1.交换机配置
1.1、配置vty线路
#
user-interface con 0
user-interface vty 0 4
authentication-mode aaa
user privilege level 15 #一定给vty接口配置用户等级,否则登录后huawei无法修改配置
protocol inbound ssh
acl 2001 inbound #指定可以通过ssh远程的IP地址
#
1.2、配置aaa
#
local-user huawei password cipher <K.R)YFE!!(I\I9%HS7.!Q!!
local-user huawei privilege level 15
local-user huawei service-type ssh
#
1.3、创建ssh用户和服务
#
sftp server enable
stelnet server enable
ssh user huawei
ssh user huawei authentication-type rsa
ssh user huawei assign rsa-key huawei #给huawei用户指定公钥,该用户必须使用私钥才能远程登录
ssh user huawei service-type stelnet
#
1.4、全局启用stelnet服务
#
sftp server enable
stelnet server enable
undo telnet server enable
#
1.5、生成本地RSA主机密钥对和服务器密钥对
[FW1]rsa local-key-pair create
The key name will be: FW1_Host
The range of public key size is (2048 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
Input the bits in the modulus[default = 2048]:
Generating keys...
..+++++
........................++
....++++
...........++
2.使用Xshell生成密钥
输入公钥的名称,同时给私钥设置密码。
单击“另存为”,将公钥文件保存到桌面上
3.使用ssh-keygen将RSA密钥转化成16进制字符串
注:CIL下需要进行RSA公钥转化(即16进制的RSA-KEY)。如果通过WEB页面须导入OpenSSH格式的公钥。
3.1 上传公钥文件到服务器
在服务器上安装lrzsz,也可以通过FTP方式将生成r1公钥上传到~/.ssh目录下。
[root@ftp .ssh]# yum install -y lrzsz
[root@ftp ~]# cd ~/.ssh
[root@ftp .ssh]# rz
[root@ftp .ssh]# ls
known_hosts r1.pub
3.2 转换公钥
运行以下命令将r1.pub公钥进行转化
[root@ftp .ssh]# ssh-keygen -e -m pem -f ~/.ssh/r1.pub | egrep -v "BEGIN|END" | base64 -d | od -t x1 -An -w4 | tr 'a-f' 'A-F' | tr -d ' ' | fmt -w 48
复制转换出来的16进制字符串
3.3 将字符串注册到交换机
#
rsa peer-public-key huawei #指定公钥的名称,这个将分配到在ssh配置的用户。
public-key-code begin
30820107
02820100
E9810339 B403EA64 75E91B1A 7F4B030A 88FE5D56 6F99C9EF AFADFC64 2CFBBBE4
D2F2D688 530B72D4 B3FF735C 088EED5C 8C801D5B 40C47A1C CBFF8034 8A15B030
32176D15 06D202A8 DEBEE0AA 6729B356 EB776199 256BDDCA 16B664E6 182C549A
893AAD14 D35542EA 84B11297 82639339 FB7109A1 B2088B42 364255BB 347C7D1B
39E5661D E2692136 261FB62D 48BA0423 1F7AA0CB A7EE999F 92F17BF4 3F56B8FE
C0AE16B3 5FBB6F0B DEA3FD39 FEFE300A 57817CBC 3A79DE55 74AA270A 435ED95B
9101585A 1E7E8DFE 781735B0 51E95C1A 57B4DB96 C8ADEA80 41A9F5DA BE41DD66
A9057ED7 120BB931 B098C127 74678B5F A02D0343 B7B6049C D8F4D818 3D9CF55F
0201
23
public-key-code end
peer-public-key end
#
4.客户端登录测试
配置xshell客户端
登录成功,display current-configuration可以查看配置
抓包查看登录过程