0/0
# 这里使用掩码长度方式写24,也可以直接用255.255.255.0
[H3C-GigabitEthernet0/0] ip address 192.168.1.1 24
[H3C-GigabitEthernet0/0] quit# 启用Telnet服务
[H3C] telnet server enable# 配置VTY线路0-4(共5个会话)
# 如果这里是line vty 0 63同时配置从0到63的所有VTY线路,表示下一行就会是[H3C-line-vty0-63]
[H3C] user-interface vty 0 4# AAA认证
[H3C-line-vty0-4] authentication-mode scheme[H3C-line-vty0-4] protocol inbound telnet # 设置协议类型(有些设备需要)
[H3C-line-vty0-4] idle-timeout 15 # 设置超时时间(可选,单位分钟)
[H3C-line-vty0-4] quit# 创建Telnet用户
[H3C] local-user admin
[H3C-luser-manage-admin] password simple Admin@123
[H3C-luser-manage-admin] service-type telnet
[H3C-luser-manage-admin] authorization-attribute user-role network-admin
[H3C-luser-manage-admin] quit
验证和测试命令:
<H3C> display telnet server status # 查看Telnet服务状态
<H3C> display user-interface vty # 查看VTY线路配置
<H3C> display users # 查看当前在线用户
<H3C> display local-user # 查看本地用户配置# 命令行测试
telnet 192.168.1.1
SSH服务配置
- 使用TCP端口22
- 提供Password和Publickey两种验证方式
# 可选的密钥类型有dsa/rsa/sm2等(不同设备支持不同)
# 生成RSA密钥,可指定密钥长度length(>=2048安全)
[H3C] public-key local create rsa *length*# 使能SSH服务器功能
# 必须生成密钥后才能启用SSH服务,要不然会报错
[H3C] ssh server enable# 配置SSH服务器参数(可选)
[H3C] ssh server authentication-retries 3 # 认证重试次数
[H3C] ssh server timeout 60 # 超时时间(秒)
[H3C] ssh server port 22 # 监听端口(默认22)# 配置VTY线路支持SSH协议
[H3C] user-interface vty 0 63
[H3C-line-vty0-63] authentication-mode scheme
# 指定入向协议为SSH
[H3C-line-vty0-63] protocol inbound ssh
# 也可以像这样同时支持Telnet和SSH
[H3C-line-vty0-63] protocol inbound all# 配置SSH用户
[H3C] local-user username
[H3C-luser-manage-xxx] password {hash|simple} password
[H3C-luser-manage-xxx] service-type ssh
[H3C-luser-manage-xxx] authorization-attribute user-role role-name# 更多可选设置
[H3C-luser-manage-sshadmin] validity-datetime 2024-12-31 23:59:59 # 设置用户有效期(可选)
[H3C-luser-manage-sshadmin] access-limit enable 3 # 限制同时登录数量
[H3C-luser-manage-sshadmin] work-directory flash:/ # 设置工作目录限制
密钥相关配置:
# 查看本地公钥信息
<H3C> display public-key local rsa public[H3C] public-key local export public rsa ssh2 # 导出RSA公钥(用于SSH2客户端)
[H3C] public-key local destroy rsa # 销毁旧RSA密钥(谨慎!)
[H3C] public-key local create rsa 2048 # 重新生成密钥# 查看密钥对信息
<H3C> display rsa local-key-pair public
高级安全配置:
# 配置SSH服务器安全参数
[H3C] ssh server compatible-ssh1x disable # 禁用旧版本SSH1
[H3C] ssh server authentication-retries 3 # 最大重试3次
[H3C] ssh server timeout 60 # 超时60秒
[H3C] ssh server rekey-interval 120 # 每2小时重新协商密钥# 配置ACL限制SSH访问源
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255
[H3C-acl-basic-2000] quit# 应用ACL到VTY线路
[H3C] user-interface vty 0 15
[H3C-line-vty0-15] acl 2000 inbound
SSH配置示例
网络拓扑:
- SSH客户端:IP地址 192.168.1.1,子网掩码 255.255.255.0
- SSH服务器:IP地址 192.168.1.254
配置步骤:
<H3C> system-view# 配置管理接口IP
[H3C]interface GigabitEthernet 0/0
[H3C-GigabitEthernet0/0]ip address 192.168.1.254 255.255.255.0
[H3C-GigabitEthernet0/0] quit# 密钥生成
[H3C] public-key local create rsa 2048# 启用
[H3C]ssh server enable
[H3C]line vty 0 15
[H3C-line-vty0-15]authentication-mode scheme
[H3C-line-vty0-15]protocol inbound ssh
[H3C-line-vty0-15] quit[H3C]local-user sshclient
[H3C-luser-manage-sshclient]password simple abc
[H3C-luser-manage-sshclient]service-type ssh
[H3C-luser-manage-sshclient]authorization-attribute user-role network-admin
[H3C-luser-manage-sshuser] quit# 保存配置
[H3C] save
验证和测试命令:
<H3C> display ssh server status # 查看SSH服务器状态
<H3C> display ssh server session # 查看当前SSH会话
<H3C> display ssh user-information # 查看SSH用户信息
<H3C> display user-interface vty # 查看VTY线路使用情况# PuTTY连接(Windows)
putty -ssh sshuser@192.168.1.1# 指定端口连接(如果修改了默认端口)
ssh -p 2222 sshuser@192.168.1.1