CLI举例:通过STelnet登录CLI界面(本地认证)
介绍如何配置管理员PC作为Stelnet客户端,FW作为Stelnet服务器,在已有业务组网下管理员通过Stelnet以Password认证方式登录到FW的VTY管理员界面。
组网需求
如图1所示,为FW配置一个管理员。要求管理员在管理员PC上通过Stelnet以Password认证方式登录到FW的VTY管理员界面,并对FW进行管理和维护。
数据规划
项目 | 数据 | |
---|---|---|
FW | SSH账号 | sshadmin |
认证方式 | Password | |
密码 | Mydevice@123 | |
服务方式 | Stelnet | |
管理员PC | SSH客户端软件:PuTTY软件(Windows XP系统),PuTTY软件包括STelnet等多用途客户端PuTTY工具和SFTP客户端PSFTP工具。 |
配置思路
- 配置FW作为SSH服务器。
- 在接口上启用SSH服务。
- 配置VTY管理员界面。
- 创建SSH管理员账号,并指定认证方式和服务方式。
- 生成本地密钥对。
- 启用Stelnet服务。
- 配置SSH服务参数。
- 配置管理员PC作为SSH客户端。
- 配置管理员PC的IP地址。
- 安装PuTTY工具软件。
- 使用PuTTY工具软件以SSH方式登录FW。
假设接口和管理员PC的IP地址、安全区域、路由、安全策略已经配置完成。在此基础上,本举例只介绍管理员相关内容。
操作步骤
- 配置FW。
- 在GigabitEthernet 0/0/3接口上启用SSH服务。
<span style="color:#333333"><span style="background-color:#dddddd"><FW> <strong id="ZH-CN_TASK_0178921723__b1608973303181321">system-view</strong> [FW] <strong id="ZH-CN_TASK_0178921723__b1523087923181321">interface GigabitEthernet 0/0/3</strong> [FW-GigabitEthernet0/0/3] <strong id="ZH-CN_TASK_0178921723__b1316302197181321">service-manage enable</strong> [FW-GigabitEthernet0/0/3] <strong id="ZH-CN_TASK_0178921723__b1460610811181321">service-manage ssh permit</strong> [FW-GigabitEthernet0/0/3] <strong id="ZH-CN_TASK_0178921723__b90676059181321">quit</strong></span></span>
- 配置验证方式为AAA。
<span style="color:#333333"><span style="background-color:#dddddd">[FW] <strong id="ZH-CN_TASK_0178921723__b1612846714181321">user-interface vty 0 4</strong> [FW-ui-vty0-4] <strong id="ZH-CN_TASK_0178921723__b401740484181321">authentication-mode aaa</strong> [FW-ui-vty0-4] <strong id="ZH-CN_TASK_0178921723__b1755155071181321">protocol inbound ssh</strong> [FW-ui-vty0-4] <strong id="ZH-CN_TASK_0178921723__b873230684181321">user privilege level 3</strong> [FW-ui-vty0-4] <strong id="ZH-CN_TASK_0178921723__b296822867181321">quit</strong></span></span>
- 创建SSH管理员账号sshadmin,指定认证方式为Password,服务方式为Stelnet。此处以本地认证方式为例。
如果采用服务器认证,请先配置认证方案、服务器模板,并在管理员视图下绑定认证方案及服务器模板。具体请参考CLI举例:通过Telnet登录CLI界面(RADIUS服务器认证)、CLI举例:通过Telnet登录CLI界面(HWTACACS服务器认证、本地授权)中的配置步骤。
<span style="color:#333333"><span style="background-color:#dddddd">[FW] <strong id="ZH-CN_TASK_0178921723__b988290808181321">aaa</strong> [FW-aaa] <strong id="ZH-CN_TASK_0178921723__b1155347379181321">manager-user sshadmin</strong> [FW-aaa-manager-user-sshadmin] <strong id="ZH-CN_TASK_0178921723__b775715013181321">password</strong> Enter Password: Confirm Password: [FW-aaa-manager-user-sshadmin] <strong id="ZH-CN_TASK_0178921723__b148099120181321">service-type ssh</strong> [FW-aaa-manager-user-sshadmin] <strong id="ZH-CN_TASK_0178921723__b54918327181321">quit</strong> [FW-aaa] <strong id="ZH-CN_TASK_0178921723__b771135915181321">bind manager-user sshadmin role system-admin</strong> [FW-aaa] <strong id="ZH-CN_TASK_0178921723__b223027653181321">quit</strong> [FW] <strong id="ZH-CN_TASK_0178921723__b1192561868181321">ssh authentication-type default password</strong></span></span>
对于Password认证方式的SSH管理员:如果采用本地认证方式,则SSH管理员的级别由本地配置的管理员级别决定(通过命令bind manager-user manager-name role role-name为管理员账号绑定角色或者通过命令level level配置管理员账号的权限级别);如果采用服务器认证方式,则SSH管理员的级别由服务器返回的授权级别决定,当服务器未返回管理员的授权级别时,则SSH管理员的级别由VTY界面级别决定(通过命令user privilege level level配置管理员界面的级别)。
为保证管理员能正常登录设备,建议管理员级别不小于3级。
- 生成本地密钥对。
<span style="color:#333333"><span style="background-color:#dddddd">[FW] <strong id="ZH-CN_TASK_0178921723__b1027658785181321">rsa local-key-pair create</strong> The key name will be: FW_Host The range of public key size is (2048 ~ 2048). NOTES: If the key modulus is greater than 512, it will take a few minutes. Input the bits in the modulus[default = 2048]:2048 Generating keys... .+++++ ........................++ ....++++ ...........++</span></span>
- 启用STelnet服务。
<span style="color:#333333"><span style="background-color:#dddddd">[FW] <strong id="ZH-CN_TASK_0178921723__b570910392181321">stelnet server enable</strong></span></span>
- 配置SSH用户。
<span style="color:#333333"><span style="background-color:#dddddd">[FW] <strong id="ZH-CN_TASK_0178921723__b372589145181321">ssh user sshadmin</strong> [FW] <strong id="ZH-CN_TASK_0178921723__b1012349867181321">ssh user sshadmin authentication-type password</strong> [FW] <strong id="ZH-CN_TASK_0178921723__b2010403183181321">ssh user sshadmin service-type stelnet</strong></span></span>
- 可选:配置SSH服务器参数。
# 配置SSH服务器服务端口号22,认证超时时间为80秒,认证重试次数为4次,密钥对更新时间为1小时,并启用兼容低版本功能。
如果SSH默认的协议端口号22发生变更,则service-manage功能不会再对该协议生效,需要额外配置安全策略允许该协议访问设备。
<span style="color:#333333"><span style="background-color:#dddddd">[FW] <strong id="ZH-CN_TASK_0178921723__b562421294181321">ssh server port 22</strong> [FW] <strong id="ZH-CN_TASK_0178921723__b142071987181321">ssh server timeout 80</strong> [FW] <strong id="ZH-CN_TASK_0178921723__b59372810181321">ssh server authentication-retries 4</strong> [FW] <strong id="ZH-CN_TASK_0178921723__b2063941411181321">ssh server rekey-interval 1</strong> [FW] <strong id="ZH-CN_TASK_0178921723__b1544136369181321">ssh server compatible-ssh1x enable</strong></span></span>
- 在GigabitEthernet 0/0/3接口上启用SSH服务。
- 配置管理员PC作为SSH客户端。
- 配置管理员PC的IP地址/子网掩码为10.2.0.100/255.255.255.0。
- 安装PuTTY工具软件,具体步骤略。
- 使用PuTTY以STelnet方式登录FW。(下文中以PuTTY0.60为例。)
配置脚本
<span style="color:#333333"><span style="background-color:#dddddd">#
interface GigabitEthernet0/0/3
ip address 10.3.0.1 255.255.255.0
service-manage enable
service-manage ssh permit
#
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
#
manager-user sshadmin
password cipher %@%@fPXYG8r|>17U(MYaBLw0OE<3BRR/*~[B0>uW"^/){U_>wKB=%@%@
service-type ssh
level 15
bind manager-user sshadmin role system-admin
#
stelnet server enable
ssh user sshadmin
ssh user sshadmin authentication-type password
ssh user sshadmin service-type stelnet
ssh server port 22
ssh server timeout 80
ssh server authentication-retries 4
ssh server rekey-interval 1
ssh server compatible-ssh1x enable
#
return</span></span>