所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
E600 V200R010C00 配置指南-基础配置

本文档介绍了如何使用命令行接口、如何登录设备,以及文件操作、系统启动等功能的配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
(可选)从当前设备STelnet登录到其他设备

(可选)从当前设备STelnet登录到其他设备

介绍从当前设备STelnet登录到其他设备的配置过程。

背景信息

设备不仅支持作为STelnet服务器,设备还支持作为客户端通过STelnet登录其他设备。在用户终端软件功能不全,或者没有直接到达目标设备的路由时,可以先登录到某台中间设备上,再从中间设备上STelnet登录到目标设备,此时中间设备就充当了STelnet客户端的功能。

图4-6所示,用户PC通过网络1与设备相连,设备通过网络2与目标设备相连,PC不能直接与目标设备通信。可以将设备作为STelnet客户端,目标设备作为STelnet服务器,实现通过中间设备STelnet登录到目标设备。
图4-6  设备作为STelnet客户端登录到其他设备示意图

前置任务

在配置设备作为STelnet客户端登录其他设备之前,需完成以下任务:

  • 已从终端成功登录到本设备。
  • 本设备与STelnet服务器之间路由可达。
  • STelnet服务器端已开启STelnet服务器功能。
  • 获取STelnet服务器端配置的SSH用户名、密码、服务器密钥和端口号。

操作步骤

  1. 在设备上生成本地密钥对作为客户端密钥。

    作为STelnet客户端访问SSH服务器时,设备最多可以保存20个公钥,即最多可同时登录20台SSH服务器。通过display ssh server-info命令查看本设备保存的客户端公钥个数。如果公钥达到20个后,还需继续登录其他SSH服务器,可以通过undo ssh client servername assign { rsa-key | dsa-key | ecc-key }命令删除之前保存的公钥。但是需注意删除公钥后,下次登录对应的服务器会失败(已建立的连接不受影响)。

    1. 执行命令system-view,进入系统视图。

    2. 执行命令rsa local-key-pair createdsa local-key-pair createecc local-key-pair create,生成本地RSA、DSA或ECC密钥对。生成的密钥对类型需与服务器密钥对一致。

      密钥对生成后,可以执行display rsa local-key-pair publicdisplay dsa local-key-pair publicdisplay ecc local-key-pair public命令查看RSA、DSA或ECC密钥对中的公钥部分信息,然后将公钥配置到SSH服务器上,配置方法请参见配置SSH用户

    3. 执行命令quit,退出至用户视图。

  2. 配置设备首次连接SSH服务器的方式。

    作为客户端的设备首次连接SSH服务器时,因为客户端还没有保存过SSH服务器的公钥,无法对SSH服务器有效性进行检查,这样会导致连接不成功。可以通过下面两种方式来解决:

    • 使能SSH客户端首次认证功能方式:首次连接时不对SSH服务器的公钥进行有效性检查,确保首次连接成功。成功连接后,系统自动保存服务器的公钥,以便后续连接时对服务器进行认证。
      1. 执行命令system-view,进入系统视图。

      2. 执行命令ssh client first-time enable,使能SSH客户端首次认证功能。

        缺省情况下,SSH客户端首次认证功能是关闭的。

    • SSH客户端为SSH服务器分配公钥方式:将服务器端产生的公钥直接保存至客户端,保证在首次连接时SSH服务器有效性检查能够通过。
      1. 执行命令system-view,进入系统视图。

      2. 执行命令rsa peer-public-key key-name [ encoding-type { der | openssh | pem } ]dsa peer-public-key key-name encoding-type { der | openssh | pem }或ecc peer-public-key key-name encoding-type { der | openssh | pem },进入RSA、DSA或ECC公共密钥视图。

        具体应该执行哪条命令,由服务器的密钥类型决定,例如服务器的密钥为DSA密钥,则执行dsa peer-public-key key-name encoding-type { der | openssh | pem }命令进入DSA公共密钥视图。

      3. 执行命令public-key-code begin,进入公共密钥编辑视图。

      4. 输入服务器密钥的公钥部分。

        输入的公钥必须是按公钥格式编码的十六进制字符串,由SSH服务器随机生成。

        进入公共密钥编辑视图后,即可将服务器上产生的RSA、DSA或ECC公钥输入到客户端。

      5. 执行命令public-key-code end,退出公共密钥编辑视图。

      6. 执行命令peer-public-key end,退出公共密钥视图。
      7. 执行命令ssh client servername assign { rsa-key | dsa-key | ecc-key } key-name,为SSH服务器绑定RSA、DSA或ECC密钥。
        说明:

        如果SSH客户端保存的SSH服务器公钥失效,执行命令undo ssh client servername assign { rsa-key | dsa-key | ecc-key },取消SSH服务器与RSA、DSA或ECC公钥的绑定关系,再执行本命令,为SSH服务器重新分配RSA、DSA或ECC公钥。

  3. (可选)执行命令ssh client key-exchange { dh_group_exchange_sha1 | dh_group14_sha1 | dh_group1_sha1 } *,配置SSH客户端上的密钥交换算法列表。

    缺省情况下,SSH客户端支持所有的密钥交换算法。

    说明:

    其中dh_group14_sha1dh_group1_sha1为弱安全的密钥交换算法,建议不配置到密钥交换算法列表中。

  4. (可选)执行命令ssh client cipher { 3des_cbc | aes128_cbc | aes128_ctr | aes256_cbc | aes256_ctr | des_cbc } *,配置SSH客户端上的加密算法列表。

    缺省情况下,SSH客户端支持的加密算法为3DES_CBC、AES128_CBC、AES256_CBC、AES128_CTR和AES256_CTR。

    说明:

    其中des_cbc3des_cbc为弱安全的加密算法,建议不配置到加密算法列表中。

  5. (可选)执行命令ssh client hmac { md5 | md5_96 | sha1 | sha1_96 | sha2_256 | sha2_256_96 } *,配置SSH客户端上的校验算法列表。

    缺省情况下,SSH客户端支持所有的校验算法列表。

    说明:

    其中md5、sha1、md5_96、sha1_96和sha2_256_96为弱安全的HMAC算法,建议不配置到校验算法列表中。

  6. 登录其他设备。

    • IPv4方式:执行命令stelnet host-ip [ port-number ] [ [ identity-key { dsa | rsa | ecc } ] | [ user-identity-key { rsa | dsa | ecc } ] | [ prefer_kex prefer_key-exchange ] | [ prefer_ctos_cipher prefer_ctos_cipher ] | [ prefer_stoc_cipher prefer_stoc_cipher ] | [ prefer_ctos_hmac prefer_ctos_hmac ] | [ prefer_stoc_hmac prefer_stoc_hmac ] | [ -ki aliveinterval ] | [ -kc alivecountmax ] ] *,登录到其他设备上。
    • IPv6方式:执行命令stelnet ipv6 host-ipv6 [ -oi interface-type interface-number ] [ port-number ] [ [ identity-key { dsa | rsa | ecc } ] | [ user-identity-key { rsa | dsa | ecc } ] | [ prefer_kex prefer_key-exchange ] | [ prefer_ctos_cipher prefer_ctos_cipher ] | [ prefer_stoc_cipher prefer_stoc_cipher ] | [ prefer_ctos_hmac prefer_ctos_hmac ] | [ prefer_stoc_hmac prefer_stoc_hmac ] | [ -ki aliveinterval ] | [ -kc alivecountmax ] ] *,登录到其他设备上。

    根据网络地址类型不同,选择其中一种。

    只有当服务器正在尝试连接的端口号是22时,STelnet客户端登录时可以不指定端口号,否则如果是其他端口号,STelnet客户端登录时必须指定端口号。

    STelnet客户端登录SSH服务器时可以携带源IP地址,选择密钥交换算法、加密算法和HMAC算法以及设置Keepalive功能。

    说明:

    在使用中需要注意,DES、3DES、MD5、MD5_96、SHA1、SHA1_96、SHA2_256和SHA2_256_96属于不安全的加密算法,建议使用AES128或AES256加密算法。

检查配置结果

  • 执行display ssh server-info命令,在SSH客户端查看所有SSH服务器与公钥之间的对应关系。
下载文档
更新时间:2018-10-24

文档编号:EDOC1000141359

浏览量:22785

下载量:49

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页