配置SSH终端服务密码验证方式示例
应用环境
用户通过不安全的网络环境远程登录到路由器时,安全外壳SSH(Secure Shell)特性可以提供安全的信息保障和强大的认证功能,以保护路由器不受诸如IP地址欺诈、明文密码截取等攻击。
SSH客户端与服务器端通讯时,用户名及口令均进行加密,有效防止对口令的窃听。同时对传输的数据也加密。
配置思路
无论采取哪种验证方式,必须先在本地生成密钥对。
用户Client001的配置在路由器上完成。
配置注意事项
为完成此配置,需要准备如下数据:
允许登录的用户界面编号
SSH用户的用户名和密码
配置实例
组网需求
配置终端(SSH Client)与路由器建立本地连接,终端上运行支持SSH1.5的客户端软件。
用户界面仅支持SSH协议。
用户Client001采用密码认证方式登录。
适用产品和版本
适用于VRP5.30及以后的版本。
配置步骤
步骤 1 生成本地密钥对
<Quidway> system-view [Quidway] rsa local-key-pair create
The key name will be: Quidway_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Input the bits in the modulus[default = 512]:
Generating keys...
.......++++++++++++
..........++++++++++++
...................................++++++++
......++++++++
步骤 2 创建SSH用户
说明
如果SSH用户的认证方式为password,必须配置同名的local-user用户:
# 配置VTY用户界面
[Quidway] user-interface vty 0 4 [Quidway-ui-vty0-4] authentication-mode aaa [Quidway-ui-vty0-4] protocol inbound ssh [Quidway-ui-vty0-4] quit
# 新建用户名为Client001的SSH用户,且认证方式为password。
<Quidway> system-view [Quidway] ssh user client001 authentication-type password
# 为SSH用户Client001配置密码为huawei。
[Quidway] aaa [Quidway-aaa]local-user client001 password simple huawei [Quidway-aaa]local-user client001 service-type ssh
说明
SSH的验证超时时间、重试次数以及服务器密钥更新时间可以采取系统默认值。这些配置完成以后,您就可以在其它与路由器连接的终端上,运行支持SSH1.5的客户端软件,以用户名Client001,密码huawei,访问路由器了。
步骤 3 在终端上运行支持SSH1.5的客户端软件,访问路由器
从支持SSH1.5的客户端软件访问路由器
说明
客户端软件不同,出现的登录界面可能与上图不同。
