华为网络篇使用SSH方式登陆路由器-06

最新推荐文章于 2024-07-23 23:26:02 发布

公子绝

最新推荐文章于 2024-07-23 23:26:02 发布

阅读量5.3k

点赞数 3

分类专栏：华为路由交换文章标签： ssh 使用ssh方式登陆华为路由器华为SSH登陆路由器

本文链接：https://blog.csdn.net/weixin_37171673/article/details/115324360

版权

华为路由交换专栏收录该内容

32 篇文章 20 订阅

订阅专栏

实验难度	2
实验复杂度	3

一、实验原理

在使用telnet的方式登陆路由器时，数据的传输是明文传输的，它的验证数据容易被一些别有用心的人通过抓包来抓取，所以telnet这种登陆方式相对来说不够安全。telnet缺少了安全的认证方式，在传输过程中使用TCP明文传输，存在比较大的安全隐患，若只是使用这种方式验证身份的话，很容易受到主机IP地址欺骗、路由欺骗等恶意攻击。现在，明文传输密码与数据的方式（如telnet与FTP）已经慢慢被淘汰了。如今，我们可以使用SSH（Secure Shell）协议来传输相关的数据，在传输的过程中，所有的数据都不是明文传输的。Telnet是基于TCP的23号端口进行传输的，而SSH是基于TCP的22号端口进行传输的。SFTP（Secure File Transfer Protocol）是FTP的升级版本，它为传输数据提供了安全保障。

一般地，远程登陆的虚拟接口范围有0到15，一共16个，其中0表示第一个虚拟接口，1表示第二个虚拟接口，以此类推。通常，是0到4的范围接口是处于活动接口，也就是说，我们这时是配置了可以同时允许5个VTY连接，当然我们配置的时候也经常进入一组接口进行配置的。在这里不得不提一个用户级别的概念，这个用户级别（也叫用户权限级别）一共有16个，范围为0-15，一般地，我们通过telnet登录的用户，在刚登录后的权限就是0，也就是在用户视图界面。默认情况下，用户级别在3级以上就可以操作设备上的所有命令。我们可以使用命令local-user ssk privilege level *来修改用户权限，ssk表示用户名，*表示权限的范围。

二、实验拓扑

三、实验步骤

1.搭建如图网络拓扑；

2.命名设备AR1为R1，AR2为R2，console超时时间为永久，配置相应的IP地址，测试直连网络的连通性；

3.在R2上配置用户名/密码为sec/hcie，配置VTY的验证方式为用户名与密码，测试telnet的功能并抓包查看Telnet传输的数据包；

4.在R2生成RSA主机密钥对，在VTY接口上启用aaa认证方式，并且只允许ssh的登陆方式进行身份验证，配置本地用户的接入类型为SSH；

5.新建SSH用户名为ssk，密码为hcie，用户权限级别为15；

6.使用ssh user命令新建SSH用户，用户名为ssk，认证方式为password；

7.在R2上开启SSH功能，查看R2的SSH服务器状态；

8.在R1上配置SSH客户端，测试效果。

9.在R2上开启SFTP服务器功能，在R1上进行测试。

四、实验过程

1.搭建如图网络拓扑；

略。

2.命名设备AR1为R1，AR2为R2，console超时时间为永久，配置相应的IP地址，测试直连网络的连通性；

测试：

3.在R2上配置用户名/密码为sec/hcie，配置VTY的验证方式为用户名与密码，测试telnet的功能并抓包查看Telnet传输的数据包；

（1）在R2上配置用户名/密码为sec/hcie

（2）配置VTY的验证方式为用户名与密码

（3）测试telnet的功能并抓包查看Telnet传输的数据包

抓取的数据报文：

现在我们可以看到抓取到的telnet的认证账号与密码，这个方式的认证是不安全的，所以我们就使用了一种更加安全的SSH的登陆方式。

4.在R2生成RSA主机密钥对，在VTY接口上启用aaa认证方式，并且只允许ssh的登陆方式进行身份验证，配置本地用户的接入类型为SSH；

查看RSA密钥对的生成情况：

5.新建SSH用户名为ssk，密码hcie，用户权限级别为15；

6.使用ssh user命令新建SSH用户，用户名为ssk，认证方式为password；

7.在R2上开启SSH功能，查看R2的SSH服务器状态；

效果：

8.在R1上配置SSH客户端；

测试效果。

这里可以看到ssh服务器的当前会话信息，这时连接到SSH服务器的用户端为ssk，是第一个用户（VTY 0），采用认证的方式为密码

9.在R2上开启SFTP服务器功能，在R1上进行测试。

测试：

代码解析

[R2]rsa local-key-pair create //产生RSA密钥对

[R2]user-interface vty 0 4 //进入一组VTY接口（0-4）
[R2-ui-vty0-4]authentication-mode aaa //启用VTY验证方式为aaa
[R2-ui-vty0-4]protocol inbound ssh //只采用ssh协议登陆，这里是不允许使用telnet的

[R2-aaa]display rsa local-key-pair public //查看RSA密钥对的生成情况

[R2-aaa]local-user ssk service-type ssh //配置本地用户的接入类型为ssh

[R2-aaa]local-user ssk password cipher hcie privilege level 15 //配置本地用户名为ssk，密码为hcie，用户的权限级别为15

[R2]ssh user ssk authentication-type password //新建SSH用户，用户名为ssk，认证方式为password

[R2]stelnet server enable //开启SSH服务器功能

[R2]display ssh server status //查看SSH服务器全局配置信息

[R1]ssh client first-time enable //开启SSH客户端功能，注意，当SSH用户端首次登录SSH服务器时，因为用户端没有保存SSH服务器的RSA公钥，所以会对服务器的RSA有效性公钥检查失败，从而导致登录服务器失败。为了解决这个问题，我们可以在客户端开启SSH首次认证功能，这样就不会对SSH服务器的RSA公钥进行有效性检查了

[R2]display ssh server session //查看SSH服务器的当前会话信息

[R2]sftp server enable //开启SFTP服务器功能