玩转华为ENSP模拟器系列 | 配置公网SSH访问私网SSH的举例

已于 2022-05-24 10:08:16 修改
阅读量3.2k 收藏 13
点赞数
分类专栏: 实验笔记 文章标签: 华为 ssh 服务器
于 2022-05-20 17:19:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guolianggsta/article/details/124887318
版权

素材来源:华为路由器配置指南

一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持!

附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_ensp实验大全

目标

配置公网SSH客户端访问私网SSH服务器的示例。在本示例中,通过配置公网用户的SSH相关属性信息,实现公网用户分别以STelnet方式和SFTP方式访问私网设备。

组网需求

如图1所示,作为SSH客户端的设备PE1位于MPLS骨干网中,作为SSH服务器的CE1位于AS号为65410的私网中。公网用户可以通过PE1安全地访问和管理私网设备CE1。

配置思路

  • 在作为SSH客户端的PE设备上配置VPN实例,实现将CE接入PE。
  • 在PE与CE之间建立EBGP对等体关系,引入VPN路由。
  • 分别在STelnet客户端Client002和SSH服务器端生成本地密钥对,并为用户client002绑定SSH客户端的RSA公钥,实现客户端登录服务器端时,对客户端进行验证。
  • SSH服务器端STelnet和SFTP服务使能。
  • 公网用户client001、client002分别以STelnet方式和SFTP方式访问私网设备。

操作步骤

  1. 配置MPLS骨干网

配置MPLS骨干网上配置IGP协议,实现骨干网PE和P的互通。在MPLS骨干网上配置MPLS基本能力和MPLS LDP,建立LDP LSP。(略)

  1. 在PE上配置VPN实例,将CE接入PE

配置PE1

PE1:
ip vpn-instance vpn1
 ipv4-family
  route-distinguisher 100:1
  vpn-target 111:1 export-extcommunity
  vpn-target 111:1 import-extcommunity
interface Ethernet1/0/0
 undo shutdown
 ip binding vpn-instance vpn1
 ip address 10.1.1.2 255.255.255.0

配置PE2

PE2:
ip vpn-instance vpn1
 ipv4-family
  route-distinguisher 200:1
  vpn-target 111:1 export-extcommunity
  vpn-target 111:1 import-extcommunity
interface Ethernet1/0/1
 undo shutdown
 ip binding vpn-instance vpn1
 ip address 10.1.2.2 255.255.255.0
  1. 配置各CE的接口IP地址(略)

配置完成后,在PE上执行display ip vpn-instance verbose命令可以看到VPN实例的配置情况。各PE能ping通自己接入的CE。

ping -vpn-instance vpn1 10.1.1.1

[~PE1]ping -vpn-instance vpn1 10.1.1.1
  PING 10.1.1.1: 56  data bytes, press CTRL_C to break
    Reply from 10.1.1.1: bytes=56 Sequence=1 ttl=255 time=5 ms
    Reply from 10.1.1.1: bytes=56 Sequence=2 ttl=255 time=4 ms
    Reply from 10.1.1.1: bytes=56 Sequence=3 ttl=255 time=4 ms
    Reply from 10.1.1.1: bytes=56 Sequence=4 ttl=255 time=4 ms
    Reply from 10.1.1.1: bytes=56 Sequence=5 ttl=255 time=4 ms
  --- 10.1.1.1 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 4/4/5 ms
 
[~PE1]

说明:当PE上有多个绑定了同一个VPN的接口,则使用ping -vpn-instance命令ping对端PE接入的CE时,要指定源IP地址,即要指定ping -vpn-instance vpn-instance-name -a source-ip-address dest-ip-address命令中的参数-asource-ip-address,否则可能ping不通。

  1. 在PE与CE之间建立EBGP对等体关系,引入VPN路由

配置CE1

CE1:
bgp 65410
 peer 10.1.1.2 as-number 100
 ipv4-family unicast
  import-route direct

配置PE1

PE1:
bgp 100
 ipv4-family vpn-instance vpn1
  import-route direct
  peer 10.1.1.1 as-number 65410

配置CE2

CE2:
bgp 65420
 peer 10.1.2.2 as-number 100
 ipv4-family unicast
  import-route direct

配置PE2

PE2:
bgp 100
 ipv4-family vpn-instance vpn1
  import-route direct
  peer 10.1.2.1 as-number 65420

配置完成后,在PE上执行display bgp vpnv4 vpn-instance peer命令,可以看到PE与CE之间的BGP对等体关系已建立,并达到Established状态。

[~PE1-bgp]dis bgp vpnv4 vpn-instance vpn1 peer 
 
 BGP local router ID : 100.1.1.1
 Local AS number : 100
 VPN-Instance vpn1, Router ID 100.1.1.1:
 Total number of peers : 1                 Peers in established state : 1
  Peer            V          AS  MsgRcvd  MsgSent  OutQ  Up/Down       State  Pr
efRcv
  10.1.1.1        4       65410        7        8     0 00:03:43 Established    
    1
[~PE1-bgp]

在PE之间建立MP-IBGP对等体关系(略)

  1. 在服务器端生成本地密钥对
CE1:
rsa local-key-pair create
  1. 配置服务器端RSA公钥

客户端生成客户端的本地密钥对

PE1:
rsa local-key-pair create

查看客户端上生成RSA公钥。

[~PE1]dis rsa local-key-pair public 
======================Host Key==========================
Time of Key pair created : 2019-10-23 16:51:31
Key Name : PE1_Host
Key Type : RSA Encryption Key
========================================================
Key Code:
3082010A
  02820101
    00BBB185 2EAC019C 8FE60F4D C304E34A 95900D2D
    E813A2E0 31D7A6B8 3F1E1502 1F4EFA5D 58458EF0
    A2C48A2C 1368F0B4 FE67533E 306E2AD2 75331449
    A1AAAF85 3A6C40C4 55B973A1 7665109F A355C0D2
    8D76292D 55D9F52F 63E0A27C 085FEF3F 123BA68A
    CCE823E6 D781560F 257BAF9E 65F74613 806B8632
    795FEEC4 B5EAB942 AE95E8C8 429F6650 E52CF32D
    44B62622 DE85C9FA 788C7713 BDC7B1AE 61ADFFF6
    C1824E00 C5893A48 77092FB8 1E0B575C 60418681
    A6393A07 CCE9DE49 432DCDAC 58B5D17D 34AE56FD
    CCDA9637 01A2C96F A7A31308 8B5954A8 45703E42
    9D7F1DDC 79E2EDF8 57D5ED64 47E69C09 BF7CB5B5
    2A51CC1B A37D8E03 867699A1 707AC3F5 CD
  0203
    010001
Host public key for PEM format code:
---- BEGIN SSH2 PUBLIC KEY ----
AAAAB3NzaC1yc2EAAAADAQABAAABAQC7sYUurAGcj+YPTcME40qVkA0t6BOi4DHX
prg/HhUCH076XVhFjvCixIosE2jwtP5nUz4wbirSdTMUSaGqr4U6bEDEVblzoXZl
EJ+jVcDSjXYpLVXZ9S9j4KJ8CF/vPxI7porM6CPm14FWDyV7r55l90YTgGuGMnlf
7sS16rlCrpXoyEKfZlDlLPMtRLYmIt6Fyfp4jHcTvcexrmGt//bBgk4AxYk6SHcJ
L7geC1dcYEGGgaY5OgfM6d5JQy3NrFi10X00rlb9zNqWNwGiyW+noxMIi1lUqEVw
PkKdfx3ceeLt+FfV7WRH5pwJv3y1tSpRzBujfY4DhnaZoXB6w/XN
---- END SSH2 PUBLIC KEY ----
Public key code for pasting into OpenSSH authorized_keys file:
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC7sYUurAGcj+YPTcME40qVkA0t6BOi4DHXprg/HhUC
H076XVhFjvCixIosE2jwtP5nUz4wbirSdTMUSaGqr4U6bEDEVblzoXZlEJ+jVcDSjXYpLVXZ9S9j4KJ8
CF/vPxI7porM6CPm14FWDyV7r55l90YTgGuGMnlf7sS16rlCrpXoyEKfZlDlLPMtRLYmIt6Fyfp4jHcT
vcexrmGt//bBgk4AxYk6SHcJL7geC1dcYEGGgaY5OgfM6d5JQy3NrFi10X00rlb9zNqWNwGiyW+noxMI
i1lUqEVwPkKdfx3ceeLt+FfV7WRH5pwJv3y1tSpRzBujfY4DhnaZoXB6w/XN rsa-key
Host public key for SSH1 format code:
2048 65537 236941015232811666260001219255400042049251002132176199165964328872907
62315861642096465959957048515792187986415567147630601971740867326658811340451159
09534897567214549845665706447323081189582704791502844110771545216953861828794897
16505215930747650656491315305898960328825784148756839397148553375549641776803744
43335739986530110070121471008399836797503391896849620297805146670963526356056001
48692661082995338035203782115317601416899733389351082945795990481722443647523436
77466717344488348365408557704584570525123199388195217138029578325357632709409023
39998088070399073312864560500795120730384021226909827130316038600141
======================Server Key========================
Time of Key pair created : 2019-10-23 16:51:32
Key Name : PE1_Server
Key Type : RSA Encryption Key
========================================================
Key Code:
3081B9
  0281B1
    00F445E3 9D9B1B9E 5B853AFF BC85D760 0E02D2C4
    3390E96E 693920B4 BBD529B1 741A64AA A765DCA9
    D36846AA D9338499 0D944CFC FE06B25B 5AE75024
    C5034DD9 A3BD9C02 EEC0B89C 8C4E4C5B 9CED4E80
    DC286124 0D54494E 1EF0DE32 B9980761 6A60E86E
    C8FED238 E6811534 B794435C 025881BF D85DDB5B
    77BCF947 3B41F788 C432DD72 4E2E0B1E 1F73756B
    D1A71790 BA7660DD 86EB381A 2658D995 C053943F
    C48B42DA 6D65D0A1 F95429D4 A41B401C C9
  0203
    010001
[~PE1]

将客户端上产生的RSA公钥传送到服务器端。

CE1:
rsa peer-public-key rsakey001
 public-key-code begin
 3082010A
  02820101
    00BBB185 2EAC019C 8FE60F4D C304E34A 95900D2D E813A2E0 31D7A6B8 3F1E1502
    1F4EFA5D 58458EF0 A2C48A2C 1368F0B4 FE67533E 306E2AD2 75331449 A1AAAF85
    3A6C40C4 55B973A1 7665109F A355C0D2 8D76292D 55D9F52F 63E0A27C 085FEF3F
    123BA68A CCE823E6 D781560F 257BAF9E 65F74613 806B8632 795FEEC4 B5EAB942
    AE95E8C8 429F6650 E52CF32D 44B62622 DE85C9FA 788C7713 BDC7B1AE 61ADFFF6
    C1824E00 C5893A48 77092FB8 1E0B575C 60418681 A6393A07 CCE9DE49 432DCDAC
    58B5D17D 34AE56FD CCDA9637 01A2C96F A7A31308 8B5954A8 45703E42 9D7F1DDC
    79E2EDF8 57D5ED64 47E69C09 BF7CB5B5 2A51CC1B A37D8E03 867699A1 707AC3F5
    CD
  0203
    010001
 public-key-code end
 peer-public-key end
  1. 在服务器端创建SSH用户

说明:

  • SSH用户主要有Password、RSA、password-rsa、ECC、password-ecc或all这几种认证方式: 如果SSH用户的认证方式为password、password-rsa和password-ecc时,必须配置同名的local-user用户。 如果SSH用户的认证方式为RSA、password-rsa、ECC、password-ecc和all,服务器端应保存SSH客户端的RSA或ECC公钥。

配置VTY用户界面。

CE1:
user-interface vty 0 4
 authentication-mode aaa
 protocol inbound ssh

创建SSH用户Client001。

新建用户名为Client001的SSH用户,且认证方式为password。

CE1:
ssh user client001
ssh user client001 authentication-type password

为SSH用户Client001配置密码为Hello-huawei123。

CE1:
aaa
 local-user client001 password irreversible-cipher $1c$M%p<8/A'wD$lTxF(^gYwNz=SlAdv@)7!kL>@SI5HGs/7LA]^iu&$
 local-user client001 service-type ssh

说明:

  • 密码采取交互式输入,系统不回显输入的密码。
  • 特殊字符不包括“?”和空格。但是,当输入的密码两端使用双引号时,可在密码中间输入空格。 如果使用双引号设置带空格密码,双引号之间不能再使用双引号。 如果使用双引号没有设置带空格密码,双引号之间可以再使用双引号。
  • 例如,"Aa 123"45""为不合法密码,"Aa123"45""为合法密码。

配置Client001的服务方式为STelnet。

CE1:
ssh user client001 service-type stelnet

新建用户名为Client002的SSH用户,且认证方式为RSA,并绑定SSH客户端RSA公钥。

CE1:
ssh user client002
ssh user client002 authentication-type rsa
ssh user client002 assign rsa-key rsakey001

配置Client002的服务方式为SFTP,并为其配置授权目录。

CE1:
ssh user client002 service-type sftp
ssh user client002 sftp-directory cfcard:
  1. SSH服务器端Stelent和SFTP服务使能
CE1:
stelnet server enable
sftp server enable
  1. PE设备作为SSH客户端登录CE设备

第一次登录,则需要使能SSH客户端首次认证功能。

PE1:
ssh client first-time enable

以STelnet方式登录SSH服务器。

<PE1>stelnet 10.1.1.1 -vpn-instance vpn1
Trying 10.1.1.1 ...
Press CTRL + K to abort
Connected to 10.1.1.1 ...
The server is not authenticated. Continue to access it? [Y/N]: y
Save the server's public key? [Y/N]: y
The server's public key will be saved with the name 10.1.1.1. Please wait...
Please input the username: client001
Enter password: 
Warning: The initial password poses security risks.
The password needs to be changed. Change now? [Y/N]:n
Info: The max number of VTY users is 5, the number of current VTY users online i
s 1, and total number of terminal users online is 2.
      The current login time is 2019-10-23 16:59:43.
      First login successfully.
<CE1>

以SFTP方式登录SSH服务器。

[~PE1]sftp 10.1.1.1 -vpn-instance vpn1
Trying 10.1.1.1 ...
Press CTRL+K to abort
Connected to 10.1.1.1 ...
Please input the username: client002
sftp-client>
  1. 检查配置结果

配置完成后,在PE设备接口视图下执行display this命令,可以看到vpn-instance配置成功;在CE设备上执行display ssh server session命令,可以查看到STelnet客户端或SFTP客户端已经成功连接到SSH服务器。

查看SSH服务器的连接信息。

[~CE1]dis ssh server session
--------------------------------------------------------------------------------
Session                                 : 1
Conn                                    : SFTP 0
Version                                 : 2.0
State                                   : Started
Username                                : client002
Retry                                   : 1
CTOS Cipher                             : aes256-ctr
STOC Cipher                             : aes256-ctr
CTOS Hmac                               : hmac-sha2-256
STOC Hmac                               : hmac-sha2-256
CTOS Compress                           : none
STOC Compress                           : none
Kex                                     : diffie-hellman-group14-sha1
Public Key                              : ECC
Service Type                            : sftp
Authentication Type                     : rsa
Connection Port Number                  : 22
Idle Time                               : 00:04:52
Total Packet Number                     : 16
Packet Number after Rekey               : 16
Total Data(MB)                          : 0
Data after Rekey(MB)                    : 0
Time after Session Established(Minute)  : 4
Time after Rekey(Minute)                : 4
--------------------------------------------------------------------------------
[~CE1]

热爱编程的通信人
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hub and Spoke BGP/MPLS IP VPN 配置
Qconfig100的博客
06-27 722
某大型银行 计划通过MPLS VPN实现总行与其各个分支银行的安全互访,要求。连接各个分行,Hub-CE连接总行,实现Spoke-CE之间流量经过Hub-CE发。各分支分行的VPN流量必须通过总行发,以便对流量的监控。如图所示Spoke-CE。
华为mpls vpn跨域C-2方案配置案例
IT技术
07-02 1163
华为mpls vpn跨域C-2方案配置案例
华为路由器旁挂组用vpn-instance实例上配置案例
IT技术
11-26 3234
华为路由器旁挂组用vpn-instance实例上配置案例
防火墙基础技术篇:ensp配置防火墙ssh方式登录
最新发布
qq_39241682的博客
05-21 1339
络主机之间的通信是不加密的,属于明文通信。这使得通信很不安全,一个典型的例子就是服务器登录。登录远程服务器的时候,需要将用户输入的密码传给服务器,如果这个过程是明文通信,就意味着传递过程中,线路经过的中间计算机都能看到密码,这是很可怕的。SSH 就是为了解决这个问题而诞生的,它能够加密计算机之间的通信,保证不被窃听或篡改。它还能对操作者进行认证(authentication)和授权(authorization)。明文的络协议可以套用在它里面,从而实现加密。
ENSP模拟器实现用户访问HTTP服务器
sjsnsvsjsm的博客
07-18 4983
本文将简述用户访问http服务器(以nesp为例)
计算机络——高效校园络设计与实现(华为模拟器eNSP实现)
热门推荐
Liwo4418的博客
07-08 3万+
实验要求:1、ISP所在两个接口为有IP地址,范围;1.1.1.0/24代表整个互联2、外为有局域,IP地址使用有IP地址,自定义3、PC1—PC3通过DHCP获取IP地址;PC1和HTTP在VLAN2,PC2和PC3在VLAN34、ISP路由器只能进行IP地址配置,之后不得进行任何其他配置5、全只有PC3可以TELNET登录AR2路由器6、PC1-PC3可以访问互联中的PC4;PC4可以通过域名www.waishi.com访问http服务器通过大型园区的设计与方案设计,实习完成后学
企业 SSL VPN 史诗级配置-华为ensp毕设实验
白话聊网络的博客
10-31 6055
最初实验路由器为边界,路由器做nat访问sw1上的两个三次vlanif,后期客户要求在该拓扑上部署ssl vpn,更改拓扑,让防火墙作为边界设备,在sw1下桥接虚拟机,让虚拟机的地址和防火墙G1/0/2的外口地址互通(甭管用啥协议,目的就是打通)重启成功后,打开ensp的云彩,就会发现有你刚才创建的VM2,添加卡这步,应该都会吧,再不百度一大堆。点击刚才设置好的vm2,把dhcp分配地址取消掉,子处设置题目需求的地址段,确定,在配置前,在虚拟机ping下防火墙接口,不通-白-通了之后再往下
使用Ensp连接外进行实验
WXDCSDN的博客
11-29 2711
因电脑自带卡直接连接络设备进行实验时会影响到现有络,所以建议添加回环卡进行实验使用,操作方法,右击。有时我们使用Ensp做实验为了更好的模拟到与外的联系,需要使用到Cloud与络设备相连。注意:需要配置:相邻接口地址、NAT、缺省路由、回程路由。安装我手动从列表选择的硬件(高级)(M)在可以正常使用的络适配器上,右击。添加UDP和以太3(回环适配器),在家庭络连接中选择刚才添加的。可以看到新添加的络适配器。②将现有络共享给回环口。③Ensp中添加回环卡。添加Cloud后,双击,
华为ensp模拟器安装包
10-26
ensp:华为模拟器软件,可以模拟交换机、路由器、防火墙、终端等设备 。对于刚接触到络这一方面的小伙伴,在没有情况接触到真机的情况下,使用此模拟器将理论学习运用到实践上还是非常有必要的,具体安装步骤参考我...
华为ensp模拟器(Enterprise Network Simulation Platform)
06-21
华为ensp模拟器(Enterprise Network Simulation Platform)是华为官方推出的一款强大的图形化络仿真工具平台,ensp模拟器主要对企业路由器、交换机、WLAN等设备进行软件仿真,从而得以完美地呈现真实设备部署实景...
华为eNSP模拟★[--通信实验]【视频教程+拓扑实验】.zip
09-11
综合实验题目: 络管理员需要在分司与总司之间减少广播流量,增强...部分使用OSPF,客户端可以通过DNS访问到 www.togogo.net 。 注意AR4: 关键的路由配置: ip route-static 0.0.0.0 0.0.0.0 10.1.34.3
华为eNSP模拟器全部安装包.zip
05-17
一整套适配的华为模拟器安装包: 含eNSP,以及适配的环境软件VirtualBox-5.2.26-128414-Win、WinPcap_4_1_3、Wireshark-win64-3.6.5等
通过eNSP来模拟设备访问服务器的过程
zlz_yjs的博客
01-10 1375
然后我们将GE0/0/0的IP设置为192.168.1.3 子掩码为255.255.255.0。将GE0/0/1的IP设置为192.168.2.3 子掩码为255.255.255.0。访问服务器出现这种情况说明访问成功,成功通过一个DNS服务器访问两个HTTP服务器。将左边的所有设备关设置为接口GE0/0/0的IP:192.168.1.3。将右边的所有设备关设置为接口GE0/0/1的IP:192.168.2.3。首先进入第三级接口视图,这样才能配置路由接口的IP。出现这个说明配置成功。
华为数通HCIP-VPN技术-mpls vpn
qq_45179904的博客
07-29 4156
作用:实现广域互联(不同地域局域之间跨越进行互通);
华为ensp——企业络的设计与实现【方案测试验证】
weixin_44702237的博客
10-31 8719
基于华为ensp的企业络设计的方案测试验证
A006 - 基础 - VRF/VPN-instance
weixin_38662859的博客
05-06 3398
VRF - Virtual Routing and Forwarding 主要是在一台三层设备上创建多张相互隔离的路由表
使用华为ensp模拟器实验简单访问服务器+DNS
weixin_75192377的博客
07-18 2060
最后,访问服务器出现以下弹窗即配置成功。
华为ensp中nat server 访问服务器
博客之路,前途漫漫
04-16 6140
NAT服务器是一种在络边界设备上配置的服务,它允许外部络的用户访问内部络中的服务或主机,同时隐藏了内部络的真实IP地址。通过NAT服务器,内部络中的服务或主机可以对外部络提供服务,同时保护了内部络的隐和安全。应用场景NAT服务器可以实现三方面功能:对内部络服务的访问提供了便捷,如Web、邮件、FTP服务器;隐藏了内部络的真实IP地址,加强了安全性;并能有效节省共IP地址资源,通过一个共IP地址映射多个内部络主机或服务。
华为 ensp NAT络地址换简单配置理解
smilecats的博客
07-16 2777
NAT络地址换,Easy-ip、NAT Address group、NAT Server

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值