配置通过STelnet登录设备

S600-E V200R019C10 配置指南-基础配置

本文档介绍了基础配置，具体包括熟悉命令行、登录密码管理、EasyDeploy配置、首次登录设备、登录设备命令行界面、登录设备Web网管界面、文件管理、配置系统启动、BootLoad菜单操作等。

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

配置通过STelnet登录设备

Telnet协议存在安全风险，推荐使用STelnet登录设备。登录设备前，需要确保终端PC和设备之间路由可达。

使用STelnet V1协议存在安全风险，建议使用STelnet V2登录设备。

通过STelnet登录设备的常用功能配置

缺省情况下，设备未配置任何STelnet相关功能，如果需要使用该功能，需要配置STelnet服务及用户信息。配置步骤如下：

配置VTY用户界面的支持协议类型、认证方式和用户级别。
开启STelnet服务器功能并创建SSH用户。
配置SSH用户认证方式。
在SSH服务器端生成本地密钥对，实现在服务器端和客户端进行安全地数据交互。

操作步骤

配置VTY用户界面的支持协议类型、认证方式和用户级别。

[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] authentication-mode aaa    //配置VTY用户界面认证方式为AAA认证
[HUAWEI-ui-vty0-4] protocol inbound ssh    //配置VTY用户界面支持的协议为SSH，默认情况下即SSH
[HUAWEI-ui-vty0-4] user privilege level 15    //配置VTY用户界面的级别为15
[HUAWEI-ui-vty0-4] quit

通过STelnet登录设备需配置用户界面支持的协议是SSH，必须设置VTY用户界面认证方式为AAA认证。

开启STelnet服务器功能。

[HUAWEI] stelnet server enable    //使能设备的STelnet服务器功能

配置SSH用户认证方式。

配置SSH用户认证方式为Password

创建SSH用户（两种方式）。

[HUAWEI] ssh authentication-type default password    //配置SSH用户缺省采用密码认证

或

[HUAWEI] ssh user admin123    //创建SSH用户admin123
[HUAWEI] ssh user admin123 service-type stelnet    //配置SSH用户的服务方式为STelnet
[HUAWEI] ssh user admin123 authentication-type password    //配置SSH用户认证方式为password

使用Password认证方式时，需要在AAA视图下配置与SSH用户同名的本地用户。

[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher abcd@123    //创建与SSH用户同名的本地用户和对应的登录密码
[HUAWEI-aaa] local-user admin123 privilege level 15    //配置本地用户级别为15
Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
[HUAWEI-aaa] local-user admin123 service-type ssh    //配置本地用户的服务方式为SSH
[HUAWEI-aaa] quit

配置SSH用户认证方式为RSA、DSA或ECC（以ECC认证方式为例，RSA、DSA认证方式步骤类似）

使用RSA、DSA或ECC认证方式时，需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。这样当客户端登录服务器时，自己的私钥如果与输入的公钥匹配成功，则认证通过。客户端公钥的生成请参见相应的SSH客户端软件的帮助文档。

[HUAWEI] ssh user admin123    //创建SSH用户admin123
[HUAWEI] ssh user admin123 service-type stelnet    //配置SSH用户的服务方式为STelnet
[HUAWEI] ssh user admin123 authentication-type ecc    //配置SSH用户认证方式为ecc
[HUAWEI] ecc peer-public-key key01 encoding-type pem    //配置ECC公共密钥编码格式，并进入ECC公共密钥视图,key01为公共密钥名称
Enter "ECC public key" view, return system view with "peer-public-key end".
[HUAWEI-ecc-public-key] public-key-code begin    //进入公共密钥编辑视图
Enter "ECC key code" view, return last view with "public-key-code end".
[HUAWEI-dsa-key-code] 308188    //拷贝复制客户端的公钥，必须为十六进制字符串，如果是其他进制，请提前转换
[HUAWEI-dsa-key-code] 028180
[HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
[HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
[HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
[HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
[HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
[HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
[HUAWEI-ecc-key-code] 171896FB 1FFC38CD
[HUAWEI-ecc-key-code] 0203
[HUAWEI-ecc-key-code] 010001
[HUAWEI-ecc-key-code] public-key-code end    //退回到公共密钥视图
[HUAWEI-ecc-public-key] peer-public-key end    //退回到系统视图
[HUAWEI] ssh user admin123 assign ecc-key key01    //为用户admin123分配一个已经存在的公钥key01

使用Password-RSA认证、Password-DSA认证或Password-ECC认证时，需同时配置AAA用户信息和输入客户端公钥，即上述两种方式都需要进行。
使用ALL认证方式时，对于配置AAA用户信息和输入客户端公钥，可以随意选择上述两种方式其中一种方式，也可以两种方式都选择。
为充分保证设备安全，请定期修改密码。

在服务器端生成本地密钥对。

[HUAWEI] ecc local-key-pair create
Info: The key name will be: HUAWEI_Host_ECC.
Info: The key modulus can be any one of the following: 256, 384, 521.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=521]:521
Info: Generating keys..........
Info: Succeeded in creating the ECC host keys.

客户端STelnet登录设备。
PC端用Password认证方式连接SSH服务器。

通过PuTTY软件登录设备，输入设备的IP地址，选择协议类型为SSH。
图5-1 通过PuTTY软件用password认证方式连接SSH服务器示意图

点击“Open”，出现如下界面，输入用户名和密码，并按Enter键，至此已登录到SSH服务器。（以下显示信息仅为示意）
```
login as: admin123
Sent username "admin123"

admin123@10.10.10.20's password:

Info: The max number of VTY users is 8, and the number
      of current VTY users on line is 5.
      The current login time is 2018-12-22 09:35:28+00:00.
<HUAWEI>
```

检查配置结果

执行display ssh user-information [ username ]命令，在SSH服务器端查看SSH用户信息。如果不指定SSH用户，则可以查看SSH服务器端所有的SSH用户信息。
执行display ssh server status命令，查看SSH服务器的全局配置信息。
执行display ssh server session命令，在SSH服务器端查看与SSH客户端连接的会话信息。

命令行功能说明

表5-9 常用功能命令

功能	配置命令	说明
生成本地主机密钥对	rsa local-key-pair create、dsa local-key-pair create或ecc local-key-pair create	缺省情况，未配置任何主机密钥对。
开启STelnet服务器功能	stelnet server enable	缺省为去使能状态。
VTY用户界面的认证方式	authentication-mode { aaa }	缺省情况下，通过Console口登录设备时，默认认证方式为AAA。如果选择aaa认证，需要配置AAA本地用户相关信息。
VTY用户界面所支持的协议	protocol inbound { all \| ssh }	缺省为SSH协议。执行此命令后，配置结果待下次登录请求时生效。
VTY用户界面的用户级别	user privilege level level	缺省为0。用户使用RSA、DSA或ECC认证方式时，用户的优先级由用户接入时所采用的VTY界面的优先级决定。如果用户界面下配置的命令级别访问权限与用户名本身对应的操作权限冲突，以用户名本身对应的命令级别为准。
新建SSH用户	ssh user user-name	缺省情况，没有创建SSH用户。
SSH用户的服务方式	ssh user user-name service-type { stelnet \| all }	缺省为空，不支持任何服务方式。
SSH用户的认证方式	ssh user user-name authentication-type { password \| rsa \| password-rsa \| dsa \| password-dsa \| ecc \| password-ecc \| all }	SSH用户认证方式为Password时，需要在AAA视图下配置与SSH用户同名的本地用户、登录密码、服务方式和用户级别。包括： local-user user-name { password { cipher \| irreversible-cipher } password，创建本地用户，并配置本地用户的密码。 local-user user-name { privilege level level }，配置本地用户的级别。 local-user user-name service-type { http \| ssh \| telnet \| terminal } ^，配置本地用户的接入类型。 SSH用户认证方式为RSA、DSA或ECC时，需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。 SSH用户认证方式为Password-RSA、Password-DSA或Password-ECC时，需要同时配置AAA用户信息和输入客户端公钥。 SSH用户认证方式为ALL*时，配置AAA用户信息和输入客户端公钥，可以随意选择其中一种，也可以两种方式都选择。

表5-10 其他功能命令

功能	配置命令	说明
开启VTY终端服务	shell	所有VTY终端服务缺省开启。
VTY用户界面的最大个数	user-interface maximum-vty number	VTY用户界面的最大个数为15个。
VTY用户界面的登录连接超时时间	idle-timeout minutes [ seconds ]	缺省为10分钟。
VTY用户界面的终端屏显的行数	screen-length screen-length	缺省为24行。
VTY用户界面的终端屏显的列数	screen-width screen-width	缺省为80列。
VTY用户界面的历史命令缓冲区的大小	history-command max-size size-value	缺省为10条。
SSH服务器支持的密钥交换算法	ssh server key-exchange { dh_group14_sha256 \| dh_group15_sha512 \| dh_group16_sha512 \| dh_group_exchange_sha256 }*	缺省为支持所有密钥交换算法。系统软件中不包含dh_group_exchange_sha1、dh_group14_sha1和dh_group1_sha1参数，如需使用，需要安装WEAKEA插件，但是该算法安全性低。为了保证更好的安全性，建议使用其它算法。您可以通过华为官网（企业、运营商）搜索“插件使用指南”，请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限，请联系技术支持人员。
SSH服务器支持的加密算法	ssh server cipher { aes128_ctr \| aes256_ctr } ^*	缺省情况下，SSH服务器支持所有加密算法。系统软件中不包含aes256_cbc、aes128_cbc、3des_cbc和des_cbc参数，如需使用，需要安装WEAKEA插件，但是该算法安全性低。为了保证更好的安全性，建议配置aes256_ctr或aes128_ctr参数。您可以通过华为官网（企业、运营商）搜索“插件使用指南”，请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限，请联系技术支持人员。
SSH服务器支持的校验算法	ssh server hmac sha2_256	缺省情况下，SSH服务器支持所有的校验算法。系统软件中不包含sha2_256_96、sha1、sha1_96、md5和md5_96参数，如需使用，需要安装WEAKEA插件，但是该算法安全性低。为了保证更好的安全性，建议配置sha2_256参数。您可以通过华为官网（企业、运营商）搜索“插件使用指南”，请根据交换机型号及软件版本选择相应的《插件使用指南》。如无权限，请联系技术支持人员。
SSH服务器端口号	ssh [ ipv4 \| ipv6 ] server port port-number	缺省为22。 SSH服务器配置新的端口号，可以有效防止攻击者对SSH服务标准端口的恶意访问，确保安全性。
SSH服务器的公钥算法	ssh server publickey { dsa \| ecc \| rsa } ^*	缺省为DSA、ECC、RSA公钥算法都开启。使用指定的公钥算法登录服务器，同时拒绝使用其他公钥算法，从而提升设备安全性。推荐使用ECC公钥算法。
SSH服务器的源接口	ssh server-source -i loopback interface-number	缺省情况未指定SSH服务器端的源接口。配置SSH服务器的源接口可以屏蔽设备的管理IP地址，从而保护设备安全。
SSH服务器密钥对更新时间	ssh server rekey-interval hours	缺省为0，永不更新。
SSH认证超时时间	ssh server timeout seconds	缺省为60秒。
SSH认证重试次数	ssh server authentication-retries times	缺省为3次。
使能兼容低版本SSH协议	ssh server compatible-ssh1x enable	缺省为未使能状态。

翻译

English

下载文档

更新时间：2022-05-25

文档编号：EDOC1100127228

浏览量：22254

下载量：36

平均得分:

本文档适用于这些产品

数字签名

数字签名验证工具

本文档介绍了基础配置，具体包括熟悉命令行、登录密码管理、EasyDeploy配置、首次登录设备、登录设备命令行界面、登录设备Web网管界面、文件管理、配置系统启动、BootLoad菜单操作等。

通过STelnet登录设备的常用功能配置

操作步骤

检查配置结果

命令行功能说明

相关版本

相关文档

数字签名