配置通过 STelnet 登录系统-[zhgjx]

配置通过 STelnet 登录系统 

原理概述

由于 Telnet 缺少安全的认证方式，而且传输过程采用 TCP 进行明文传输，存在很大的

安全隐患，单纯提供 Telnet 服务容易招致主机 IP 地址欺骗、路由欺骗等恶意攻击。传统的

Telnet 和 FTP 等通过明文传送密码和数据的方式，已经慢慢不被接受。

SSH（Secure Shell）是一个网络安全协议，通过对网络数据的加密，使其能够在一个不

安全的网络环境中，提供安全的远程登录和其他安全网络服务。SSH（Secure Shell）特性可

以提供安全的信息保障和强大的认证功能，以保护路由器不受诸如 IP 地址欺诈、明文密码

截取等攻击。由于 SSH 数据加密传输，认证机制更加安全，SSH 已经越来越被广泛使用，

成为了当前重要的网络协议之一。

SSH基于TCP协议22端口传输数据，支持Password认证。客户端向服务器发出password

认证请求，将用户名和密码加密后发送给服务器；服务器将该信息解密后得到用户名和密码

的明文，与设备上保存的用户名和密码进行比较，并返回认证成功或失败的消息。

STelnet 是 Secure Telnet 的简称，在一个传统不安全的网络环境中，服务器通过对客户

端的认证及双向的数据加密，为网络终端访问提供了安全的 Telnet 服务。

SFTP 是 SSH File Transfer Protocol 的简称，在一个传统不安全的网络环境中，服务器通

过对客户端的认证及双向的数据加密，为网络文件传输提供了安全的服务。

实验目的

l 理解 SSH 的应用场景

l 理解 SSH 协议的原理

l 掌握配置 SSH Password 认证的方法

l 掌握 SFTP 的配置

实验内容

在本实验中，使用路由器R1模拟PC，作为SSH的Client，路由器R2作为SSH的Server，

模拟远程客户端 R1 通过 SSH 协议远程登录到路由器 R2 上进行各种配置。本实验将通过

Password 认证方式来实现。

实验逻辑拓扑

 

实验编址表

设备                   接口        IP地址       子网掩码        默认网关

R1(AR2220)         GE 0/0/0        10.1.1.1     255.255.255.0        N/A

R2(AR2220)         GE 0/0/0        10.1.1.2     255.255.255.0        N/A

实验步骤

1． 基本配置

由于eNSP模拟软件自带PC没有SSH 客户端，本实验采用 2台路由器模拟实验，路由器R1作为 SSH 的 Client，路由器 R2 作为 SSH 的 Server。

根据实验编址表进行相应的基本配置，并使用 ping 命令检测各直连链路的连通性。

 

2． 配置 SSH Server

相对于 Telnet 协议，SSH 协议支持对报文加密传输，而非明文传送。因此，在跨越互联网的远程登录管理中，建议使用 SSH 协议。

生成本地 RSA 密钥对是完成 SSH 登录配置的首要操作。SSH 用户使用 Password 方式验证，需要在 SSH 服务器端生成本地 RSA 密钥。

在 R2 上使用命令 rsa local-key-pair creat 来生成本地 RSA 主机密钥对。

配置完成后，使用命令 display rsa local-key public 查看本地密钥对中的公钥部分信息。  

 

可以观察到，此时已经生成了本地 RSA 主机密钥对。“Time of Key pair created“描述公

钥生成的时间，“Key name”描述公钥的名称，“Key type”描述公钥的类型。

在R2上配置 VTY 用户界面，设置用户的验证方式为 AAA 授权验证方式。

 

指定 VTY 类型用户界面只支持 SSH 协议，设备将自动禁止 Telnet 功能。  

使用 local-user 命令创建本地用户和用户口令，并以密文方式显示用户口令，指定用户名为 huawei，密码为 huawei。  

配置本地用户的接入类型为 SSH。 

使用 ssh user 命令新建 SSH 用户，用户名为 huawei，指定 SSH 用户的认证方式为

Password，即密码认证方式。

此处还可以继续使用命令 local-user huawei privilege level 配置本地用户的优先级。取值范围为 0-15，取值越大，代表用户的优先级越高。不同级别的用户登录后，只能使用等于或低于自身级别的命令，缺省值为 3，代表管理级。

缺省情况下，设备的 SSH 服务器功能为关闭状态，只有开启了此功能后，客户端才能

以 SSH 方式与设备建立连接。在 R2 上开启设备的 SSH 功能。

配置完成后，使用 display ssh user-information huawei 命令在 SSH 服务器端查看 SSH 用户的配置信息。如果不在命令末尾指定 SSH 用户，则可以查看 SSH 服务器端所有的SSH用户配置信息。  

可以观察到所配置的 SSH 用户名，认证方式。

运行命令 display ssh server status，可以查看 SSH 服务器全局配置信息。

 

可以观察到，此时 R2 上 Stelnet Server 服务器状态为启用状态 

3． 配置 SSH Client  

当 SSH 客户端第一次登录 SSH 服务器时，客户端还没有保存 SSH 服务器的 RSA 公钥，

会对服务器的 RSA 有效性公钥检查失败，从而导致登录服务器失败。因此当客户端 R1 首

次登录时，需开启 SSH 客户端首次认证功能，不对 SSH 服务器的 RSA 公钥进行有效性检查。

[R1]ssh client first-time enable

在 SSH 客户端 R1 上使用命令 stelnet 连接 SSH 服务器。

  

登录成功后，输入用户名 huawei。  

第一次登录时，由于开启了 SSH 客户端首次认证功能，在 STelnet 客户端第一次登录

SSH 服务器时，不对 SSH 服务器的 RSA 公钥进行有效性检查。登录后，系统将自动分配并保存 RSA 公钥，为下次登录时认证。

输入用户 huawei 的密码 huawei。

输入密码后，远程登录 R2 成功，使用命令 display ssh server session 查看 SSH 服务器端的当前会话连接信息。  

可以观察到，用户 huawei 已经成功通过 VTY 线路 0 远程登录上来，客户端已经成功连接到 SSH 服务器，可以进行各种配置。如果要退出登录，使用 quit 命令即可。 

 4.    配置 SFTP Server 与 Client

在 R2 上进入 AAA 视图，创建一个名称为 huawei2 的用户，并配置密码为 huawei2，以密文方式显示

配置本地用户的接入类型为 SSH。  

配置本地用户的优先级，不同级别的用户登录后，只能使用等于或低于自身级别的命令。

取值范围为 0~15，取值越大，用户的优先级越高。

 

指定 FTP 用户的可访问目录。缺省为空，如果不配置，FTP 用户将无法登录。  

使用 ssh user 命令新建 SSH 用户，用户名为 huawei2，指定 SSH 用户的认证方式为

Password，即密码认证方式。

 

使用 sftp server enabe 命令开启 SFTP 服务器功能。  

配置完成后，查看 SSH 服务器的配置信息。  

可以观察到，此时 SFTP 服务已经开启。

在 R1 上使用命令 sftp 连接 SSH 服务器，并输入用户名 hauwei2 和口令 huawei2。

 

可以观察到已经成功登录。

在 R2 上查看 SSH 会话连接信息。

 

可以观察到，用户 huawei2 已经成功通过 VTY 线路 0 远程登录上来，客户端已经成功连接到 SSH 服务器，可以进行各种配置。如果要退出登录，使用 quit 命令即可。