华为、华三H3C、锐捷、迈普交换机配置SSH

华为交换机配置ssh登录

    注意，当你是telnet登录后，在新增ssh user这个的时后不可以telnet 是的用户，要使用 rsa local-key-pair creat后的新增用户ssh user **** 才可以成功

    配置完成后记得保存，使用ssh登录测试，不要着急删除当前telnet用户，确保成功后在删除

    理解下SSH登录的过程：

    1、建立目的端口为22的TCP连接

    2、协商SSH版本

    3、协商密钥和算法

    4、会话建立

    下面为server端的详细配置步骤：

    1、 首先开启ssh服务

      stelent server enable

    2、创建本地RSA密钥对

     rsa local-key-pair creat  //产生RSA本地密钥对

    3、配置vty界面支持的登录协议

       user-interface vty 0 4

       authentication-mode aaa    //验证方式为aaa

       protocol inbound {ssh|all} //这里选择ssh或ALL都可最好选择ssh

    4、进入aaa模式配置用户和用户权限以及登录方式

    aaa
      local-user xxk1（用户名） password cipher 123456789（密码）
      local-user xxk1（用户名） privilege level 15
      local-user xxk1（用户名） service-type ssh

    5、ssh添加用户       

     ssh user xxk1（用户名） # 有的用户设置个不一定成功直接尝试输入下面这一条
     ssh user xxk1（用户名） authentication-type password
     ssh user xxk1（用户名） service-type stelnet

    #如果ssh user xxk1 service-type stelnet不一定有，上面第3、(protocol inbound {ssh|all} )最后这条配置成功就好 protocol inbound

    需要注意的是：新版本的交换机需要指定一个源地址登录设备，可以指定all或固定的vlanif接口地址（server-source all-interface）或者直接输入这条命令ssh server-source all-interface

    原因解释：

    正确配置SSH后不能正常登陆的原因是由于华为交换机高版本系统默认情况下禁止从所有接口远程登陆；即默认情况下，交换机中存在着以下命令：

    undo ssh server-source all-interface

    此条命令的意思为，交换机的所有接口拒绝SSH登陆；

    解决方法：

    在交换机上输入命令：ssh server-source all-interface

    上面的命令表示交换机的所有接口都允许SSH远程接入；也可以指定只允许交换机的特定接口远程接入：ssh server-source -i interface-type interface-number;-i 表示只允许IPV4接入

    注意，只允许特定接口接入SSH时，客户端必须要能访问到此接口的IP地址。

------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------
H3C交换机配置SSH

    h3c v5交换机配置ssh

    SSH配置

    1、生成RSA和DSA密钥对

    [H3C]public-key local create rsa
    [H3C]public-key local create dsa
    2、开启ssh服务

    [H3C]ssh server enable
    [H3C]user-interface vty 0 15
    [H3C-ui-vty0-15]authentication-mode scheme
    [H3C-ui-vty0-15] protocol inbound ssh
    3、创建用户 创建用户admin，设置认证密码admin， 登录协议为SSH，能访问的命令级别为level 3。
    [H3C]local-user admin class manage

    [H3C-luser-admin]password simple admin
    4，定义登录协议

    [H3C-luser-admin]service-type ssh
    5、创建用户级别

    [H3C-luser-admin]authorization-attribute level 3
    [H3C-luser-admin]quit
    [H3C]ssh user admin service-type all authentication-type password

    [H3C]save //保存退出
-----------------------------------------------------    
    
    h3c v7交换机配置ssh

    1、生成RSA和DSA密钥对

    [H3C]public-key local create rsa
    [H3C]public-key local create dsa
    2、开启ssh服务 并设置用户接口上的认证模式为AAA，并让用户接口支持SSH协议

    [H3C]ssh server enable
    [H3C]user-interface vty 0 63
    [H3C-ui-vty0-15]authentication-mode scheme
    [H3C-ui-vty0-15] protocol inbound ssh
    3、创建用户

    创建用户admin，设置认证密码admin，登录协议为SSH，能访问的命令级别为network-admin。

    [H3C]local-user admin class manage
    [H3C-luser-admin]password simple admin
    4、定义登录协议

    [H3C-luser-admin]service-type ssh
    5、创建用户级别

    [H3C-luser-admin]authorization-attribute user-role network-admin
    [H3C-luser-admin]quit
    [H3C]save                   //保存退出
    


H3C SSH报错：客户端保存的服务器公钥和服务器的实际公钥不一致
报错内容：

The server's host key does not match the local cached key. Either the server administrator has changed the host key, or you connected to another server pretending to be this server. Please remove the local cached key, before logging in!

Connection closed.

报错分析：

这个问题是由于客户端保存的服务器公钥和服务器的实际公钥不一致，导致客户端认证服务器身份失败。

问题处理：

1.通过下述方法查看客户端保存的服务器公钥

复制代码
<CN-SXLQ-8-1F101-OFFICE-AGG208.81>dis ssh client server-public-key
 Server address: 10.3.248.179
 Key type: rsa
 Key length: 1024
 Key code:
   AAAAB3NzaC1yc2EAAAADAQABAAAAgQDJB955mzPoyARZjvTfPft8463A8zQVX9Pb
   phg/frMuKHkxQGWcpwU6mSrWiYd+uanGDsi0yB1Wcfo/5xrLIUUKTI0L9yeFetwk
   3fyZZQL0/EC3Gx/q3W2rm3pYTCTgwdWycaZ2IYpY+DBu/Dc7TDSEyHog+1SkslK6
   dCjff46ZSQ==
复制代码
2.通过下述方法删除设备上保存的相应公钥

delete ssh client server-public-key server-ip IP地址
------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------

锐捷交换机配置SSH


    通过使用用户名和密码telnet登陆设备

        配置步骤：

        1）配置管理地址

        Ruijie>enable               ------> 进入特权模式

        Ruijie#configure terminal                    ------> 进入全局配置模式

        Ruijie(config)#interface vlan 1              ------>进入vlan 1接口

        Ruijie(config-if)#ip address 192.168.33.180  255.255.255.0   ------>为vlan 1接口上设置管理ip

        Ruijie(config-if)#exit                ------> 退回到全局配置模式

         

        2)配置telnet密码

        Ruijie(config)#username ruijie password ruijie       ------>  配置用户名和密码

        Ruijie(config)#line vty 0 4               ------> 进入telnet密码配置模式

        Ruijie(config-line)#login local        ------> 配置本地认证

        Ruijie(config-line)#exit                  ------>回到全局配置模式

        Ruijie(config)# enable secret  ruijie  ------>配置进入特权模式的密码为ruijie

        Ruijie(config)#end                      ------> 退出到特权模式

        Ruijie#write                  ------> 确认配置正确，保存配置

----------------------------------------------------------------------------
    SSH配置步骤

        (1)　开启Device和SSH Server设备的SSH服务器功能

        Device> enable

        Device# configure terminal

        Device(Config)# enable service ssh-server

        (2)　SSH server上配置可用于登录的用户。


        # SSH server上配置使用用户名和密码登录。

        SSHServer> enable

        SSHServer# configure terminal

        SSHServer(config)# line vty 0

        SSHServer(config-line)# login local

        SSHServer(config-line)# exit

        SSHServer(config)# username admin password ruijie

        SSHServer(config)# enable password ruijie

        SSHServer(config)# end

        SSHServer# write

         

        (3)　在其他设备上测试使用ssh命令登录到SSH server

        Device> enable

        Device# ssh -l admin 192.168.1.2


------------------------------------------------------------------------------------------------
------------------------------------------------------------------------------------------------

迈普交换机配置SSH


    配置本地用户名和密码：
     配置全部权限的角色：(所有权限的用户，不要给这个用户定义角色)

    local-user maipu class manager
     service-type console ssh telnet
     privilege 15
     password 0 Maipu@123
     exit

    1、配置本地用户名为root；
    2、为用户名root能使用的服务类型：telnet、console、ssh
    3、配置权限级别为15级。
    4、配置用户名的密码为maipu@123；


    domain system
    aaa authentication login local
    aaa author  login local
    exit

    enable password 0 Maipu@123

    1、进入默认的system域里面
    2、开启认证方式为本地认证方式
    3、开启授权方式为本地授权

    1、配置enable密码maipu@123
     
    8.2 配置ssh登录和关闭telnet登录
    ip ssh server
    telnet server disable
    ip ssh server sshv1-compatible
    ssh hostKey length 2048
     
    1、开启ssh服务，默认关闭；
    2、关闭telnet服务，默认开启；
    3、同时支持SSH客户端采用SSHv1和SSHv2登录
    4、用于配置SSH密钥长度为2048
     
    8.3 调用到con和vty下面
    line con 0
    exec-timeout 6 0
    login aaa
    exit
     
    1、定义console模式下空闲超时时间为6分钟；后面的0为秒钟。 (系统默认为5分钟，如果不配置，及五分钟后自动断开)
    2、认证方式为本地认证

    ip access-list standard ACL_VTY
    10 permit x.x.x.x
    commit
    exit

    line vty 0 15
    access-class ACL_VTY in
    exec-timeout 6 0
    protocol input ssh/telnet/all
    login aaa
    exit
     
    1、配置标准ACL，只允许哪些地址有访问权限；（snmp服务器、堡垒机、AAA服务器、日志服务器，以及网管的IP地址等，一定要配置commit，ACL才会生效。）
    2、配置远程登录超时时间为6分钟； (系统默认为5分钟，如果不配置，及五分钟后自动断开)
    3、调用远程登录控制的协议为ssh/telnet/all（三种登陆方式可以自选）  all表示ssh和telnet同时允许。
    4、认证方式为本地认证。

    8.4 更改密码复杂度
    password-control complexity composition type-number 3
    password-control complexity min-length 6
    password-control complexity with user-name-check

    1、配置密码的复杂度：密码的组成元素的组合类型。4组（大写、小写、数字、字符）
    缺省情况下，用户密码组合类型为2，密码中至少包含2 种元素。
    2、配置密码的复杂度：密码最小长度；缺省情况下，用户密码最小长度为6。
    3、配置密码的复杂度：不允许用户名与密码相同。缺省情况下，不允许用户名与密码相同。
    备注：如果觉得太复杂，可以自己更改上面的数字进行调整。

                        
原文链接：https://blog.csdn.net/straul01/article/details/136727417