华为USG6000E开启ssh

已于 2024-08-07 15:28:45 修改
阅读量17 收藏
点赞数
分类专栏: 网络技术 文章标签: 华为 ssh 运维
于 2024-08-06 18:17:07 首次发布
原文链接:https://support.huawei.com/hedex/hdx.do?docid=EDOC1100343281&id=ZH-CN_TASK_0178921723
版权

CLI举例:通过STelnet登录CLI界面(本地认证)

介绍如何配置管理员PC作为Stelnet客户端,FW作为Stelnet服务器,在已有业务组网下管理员通过Stelnet以Password认证方式登录到FW的VTY管理员界面。

组网需求

图1所示,为FW配置一个管理员。要求管理员在管理员PC上通过Stelnet以Password认证方式登录到FW的VTY管理员界面,并对FW进行管理和维护。

图1 通过STelnet登录CLI界面(Password认证)组网图

数据规划

项目

数据

FW

SSH账号

sshadmin

认证方式

Password

密码

Mydevice@123

服务方式

Stelnet

管理员PC

SSH客户端软件:PuTTY软件(Windows XP系统),PuTTY软件包括STelnet等多用途客户端PuTTY工具和SFTP客户端PSFTP工具。

配置思路
  1. 配置FW作为SSH服务器。
    • 在接口上启用SSH服务。
    • 配置VTY管理员界面。
    • 创建SSH管理员账号,并指定认证方式和服务方式。
    • 生成本地密钥对。
    • 启用Stelnet服务。
    • 配置SSH服务参数。
  2. 配置管理员PC作为SSH客户端。
    • 配置管理员PC的IP地址。
    • 安装PuTTY工具软件。
    • 使用PuTTY工具软件以SSH方式登录FW。

假设接口和管理员PC的IP地址、安全区域、路由、安全策略已经配置完成。在此基础上,本举例只介绍管理员相关内容。

操作步骤
  1. 配置FW。
    1. 在GigabitEthernet 0/0/3接口上启用SSH服务。 

      <span style="color:#333333"><span style="background-color:#dddddd"><FW> <strong id="ZH-CN_TASK_0178921723__b1608973303181321">system-view</strong>
[FW] <strong id="ZH-CN_TASK_0178921723__b1523087923181321">interface GigabitEthernet 0/0/3</strong>
[FW-GigabitEthernet0/0/3] <strong id="ZH-CN_TASK_0178921723__b1316302197181321">service-manage enable</strong>
[FW-GigabitEthernet0/0/3] <strong id="ZH-CN_TASK_0178921723__b1460610811181321">service-manage ssh permit</strong>
[FW-GigabitEthernet0/0/3] <strong id="ZH-CN_TASK_0178921723__b90676059181321">quit</strong></span></span>

    2. 配置验证方式为AAA。 

      <span style="color:#333333"><span style="background-color:#dddddd">[FW] <strong id="ZH-CN_TASK_0178921723__b1612846714181321">user-interface vty 0 4</strong>
[FW-ui-vty0-4] <strong id="ZH-CN_TASK_0178921723__b401740484181321">authentication-mode aaa</strong>
[FW-ui-vty0-4] <strong id="ZH-CN_TASK_0178921723__b1755155071181321">protocol inbound ssh</strong>
[FW-ui-vty0-4] <strong id="ZH-CN_TASK_0178921723__b873230684181321">user privilege level 3</strong>
[FW-ui-vty0-4] <strong id="ZH-CN_TASK_0178921723__b296822867181321">quit</strong></span></span>

    3. 创建SSH管理员账号sshadmin,指定认证方式为Password,服务方式为Stelnet。此处以本地认证方式为例。

      如果采用服务器认证,请先配置认证方案、服务器模板,并在管理员视图下绑定认证方案及服务器模板。具体请参考CLI举例:通过Telnet登录CLI界面(RADIUS服务器认证)CLI举例:通过Telnet登录CLI界面(HWTACACS服务器认证、本地授权)中的配置步骤。

      <span style="color:#333333"><span style="background-color:#dddddd">[FW] <strong id="ZH-CN_TASK_0178921723__b988290808181321">aaa</strong>
[FW-aaa] <strong id="ZH-CN_TASK_0178921723__b1155347379181321">manager-user sshadmin</strong>
[FW-aaa-manager-user-sshadmin] <strong id="ZH-CN_TASK_0178921723__b775715013181321">password</strong>
Enter Password: 
Confirm Password:   
[FW-aaa-manager-user-sshadmin] <strong id="ZH-CN_TASK_0178921723__b148099120181321">service-type ssh</strong>
[FW-aaa-manager-user-sshadmin] <strong id="ZH-CN_TASK_0178921723__b54918327181321">quit</strong>
[FW-aaa] <strong id="ZH-CN_TASK_0178921723__b771135915181321">bind manager-user sshadmin role system-admin</strong>
[FW-aaa] <strong id="ZH-CN_TASK_0178921723__b223027653181321">quit</strong>
[FW] <strong id="ZH-CN_TASK_0178921723__b1192561868181321">ssh authentication-type default password</strong></span></span>

      对于Password认证方式的SSH管理员:如果采用本地认证方式,则SSH管理员的级别由本地配置的管理员级别决定(通过命令bind manager-user manager-name role role-name为管理员账号绑定角色或者通过命令level level配置管理员账号的权限级别);如果采用服务器认证方式,则SSH管理员的级别由服务器返回的授权级别决定,当服务器未返回管理员的授权级别时,则SSH管理员的级别由VTY界面级别决定(通过命令user privilege level level配置管理员界面的级别)。

      为保证管理员能正常登录设备,建议管理员级别不小于3级。

    4. 生成本地密钥对。 

      <span style="color:#333333"><span style="background-color:#dddddd">[FW] <strong id="ZH-CN_TASK_0178921723__b1027658785181321">rsa local-key-pair create</strong>
The key name will be: FW_Host

The range of public key size is (2048 ~ 2048). 
NOTES: If the key modulus is greater than 512, 
        it will take a few minutes.
Input the bits in the modulus[default = 2048]:2048
Generating keys...
.+++++
........................++
....++++
...........++</span></span>

    5. 启用STelnet服务。 

      <span style="color:#333333"><span style="background-color:#dddddd">[FW] <strong id="ZH-CN_TASK_0178921723__b570910392181321">stelnet server enable</strong></span></span>

    6. 配置SSH用户。 

      <span style="color:#333333"><span style="background-color:#dddddd">[FW] <strong id="ZH-CN_TASK_0178921723__b372589145181321">ssh user sshadmin</strong>
[FW] <strong id="ZH-CN_TASK_0178921723__b1012349867181321">ssh user sshadmin authentication-type password</strong>
[FW] <strong id="ZH-CN_TASK_0178921723__b2010403183181321">ssh user sshadmin service-type stelnet</strong></span></span>

    7. 可选:配置SSH服务器参数。

      # 配置SSH服务器服务端口号22,认证超时时间为80秒,认证重试次数为4次,密钥对更新时间为1小时,并启用兼容低版本功能。

      如果SSH默认的协议端口号22发生变更,则service-manage功能不会再对该协议生效,需要额外配置安全策略允许该协议访问设备。

      <span style="color:#333333"><span style="background-color:#dddddd">[FW] <strong id="ZH-CN_TASK_0178921723__b562421294181321">ssh server port 22</strong>
[FW] <strong id="ZH-CN_TASK_0178921723__b142071987181321">ssh server timeout 80</strong>
[FW] <strong id="ZH-CN_TASK_0178921723__b59372810181321">ssh server authentication-retries 4</strong>
[FW] <strong id="ZH-CN_TASK_0178921723__b2063941411181321">ssh server rekey-interval 1</strong>
[FW] <strong id="ZH-CN_TASK_0178921723__b1544136369181321">ssh server compatible-ssh1x enable</strong></span></span>

  2. 配置管理员PC作为SSH客户端。
    1. 配置管理员PC的IP地址/子网掩码为10.2.0.100/255.255.255.0。
    2. 安装PuTTY工具软件,具体步骤略。
    3. 使用PuTTY以STelnet方式登录FW。(下文中以PuTTY0.60为例。)

      1. 打开PuTTY.exe程序,出现如图2所示的界面。在“Host Name(or IP address)”文本框中输入SSH服务器的IP地址。
        图2 输入SSH服务器的IP地址

      2. 在左侧Category目录树单击“Connection > SSH”,出现如图3所示的界面。在“Protocol options”区域中,选择“Preferred SSH protocol version”参数的值为“2”,然后单击“Open”。
        图3 设置SSH协议版本

      3. 第一次登录会出现如图4所示的提示框,单击“是”。
        图4 PuTTY安全提示

      4. 在弹出的登录界面输入SSH账号sshadmin后按回车键,接着输入密码Mydevice@123再按回车键,即可登录到FW。

配置脚本
<span style="color:#333333"><span style="background-color:#dddddd">#         
interface GigabitEthernet0/0/3 
 ip address 10.3.0.1 255.255.255.0  
 service-manage enable
 service-manage ssh permit 
#
user-interface vty 0 4 
 authentication-mode aaa
 user privilege level 3
 protocol inbound ssh
#  
manager-user sshadmin  
 password cipher %@%@fPXYG8r|>17U(MYaBLw0OE<3BRR/*~[B0>uW"^/){U_>wKB=%@%@
 service-type ssh 
 level 15

bind manager-user sshadmin role system-admin
#
stelnet server enable
ssh user sshadmin                                                               
ssh user sshadmin authentication-type password                                  
ssh user sshadmin service-type stelnet                                          
ssh server port 22
ssh server timeout 80
ssh server authentication-retries 4
ssh server rekey-interval 1
ssh server compatible-ssh1x enable
#
return</span></span>
redmond88
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为USG6000防火墙配置合集
qq_43710889的博客
03-03 1万+
文章目录防火墙安全策略实验实验拓扑图实验目的:实验配置:测试:防火墙NAT Server & 源NAT实验源NAT实验实验拓扑端口地址和区域划分1.配置安全区域2.配置安全策略3.配置NAT地址池4.配置NAT策略测试:NAT Server2.配置安全策略3.配置NAT地址池4.配置NAT策略5.配置服务器映射6.服务器配置7.客户端配置测试: 防火墙安全策略实验 实验拓扑图 实验目的: 使得PC1能ping通PC2 实验配置: 1.配置基本的IP地址和所属安全区域。 2.配置域间安全策略。
华为USG6000系列防火墙web配置
03-17
HUAWEI USG6000 V100R001 全图化Web典型配置案例(V4.0).pdf
华为---登录USG6000V防火墙---console、web、telnet、ssh方式登录
lehe99的专栏
12-22 1万+
USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0 //将GigabitEthernet 1/0/0端口添加到信任区域。[USG6000V1-aaa-manager-user-sshuser]service-type ssh web terminal //服务类型为ssh、web、terminal。[USG6000V1-GigabitEthernet0/0/0]service-manage ping permit //启用ping。
华为USG6000E-S12防火墙Key exchange failed.无法SSH解决方案
redmond88的博客
08-07 115
由于目前防火墙算法太新,导致crt和xshell的版本无法登陆,按以下方法解决。四、move 文件到$_install_mod文件夹。一、下载华为本地加载除弱安全算法组件包之外的组件包。二、先改后缀名为.cfg,上传文件到防火墙。三、在用户视图下改后缀名为.mod。六、重新加载ssh安全算法。
HUAWEI USG6000, USG6000E, USG9500, NGFW Module 快速配置指南.pdf
11-25
HUAWEI USG6000, USG6000E, USG9500, NGFW Module 快速配置指南
华为防火墙配置手册
12-12
USG5300 产品文档
华为安全网关 HUAWEI USG6000E 手册.zip
04-14
华为USG6000E安全网关的使用手册,讲解很详细
华为(USG6000, USG6000E, USG9500, NGFW Module)快速配置指南
09-16
HUAWEI USG6000, USG6000E, USG9500, NGFW Module 快速配置指南(旧界面版) HUAWEI USG6000, USG6000E, USG9500, NGFW Module 快速配置指南(新界面版)
华为 USG6000E, USG6000, USG9500, NGFW Module V500, V600 维护宝典
09-16
HUAWEI USG6000E, USG6000, USG9500, NGFW Module V500, V600 维护宝典
华为HUAWEI USG6000E V600R007C00 产品文档
01-23
华为HUAWEI USG6000E V600R007C00 产品文档
华为防火墙 USG6000v 配置详细版.docx
03-19
针对华为ensp模拟软件,为学习者提供USG6000v防火墙详细配置教程以及调试方法供使用者学习,更好的进行模拟实验,帮助了解防火墙配置流程以及技术要领
ssh脚本自动将IP加入华为USG6300防火墙黑名单
05-12
1.从ip.txt文件中取出ip列表。2.将每一个ip设置到防火墙黑名单。3.使用expect自动登录防火墙。4.进入到防火墙系统视图。5.将IP加入到防火墙。6.查看IP黑名单列表。完整代码见附件
华为USG6000防火墙安全策略配置实例(CLI方式)
永远是少年
07-26 1万+
今天给大家介绍华为防火墙的安全策略配置实例。本文采用华为eNSP模拟器,设计了一个USG6000系列防火墙配置实例,并安全要求完成了相应配置。 一、实验拓扑及要求 实验拓扑如上所示,现在要求配置如图所示的实验拓扑图,并配置防火墙安全策略实现: 1、Trust区域可以访问Untrust区域。 2、Trust区域可以访问DMZ区域的lo0,但不能访问其他IP地址。 二、实验配置命令 (一)华为防火墙默认安全策略 在华为系列防火墙中,默认的安全策略根据出入区域的不同而不同,具体如下所示: 1、域内流量。 域内
华为USG6000防火墙基础配置简介
永远是少年
07-25 2万+
今天继续给大家介绍华为USG6000系列防火墙。本文主要介绍华为防火墙的基本配置,主要包括时钟配置、Liscense配置和文件管理相关配置 一、防火墙时钟配置 在生产环境使用防火墙时,最好先对防火墙的时钟进行配置,使其与目前的时间相对应。这样做有以下好处: ①便于查看日志 ②便于排错 ③如果防火墙使用了PKI系列的证书,则必须配置好时间。 防火墙时钟配置有两种方式:一种是手工配置,一种是配置与NTP服务器同步。 手工配置相关命令如下所示: clock timezone beijing add 8 clock
华为设备为(USG6000)的防火墙配置远程管理防火墙最常见的几种方式。
向上的信念
08-28 1万+
如图所示: 1.WEB方式:可以基于图形化管理,更适用于新手配置设备。 2.SSH方式:配置复杂,安全性高,资源占用高,主要适用于对安全性要求比较高的场景,如:通过互联网管理公司网络设备。 3.telnet方式:配置简单,安全性低,更适用于新手配置设备。 一. 配置WEB访问华为防火墙配置防火墙的IP地址,启动接口管理模式,配置为web管理。 [Fw]interface GigabitE...
华为USG6000 防火墙默认设置
yiluyangguang1234的专栏
10-25 1万+
1 防火墙接口默认(永远都是)属于local ,直连设备Ping 防火墙的接口也不能ping通,即使是配置了正确策略的情况下。需要在接口下开启,service-manage ping permit. 2 防火墙区域之间的访问都要配置策略,无论是从低优先级到高优先级还是从高优先级到低优先级。 3 接口下禁止具体的某一项应用(如Ping),在接口下输入:service-manage ping deny...
华为防火墙USG6000通过WEB图形界面配置案例
热门推荐
LiBai'S BLOG
12-02 2万+
华为防火墙USG6000:NAT和NAT Server配置案例网络拓扑图通过WEB方式登录到防火墙登录成功配置防火墙使内网用户通过PAT方式上网配置防火墙使得外网用户能访问企业DMZ区域的FTP服务器(双向nat)内网用户与FTP-Server配置配置代码官方参考文档 网络拓扑图 通过WEB方式登录到防火墙 登录成功 配置防火墙使内网用户通过PAT方式上网 防火墙上新建一个Nat Pool,供内网用户以NAT方式访问外网 配置Nat策略 配置策略,使得trust区域可以访问untrust区域 配
【网络--实验】华为USG6000系列防火墙配置telnet功能
qq_43017750的博客
07-09 6025
一.实验拓扑图 二. 配置步骤 1.配置管理PC <Huawei>system-view # 进入系统视图 [Huawei]sysname Manage-PC #配置系统名称为:Manage-PC [Manage-PC]interface GigabitEthernet 0/0/1 #进入GigabitEthernet 0/0/1
华为设备支持的逻辑接口类型及逻辑接口配置
最新发布
u013669912的博客
08-10 501
USG6000E配置
10-18
USG6000E华为公司推出的一款企业级安全网关产品,主要用于企业网络的安全防护和流量控制。其配置需要根据具体的网络环境和需求进行调整,以下是一个简单的配置示例: 1. 配置基本网络参数 在系统视图下,使用以下命令配置USG6000E的基本网络参数: ``` sysname USG6000E interface GigabitEthernet 0/0/1 ip address 192.168.1.1 24 ``` 2. 配置安全策略 在安全视图下,使用以下命令配置USG6000E的安全策略: ``` security-zone trust security-zone untrust security-policy default permit interzone trust untrust security-policy default deny interzone untrust trust ``` 3. 配置NAT 在NAT视图下,使用以下命令配置USG6000E的NAT: ``` nat address-group 1 192.168.1.2 192.168.1.254 nat policy 1 source zone trust destination zone untrust nat policy 1 action group-id 1 ```***``` ipsec proposal proposal1 esp aes-cbc sha-hmac ipsec policy policy1 isakmp proposal proposal1 ipsec policy policy1 security acl 3000 ipsec policy policy1 action tunnel ipsec policy policy1 tunnel select 1 ipsec policy policy1 tunnel local-address GigabitEthernet 0/0/1 ipsec policy policy1 tunnel remote-address 192.168.2.1 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值