网络技术SSH工作原理 思科CCIE工程师必读-ielab

于 2020-04-02 21:23:34 发布
阅读量271 收藏 1
点赞数
分类专栏: ccie IE-LAB网络实验室:简单了解vxlan技术(2) it
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spccie/article/details/105279520
版权

作者:ielab-悦然             更新日期2020年4月2日

头条:
网络工程师的实用网络安全技术SSH工作原理 值得收藏
SEO:
网络技术SSH工作原理 思科CCIE工程师必读

        SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。SSH客户端适用于多种平台。


       在整个通讯过程中,为实现SSH的安全连接,服务器端与客户端要经历如下五个阶段:

一、协商阶段:(明文方式传输)

       1、服务器打开端口22,等待客户端连接。

       2、客户端向服务器端发起TCP初始连接请求,TCP连接建立后,服务器向客户端发送第一个报文,包括版本标志字符串,格式为“SSH-<主协议版本号>.<次协议版本号>-<软件版本号>”,协议版本号由主版本号和次版本号组成,软件版本号主要是为调试使用。

       3、客户端收到报文后,解析该数据包,如果服务器端的协议版本号比自己的低,且客户端能支持服务器端的低版本,就使用服务器端的低版本协议号,否则使用自己的协议版本号。

       4、客户端回应服务器一个报文,包含了客户端决定使用的协议版本号。服务器比较客户端发来的版本号,决定是否能同客户端一起工作。

       5、如果协商成功,则进入密钥和算法协商阶段,否则服务器端断开TCP连接。

二、密钥算法协商:
       1、服务器端和客户端分别发送算法协商报文给对端,报文中包含自己支持的公钥算法列表、加密算法列表、MAC(Message Authentication Code,消息验证码)算法列表、压缩算法列表等。

       2、服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法。

       3、服务器端和客户端利用DH交换(Diffie-Hellman Exchange)算法、主机密钥对等参数,生成会话密钥和会话ID。
通过以上步骤,服务器端和客户端就取得了相同的会话密钥和会话ID。对于后续传输的数据,两端都会使用会话密钥进行加密和解密,保证了数据传送的安全。

认证阶段:
       1、客户端向服务器端发送认证请求,认证请求中包含用户名、认证方法、与该认证方法相关的内容(如:password认证时,内容为密码)。

       2、服务器端对客户端进行认证,如果认证失败,则向客户端发送认证失败消息,其中包含可以再次认证的方法列表。

       3、客户端从认证方法列表中选取一种认证方法再次进行认证。

       4、该过程反复进行,直到认证成功或者认证次数达到上限,服务器关闭连接为止。

四、会话请求阶段:
       认证通过后,客户端向服务器发送会话请求。服务器等待并处理客户端的请求。在这个阶段,请求被成功处理后,服务器会向客户端回应SSH_SMSG_SUCCESS包,SSH进入交互会话阶段;否则回应SSH_SMSG_FAILURE包,表示服务器处理请求失败或者不能识别请求。

五、交互阶段
       会话请求成功后,连接进入交互会话阶段。在这个模式下,数据被双向传送。客户端将要执行的命令加密后传给服务器,服务器接收到报文,解密后执行该命令,将执行的结果加密发还给客户端,客户端将接收到的结果解密后显示到终端上。

       在交互阶段,客户端可以通过粘贴文本会话的方式发送要执行的命令,但文本会话不能超过2000字节。如果粘贴的文本会话超过2000字节,可以采用将配置文件上传到服务器,利用新的配置文件重新启动的方式执行这些命令。

ie-lab网络实验室ccie认证之家
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
网工知识角|掌握MPLS协议从这五个方面入手
09-01 309
例如,MPLS VPN 的底层技术为 MPLS,它需要复杂的配置和运维,需要高精度的时钟同步,对网络设备的要求比较高;MPLS VPN 技术可以用于构建企业全网 VPN,通过建立专用网络隧道,实现异地办公、数据传输、语音、视频等多种业务的安全、高效传输,极大地提高了企业的业务效率。总之,MPLS VPN 是一种高效、安全、灵活的网络技术,可以为企业、ISP 等用户提供以标签为基础的 VPN 服务,为用户间的通信建立起可靠的连接,实现了高效的数据传输和安全的通信。三、MPLS VPN的应用有哪些?
博客
网络地址转换NAT-动态NAT的使用范围和配置-思科EI,华为数通
08-25 1556
当具有私有 IP 地址的主机请求访问 Internet 时,动态 NAT 从地址池中选择一个未被其它主机占用的 IP 地址一对一的转化。一般是我们公司内网中有设备需要去访问我们公网,我们就必须要做一个NAT地址转换,把我们私网的IP地址转换成我们公网的IP地址,这时,就需要使用动态NAT了,使用地址池中的公网地址进行IP地址转换,去访问我们的公网,下文是一个例子。是可以使用的地址,作为我们的地址池进行绑定,并给出可以上网的网段信息,可以使用访问控制列表进行过滤。,划出一段地址池,根据拓扑中给出的信息是从。
博客
OSPF在广播类型的网络拓扑中DR和BDR的选举
08-15 1548
按照要求配置,首先正常配置OSPF的基础命令,保证在修改DR和 BDR之前全网互通,配置完成之后再去测试连通性,全部测试完毕之后,修改我们的DR和BDR,查看我们修改之后的DR和BDR设备是否成功达到我们的要求。DR、BDR是终身制,不能被抢占的,这一知识点也是比较奇怪的,我们上面说了DR/BDR是选取出来的,理论上在一个LAN上,应该是优先级最大的路由器被选取为DR的。这时,为了满足要求,让R2成为10.1.1.0 网段的DR,可以修改R2的router-id,改为22.22.22.22。
博客
IELAB-网络工程师的路由答疑10问(2)
08-08 372
DV 型路由协议一般交互的是路由信息,而LS 型路由协议比较特殊,交互的是LSA或者LSP,最终,交互形成LSDB,也就是数据库。路由协议最后比较重要的内容就是我们所说的环路防护和更新安全,一般路由协议都支持MD5的认证方式,以及环路防护的原则,DV型路由协议中水平分割、LS型路由协议通过本身的算法计算出一个无环的树形结构,产生最终的计算结果。因此,对于每一种路由协议而言,如何计算路由信息,采取何种方式进行计算,也就是路由协议采取的算法、度量所选取的参数以及如何计算,就十分钟重要了。
博客
IELAB-网络工程师的路由答疑10问(1)
08-04 306
首先,网络层的作用之一是进行了网络划分,而IP地址的构成也分为网络位以及主机位,网络位的不同,就好比在互联网进行的行政区域划分一样。那么,路由是什么呢?事实上,将数据从数据源转发到目标网络的过程,或者将数据在不同网络中传递的过程,就可以称之为路由。静态路由,通过管理员手工指定的路径,通常来讲,叫做”千金难买我愿意”,不过有节操的管理员,一般都会根据实际情况去部署,而不会随意书写。将数据转发到目标网络的方式,指定从本地某个接口转发出去,或者通过某个下一跳到达目标网络,也就是常说的出接口,下一跳,两种方式。
博客
昨晚技术交流群“炸了”,论搞技术的网络工程师究竟能有多严谨?
06-09 581
昨日在IELAB网络实验室学习交流群中发生了一场“激烈”的争论,原本是同往常一样的答题领红包活动,同学对答案产生了异议,从而和Summer赵老师在群里进行了沟通交流,具体是什么情况呢?再次不死心,使用Bing国际版查询了下,国外也一样两种说法都有,在此也就不贴出来了。能够互相说服的方法,我认为有以下两种方式:一,有没有大神能找到一些开源的交换机程序代码查看一下代码逻辑,二,想法发抓包出来看。终于做完了,花了两个小时左右的时间,更多的时间都花在了查ACCESS接口能不能加TAG上面了。
博客
8个华为设备常用的Python脚本,你都会配置使用吗? -HCIE HCIP HCIA
04-24 969
华为设备可以使用Python脚本用于自动化网络管理和监控,可以帮助网络工程师优化并提高工作效率。、使用脚本配置用户名和密码登录华为设备。、使用脚本可查看本设备的ARP缓存表。、使用脚本可查看设备CPU的使用率。、使用脚本可查看设备端口带宽利用率。、使用脚本可查看设备的VLAN信息。、使用脚本可查看设备的MAC地址表。、使用脚本可查看对应接口的信息。、使用脚本可查看设备接口状态。
博客
网络设备割接—七大步骤
04-18 2512
如果发现问题,需要立即采取相应的应对措施,以确保割接过程的安全和稳定,遇到状况外的情况下,可以选择回退操作,至少需要保证不影响业务和设备的正常运行。在任务中,需要考虑到割接过程中可能出现的问题和风险,并制定相应的应对措施,也需要确定割接的人员、时间和地点。在确定割接方案之前,这些内容是我们需要去了解的,可以有效的帮助到网络工程师了解网络的整体架构,以及哪些设备需要进行割接。需要把操作记录完成,可以帮助其他操作人员了解网络设备和系统的情况,以及割接过程的细节和结果。初步定义需要割接的设备和范围。
博客
网工必知—什么是堡垒机?-CCIE
04-11 1107
堡垒机是一种安全性很高的远程管理方式。它可以帮助企业有效避免内部人员的恶意操作,保障企业的信息安全。
博客
18个基础命令教你轻松拿捏华为设备的各种状态!(下) -HCIE 华为网络工程师
04-03 894
10、display memory-usage process vrp 用来查看当前VRP进程内存占用率的统计信息 命令格式 display memory-usage process vrp [ slave ] 使用示例 <Huawei> display memory-usage process vrp Memory utilization statistics at 2013-07-10 09:55:20 729 ms The current memory of
博客
18个基础命令教你轻松拿捏华为设备的各种状态!-HCIA HCIP
03-27 1228
1、display cpu-usage: 用来查看设备CPU占用率的统计信息 命令格式 <Huawei>display cpu-usage ? configuration Cpu usage configration slot Slot <cr> Please press ENTER to execute command 使用示例 <HUAWEI> display cpu-usage CPU
博客
经常使用思科设备,这十个命令一定是“最常见的熟客”!
03-20 676
当你需要在路由器交换机设备上直接查看抓包信息时,可以使用debug命令,例如,查看OSPF发送的报文信息,可以通过debug ip ospf packet进行查看,由于打开之后会有很多报文出现,所以可以使用no debug命令或undebug all命令关闭此功能。”命令时,我们可以通过它来查询后续的命令,因为我们不可能记住所有的命令,有时候只能记住某个命令的开头,那么这个时候“?”命令就非常好用了。我们在调试思科设备时,会使用各种各样的命令去调试配置,但在每一种命令中,哪些命令使用最频繁你知道吗?
博客
100个网络运维工作者必须知道的小知识!(下)
03-13 562
然而,随着越来越多的设备连接到它,它将无法有效地管理通过它的流量。对于A类,有126个可能的网络和16,777,214个主机对于B类,有16,384个可能的网络和65,534个主机对于C类,有2,097,152个可能的网络和254个主机。相反,将LAN连接到中转网络的网关创建了一个使用IPSec协议来保护通过它的所有通信的虚拟隧道。这样做的主要目的是在一台服务器发生故障的情况下,集群中的下一个服务器将继续进行所有处理。另一个缺点是,当需要在网络的特定部分进行调整和重新配置时,整个网络也必须被暂时关闭。
博客
100个网络运维工作者必须知道的小知识!(上)
03-10 922
这些确保内部网络之间不存在任何冲突,同时私有IP地址的范围同样可重复使用于多个内部网络,因为它们不会“看到”彼此。您可以为计算机分配限制,例如允许访问的资源,或者可以浏览互联网的某一天的特定时间。这是因为互联网上的主机只能看到提供地址转换的计算机上的外部接口的公共IP地址,而不是内部网络上的私有IP地址。不知道正确的IP地址,甚至无法识别网络的物理位置。数据封装是在通过网络传输信息之前将信息分解成更小的可管理块的过程。是一个Windows实用程序,可用于跟踪从路由器到目标网络的数据采集的路由。
博客
网络工程师测试命令排行榜,快来看一看吧! -ccie网络工程师
02-10 731
网络上出现路由环路时,使用Ping命令只能看到超时,而使用Tracert就可以明确看到或发现路由环路等问题,在追踪某IP地址时,如果多次出现相同的地址,即可认为出现了路由环路;比如你想跟踪某一IP地址,想看到具体的跟踪路径地址,就可以使用 Tracert 进行查看,当网络反应慢或该节点被隐藏时,返回的数值就是请求超时。如果超时那么肯定是网络有问题(除被过滤ping的情况),如果延迟太高,网络情况也是有一些问题存在的,所以当出现网络故障的时候,我们就可以用ping命令来进行简单查看。
博客
20个网络工程师必学基础知识点【第二集】
12-28 906
防火墙(Firewall)是位于两个信任程度不同的网络之间(如企业内部网络和Internet之间)的设备,它对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问,以达到保护系统安全的目的。IP地址一共分为5类,A、B、C、D、E类的类别字段分别是二进制数0、10、110、1110、1111,通过网络号码字段的前几个比特就可以判断IP地址属于哪一类,这是区分各类地址最简单的方法。E类地址专门用于特殊的实验目的。不知道正确的 IP 地址,甚至无法识别网络的物理位置。
博客
20个网络工程师必学基础知识点【第一集】-就在IELAB
12-26 1254
子网掩码(subnet mask)又叫网络掩码、地址掩码、子网络遮罩,它用来指明一个IP地址的哪些位标识的是主机所在的子网,以及哪些位标识的是主机的位掩码。局域网就是局部地区形成的一个区域网络,其特点就是分布地区范围有限,可大可小,大到一栋建筑楼 与相邻建筑之间的连接,小到可以是办公室之间的联系。指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。路由器(Router)是连接两个或多个网络的硬件设备,在网络间起网关的作用,是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。
博客
常用的网络号端口大全,网工必备-EICCIE,SPCCIE
12-19 1522
入侵者的帐户被关闭,他们需要连接到高带宽的E-MAIL服务器上,将简单的信息传递到不同的地址。说明:这是一种仅仅发送字符的服务。大多数对这个端口的扫描是基于UDP的,但是基于TCP的mountd有所增加(mountd同时运行于两个端口)。记住mountd可运行于任何端口(到底是哪个端口,需要在端口111做portmap查询),只是Linux默认端口是635,就像NFS通常运行于2049端口。记住:一种LINUX蠕虫(admv0rm)会通过这个端口繁殖,因此许多这个端口的扫描来自不知情的已经被感染的用户。
博客
常用的模拟器全集 网工必备-网络工程师(思科,华为)
12-06 2235
1 gns3GNS3是想要通过CCNA,CCNP等Cisco认证考试的相关人士可以通过它来完成相关的实验模拟的网络虚拟软件。2 enspENSP是华为提供的网络仿真工具平台,让用户在没有真实设备的情况下能够模拟演练,学习网络技术。3 EVEEVE是仿真虚拟环境,能够模拟华为、思科等厂商设备,可以重现和改进真实网络架构,从而要求并计划正确的设计来验证解决方案4 Cisco Packet TracerCisco Packet Tracer 是Cisco公司发布的一个辅助学习工具,为初学者去设计、配置、排除网络故
博客
Linux基础必备的100 个命令,你都知道吗?
12-06 3556
Linux,全称GNU/Linux,是一种免费使用和自由传播的类UNIX操作系统,是一个基于POSIX的多用户、多任务、支持多线程和多CPU的操作系统。它能运行主要的Unix工具软件、应用程序和网络协议。它支持32位和64位硬件。Linux继承了Unix以网络为核心的设计思想,是一个性能稳定的多用户网络操作系统。 命令功能说明线上查询及帮助命令man查看命令帮助,命令的词典,更复杂的还有 info,但不常用。help查看 Linux 内置命令的帮助,比如 cd 命令。文件和目录操作命令ls全拼 list,

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值