1.ssh登录
1)首先把网络搞通
AR1 :
interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
ssh客户端
2)生成ssh密钥
rsa local-key-pair create //生成一个RSA的密钥对 (RSA是非对称加密算法)
3) AR1 配置ssh用户名口令
aaa下添加用户 (版本可能不同)
local-user djcp password cipher Huawei@123
local-user djcp privilege level 3 //给新账户权限级别 3-15 基本为最高权限
local-user djcp service-type terminal ssh //该账户支持登录方式 同时支持consloe 和stelnet
4)虚拟终端下补充配置
user-interface con 0
authentication-mode aaa //consloe 登录界面的验证方式为aaa 使用aaa下的账号口令
user-interface vty 0 4
authentication-mode aaa //虚拟终端登录界面的验证方式为aaa 使用aaa下的账号口令
user privilege level 15 //用户权限为15级
protocol inbound ssh //启用入站协议 ssh
user-interface vty 16 20
5)ssh 客户端配置
ssh client first-time enable //,用于使能SSH客户端的首次认证功能。当SSH客户端首次访问SSH服务器,而SSH客户端没有配置SSH服务器端的公钥时,用户可以选择使用这个命令来继续访问该SSH服务器,并在SSH客户端保存该主机的公钥。这样,当SSH客户端下次访问该SSH服务器时,就可以使用之前保存的主机公钥来进行认证。
6)登录设备 AR1
[Huawei]stelnet 192.168.1.1
这条命令表示从华为设备上启动SSH(通常称为stelnet
在华为设备上)会话,尝试连接到IP地址为192.168.1.1的远程设备。
Please input the username:djcp
提示输入用户名,用户输入了djcp
作为用户名。
Trying 192.168.1.1 ...
开始尝试连接到远程服务器。
Press CTRL+K to abort
提示用户如果需要中止连接,可以按CTRL+K
。
Connected to 192.168.1.1 ...
表示已成功建立到远程服务器的连接。
The server is not authenticated. Continue to access it? (y/n)[n]:y
客户端提示用户远程服务器尚未经过认证,询问是否继续访问。用户选择了继续(输入了y
)。
Mar 22 2024 22:33:09-08:00 Huawei %%01SSH/4/CONTINUE_KEYEXCHANGE(l)[0]:The server had not been authenticated in the process of exchanging keys. When deciding whether to continue, the user chose Y.
这是系统日志条目,记录了在密钥交换过程中,服务器未经认证,但用户选择继续。
[Huawei]
成功登录后,提示符变为[Huawei]
,表示用户现在处于远程设备的命令行接口。
Save the server's public key? (y/n)[n]:y
询问用户是否要保存服务器的公钥以便将来可以自动验证服务器的身份。用户选择了保存(输入了y
)。
The server's public key will be saved with the name 192.168.1.1. Please wait...
通知用户服务器的公钥将以IP地址192.168.1.1
的名称保存,并提示用户稍候。
Mar 22 2024 22:33:12-08:00 Huawei %%01SSH/4/SAVE_PUBLICKEY(l)[1]:When deciding whether to save the server's public key 192.168.1.1, the user chose Y.
这是另一条系统日志条目,记录了用户选择保存服务器的公钥
ssh 客户端保存的公钥
2.安全加固
1)超时登录退出
ssh服务器
user-interface vty 0 4
idle-timeout 10
2)密码复杂度:(有些设备可能是缺省配置)
Password-control enable //开启全局密码管理功能
password-control length 8 //设置密码最小长度为 8
password-control composition type-length 1 type-number 4 //
type-length 1
表示密码中每种字符类型的最小长度为1。这通常不是一个很强的密码策略,因为它允许密码只包含一种类型的字符(例如,全部是小写字母)。type-number 4
表示密码必须包含4种不同类型的字符。在华为设备上,通常的字符类型包括小写字母、大写字母、数字和特殊字符。
password-policy policy-name
password-expire 90 days // 方法是这个方法 实际好不好用 不知道 反正模拟器不支持 真机没见有人做过配置。
password-control alert-before-expire 10 设定密码过期 前的提醒时间为10天
最后配置ACL 限制ssh登录地址范围 为主机级
未做限制可以正常登录
通过ACL 限制AR3登录
acl 3000
rule 0 permit ip source 192.168.1.2 0.0.0.0
rule 5 deny ip
实验效果 :
未完 没有后续了