一、实验需求
-
在R2 上开启SSH 服务,用户名aa 密码Huawei@123。确保R1 可以SSH 控制R2。
思路: ① 配置接口的IP地址 ② 开启R2的SSH服务 ③ 认证方式选择aaa ④ 配置aaa用户名为aa,密码为Huawei@123 ⑤ 测试 注意:模拟器中router路由器不支持 ssh,AR2220 支持。
二、实验拓扑
三、配置过程
/* 1,配置IP接口 */
略
/* 2,开启R2的SSH服务 */
[R2] stelnet server enable // 开启stelnet服务
[R2] user-interface vty 0 4 // 进入vty视图
[R2-ui-vty0-4] authentication-mode aaa // 认证方式选择AAA
[R2-ui-vty0-4] protocol inbound ssh // 使用ssh协议
/* 3,配置aaa认证 */
[R2] aaa // 进入aaa
[R2-aaa] local-user aa privilege level 3 // 配置用户aa的权限为3
[R2-aaa] local-user aa password cipher Huawei@123 // 配置用户aa的密码为Huawei@123,密文显示
[R2-aaa] local-user aa service-type ssh // 配置用户aa的服务类型为ssh
/* 4,客户端远程登录 */
[R1] ssh client first-time enable // 首次访问时输入
[R1] stelnet 12.1.1.2 // 远程访问12.1.1.2,回车后输入用户名和密码
四、测试
- 抓取报文
- 步骤:分析->追踪流->tcp流
结论:
① SSH 的报文是基于TCP 22 端口封装
② SSH 的报文是密文传输,较为安全
五、注意事项
-
不同版本VRP系统配置略有差异,配置时建议查询相应版本产品文档。如部分VRP系统版本还需如下配置(模拟器可以不敲):
rsa local-key-pair create ssh user aa ssh user aa authentication-type all ssh user aa service-type all ssh server-source all-interface
-
由于SSH加密涉及密钥算法,需保证客户端和服务端所支持的算法可以协商一致。如果不一致可以尝试更换客户端软件(或更换客户端软件版本)。
SSH的客户端软件:如SecureCRT、Xshell、Mobaxerm等
六、思考问题
-
如何让帐户aa同时支持telnet 和ssh ?
第一步:vty界面绑定协议为all [R2-ui-vty0-4] protocol inbound all 第二步:aaa服务类型添加ssh与telnet [R2-aaa]local-user aa service-type ssh telnet