所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
CloudEngine 8800, 7800, 6800, 5800 V200R003C00 配置指南-网络管理与监控

本文档介绍了网络管理与监控的配置,具体包括SNMP配置、RMON配置、NETCONF配置、OpenFlow Agent配置、LLDP配置、NQA配置、镜像配置、报文捕获配置、路径/连通性探测配置、NetStream配置、sFlow配置和iPCA配置。

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置SSH

配置SSH

背景信息

NETCONF协议必须使用SSH作为其承载协议,在使用NETCONF协议对网络设备进行管理前,必须先配置SSH。

操作步骤

  • 配置SSH服务器功能及参数

    表3-7 配置SSH服务器功能及参数
    操作步骤 命令 说明

    进入系统视图

    system-view

    -

    生成本地密钥对

    方式一:

    执行命令rsa local-key-pair createdsa local-key-pair createecc local-key-pair create,生成本地RSA、DSA或ECC密钥对。

    方式二:
    1. 执行命令rsa key-pair label label-name [ modulus modulus-bits ]、dsa key-pair label label-name [ modulus modulus-bits ]或ecc key-pair label label-name [ modulus modulus-bits ],生成带标签的RSA、DSA或ECC密钥对。

    2. 执行命令ssh server assign { rsa-host-key | dsa-host-key | ecc-host-key } label-name,为SSH服务器分配RSA主机密钥、RSA服务器密钥、DSA主机密钥或ECC主机密钥。
    说明:
    • 方式二可以最多生成20对密钥对,用户可以在不同时期使用不同的密钥对,更好地确保了通信的安全性。设备最多可生成的密钥对数,可以通过rsa key-pair maximumdsa key-pair maximumecc key-pair maximum命令配置。

    • 用户也可以执行命令rsa key-pair label load private private-key public public-keydsa key-pair label load private private-key public public-key,将本地RSA密钥对文件或DSA密钥对文件加载到服务器。

    对于方式一:

    密钥对生成后,可以执行display rsa local-key-pair publicdisplay dsa local-key-pair publicdisplay ecc local-key-pair public命令查看本地密钥对中RSA、DSA或ECC的公钥信息。

    对于方式二:
    密钥对生成后,可以执行display rsa key-pair [ brief | label label-name ]、display dsa key-pair [ brief | label label-name ]或display ecc key-pair [ brief | label label-name ]命令查看带标签的RSA、DSA或ECC密钥对信息。
    说明:

    密钥对长度越大,密钥对安全性就越好,建议使用最大的密钥对长度。

    (可选)配置SSH服务器端的密钥交换算法列表

    ssh server key-exchange { dh_group14_sha1 | dh_group1_sha1 | dh_group_exchange_sha1 | dh_group_exchange_sha256 | ecdh_sha2_nistp256 | ecdh_sha2_nistp384 | ecdh_sha2_nistp521 | sm2_kep } *

    缺省情况下:
    • 当设备以空配置启动时,SSH服务器端的密钥交换算法为dh_group_exchange_sha1、dh_group_exchange_sha256、ecdh_sha2_nistp256、ecdh_sha2_nistp384、ecdh_sha2_nistp521和sm2_kep;

    • 当设备加载配置文件启动时(比如采用ZTP方式加载配置文件进行初始配置),且配置文件中不存在ssh server key-exchange的配置时,SSH服务器支持所有的密钥交换算法。

    在客户端与服务器协商的过程中,二者对报文传输的密钥交换算法进行协商,服务器端根据客户端发来的密钥交换算法列表与自身的密钥交换算法列表进行对比,选择客户端与自己相匹配的第一个密钥交换算法作为报文传输的密钥交换算法,如果客户端的密钥交换算法列表与服务器端的密钥交换算法列表没有相匹配的算法,则协商失败。
    说明:

    当服务器上的公钥算法为ecc时,系统的首选交换算法必须是sm2_kep。

    (可选)配置SSH服务器端的加密算法列表

    ssh server cipher { des_cbc | 3des_cbc | aes128_cbc | aes256_cbc | aes128_ctr | aes256_ctr | arcfour128 | arcfour256 | aes192_cbc | aes192_ctr | aes128_gcm | aes256_gcm | blowfish_cbc } *

    缺省情况下,
    • 当设备以空配置启动时,SSH服务器端的加密算法为AES256_CTR和AES128_CTR;

    • 当设备加载配置文件启动时(比如采用ZTP方式加载配置文件进行初始配置),且配置文件中不存在ssh server cipher的配置时,则SSH服务器支持的加密算法为3DES_CBC、AES128_CBC、AES256_CBC、AES128_CTR、AES192_CTR、AES128_GCM、AES256_GCM、AES256_CTR、Arcfour128和Arcfour256。

    (可选)配置SSH服务器上的校验算法列表

    ssh server hmac { md5 | md5_96 | sha1 | sha1_96 | sha2_256 | sha2_256_96 | sha2_512 } *

    缺省情况下:
    • 设备以空配置启动时,会默认配置SSH服务器端的HMAC认证算法为SHA2_256_96、SHA2_256和SHA1_96;

    • 当设备加载配置文件启动时(比如采用ZTP方式加载配置文件进行初始配置),且配置文件中不存在ssh server hmac的配置时,SSH服务器端支持的HMAC认证算法为MD5、MD5_96、SHA1、SHA1_96、SHA2_256、SHA2_512和SHA2_256_96。

    (可选)配置端口号

    ssh [ ipv4 | ipv6 ] server port port-number

    缺省情况下,SSH服务器的端口号是22。

    如果配置了新的端口号,SSH服务器端先断开当前已经建立的所有SSH连接,然后使用新的端口号开始尝试连接。这样可以有效防止攻击者对SSH服务标准端口的访问,确保安全性。

    (可选)配置服务器密钥对更新时间

    ssh server rekey-interval hours

    缺省情况下,SSH服务器密钥对的更新时间间隔为0,表示永不更新。

    配置服务器密钥对更新时间,使得当SSH服务器的更新周期到达时,自动更新服务器密钥对,从而可以保证安全性。

    (可选)配置SSH认证超时时间

    ssh server timeout seconds

    缺省情况下,SSH连接认证超时时间为60秒。

    (可选)配置SSH验证重试次数

    ssh server authentication-retries times

    缺省情况下,SSH连接的验证重试次数为3。

    (可选)使能兼容低版本功能

    ssh server compatible-ssh1x enable

    缺省情况下,SSH服务器兼容低版本功能处于未使能状态。

    如果不允许SSH1.3~SSH1.99(SSH的协议版本号大于等于1.3且小于等于1.99)的客户端登录,则执行undo ssh server compatible-ssh1x enable,去使能兼容低版本功能。

    (可选)配置访问控制列表

    ssh [ ipv6 ] server acl { acl-number | acl-name }

    缺省情况下,没有配置访问控制列表。

    配置了访问控制列表,可控制哪些客户端能以SSH方式访问本设备。

    使能SSH服务器上的keepalive特性

    undo ssh server keepalive disable

    缺省情况下,SSH服务器上的keepalive特性处于使能状态。

    SSH服务器在使能keepalive特性之后,若收到SSH客户端的keepalive报文之后,会进行响应。这样防止在SSH客户端收不到keepalive响应报文时断开与SSH服务器的连接,避免造成客户端重新连接服务器浪费服务器资源。

    (可选)配置SSH服务器的源接口

    ssh server-source -i interface-type interface-number

    缺省情况下,未指定SSH服务器端的源接口。

    执行本命令指定源接口前,设备上必须存在该物理接口或者成功创建该逻辑接口,否则会导致本命令无法成功执行。

    提交配置

    commit

    -
    说明:
    • 生成本地RSA密钥对时,将同时生成两个密钥对:服务器密钥对和主机密钥对,二者分别包括一个公钥和一个私钥。服务器密钥对和主机密钥对的长度均为2048位。
    • 生成本地DSA密钥对时,只生成一个主机密钥对,密钥对的长度为2048位。
    • 生成本地ECC密钥对时,只生成一个主机密钥对,长度可为256、384、521位。缺省情况下,密钥对的长度为521位。

  • 配置SSH用户

    配置SSH用户包括配置SSH用户的验证方式,设备支持的认证方式包括RSA、DSA、ECC、password、password-rsa、password-dsa、password-ecc和all。其中:
    • password-rsa认证需要同时满足password认证和RSA认证。
    • password-dsa认证需要同时满足password认证和DSA认证。
    • password-ecc认证需要同时满足password认证和ECC认证。
    • all认证是指password认证、RSA、DSA或ECC认证方式满足其中一种即可。
    表3-8 配置SSH用户
    操作步骤 命令 说明

    进入系统视图

    system-view

    -

    创建SSH用户

    ssh user user-name

    -

    配置SSH用户的认证方式

    ssh user user-name authentication-type { password | rsa | password-rsa | all | dsa | password-dsa | ecc | password-ecc }

    如果没有使用ssh user user-name命令配置相应的SSH用户,则可以直接执行ssh authentication-type default password命令为用户配置SSH认证缺省采用密码认证,在用户数量比较多时,对用户使用缺省密码认证方式可以简化配置,此时只需再配置AAA用户即可。

    配置SSH用户的服务方式为snetconf或all

    ssh user username service-type { snetconf | all }

    缺省情况下,SSH用户的服务方式是空,即不支持任何服务方式。

    提交配置

    commit

    -
    说明:
    • password认证依靠AAA实现,当用户使用password、password-rsa、password-dsa或password-ecc认证方式登录设备时,需要在AAA视图下创建同名的本地用户。
    • 如果SSH用户使用password认证,则只需要在SSH服务器端生成本地RSA、DSA或ECC密钥。如果SSH用户使用RSA、DSA或ECC认证,则在服务器端和客户端都需要生成本地RSA、DSA或ECC密钥对,并且服务器端和客户端都需要将对方的公钥配置到本地。
    根据上面配置的认证方式,进行选择配置:
    • 若对SSH用户进行password认证,请根据表3-9进行配置。

    • 若对SSH用户进行RSA、DSA或ECC认证,请根据表3-10进行配置。

    • 若对SSH用户进行password-rsa、password-dsa或password-ecc认证,则AAA用户和RSA、DSA或ECC公共密钥都需要进行配置。即同时配置表3-9表3-10

    表3-9 配置对SSH用户进行password、password-dsa、password-ecc或password-rsa认证
    操作步骤 命令 说明

    进入系统视图

    system-view -

    进入AAA视图

    aaa -

    配置本地用户名和密码

    local-user user-name password irreversible-cipher irreversible-cipher-password

    -

    配置本地用户的服务方式

    local-user user-name service-type ssh -

    配置本地用户的级别

    local-user user-name level level -

    退回到系统视图

    quit -

    提交配置

    commit -
    说明:
    • 如果NETCONF连接的默认认证类型为AAA,则配置AAA用户时,建议将用户级别配置为3级或15级,否则无法对所有的配置进行操作。

    • 为充分保证设备安全,请用户定期修改密码。

    表3-10 配置对SSH用户进行dsa、ecc、rsa、password-dsa、password-ecc或password-rsa认证
    操作步骤 命令 说明

    进入系统视图

    system-view -

    配置SSH连接的认证类型

    ssh authorization-type default root

    缺省情况下,SSH连接的缺省类型为AAA。

    当配置为AAA类型时,只允许配置为password认证方式;如果需要使用公钥认证方式,可以通过以下两种方式任意一种实现:
    • 执行此命令,配置为Root类型。
    • 在AAA视图下,创建同名的本地用户。

    进入RSA、DSA或ECC公共密钥视图

    rsa peer-public-key key-name [ encoding-type { der | openssh | pem } ]

    dsa peer-public-key key-name encoding-type { der | openssh | pem }

    ecc peer-public-key key-name [ encoding-type der ]

    -

    进入公共密钥编辑视图

    public-key-code begin -

    编辑公共密钥

    hex-data
    • 键入的公共密钥必须是按公钥格式编码的十六进制字符串,由支持SSH的客户端软件生成。具体操作参见相应的SSH客户端软件的帮助文档。
    • 请将RSA、DSA或ECC公钥输入到作为SSH服务器的设备上。

    退出公共密钥编辑视图

    public-key-code end
    • 如果未输入合法的密钥编码hex-data,执行本步骤后,将无法生成密钥。
    • 如果指定的密钥key-name已经在别的窗口下被删除,再执行本步骤时,系统会提示:密钥已经不存在,此时直接退到系统视图。

    退出公共密钥视图,回到系统视图

    peer-public-key end -

    为SSH用户分配RSA、DSA或ECC公钥

    ssh user user-name assign { rsa-key | dsa-key | ecc-key } key-name -

    提交配置

    commit -

翻译
下载文档
更新时间:2019-05-05

文档编号:EDOC1100004380

浏览量:19871

下载量:322

平均得分:
本文档适用于这些产品

相关版本

相关文档

Share
上一页 下一页