评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置通过Stelnet登录设备
背景信息
为保证网络的安全性,需要先在AC、交换机上配置Stelnet的安全登录方式,并且通过ACL来对Stelnet的源地址进行过滤。
下面以交换机为例进行上述配置说明。AC的配置与之类似,请参见对应版本的AC6000系列产品文档中的“配置 > 配置指南 > 基础配置 >首次登陆系统 > 通过STelnet登录设备”。
登录设备前,需要确保终端PC和设备之间路由可达,这依赖于方案对管理网络的规划设计。
数据规划
表6-1 网络设备基础规划
配置项 |
数据(仅为示例) |
|---|---|
Console口登录密码 |
Crdl_520 |
设备Stelnet登录源接口 |
GigabitEthernet0/0/1 |
SSH用户名/本地用户名 |
admin123 |
登录密码 |
abcd@123 |
允许发起远程Stelnet请求的网段 |
192.168.100.0/24 |
操作步骤
- 通过Console口首次登录设备。
- 将Console通信电缆的DB9(孔)插头插入PC机的串口(COM)中,再将RJ-45插头端插入设备的Console口中,如图6-1所示。
如果维护终端(PC端)上没有DB9串口,可单独购买一根DB9串口转USB的转接线,将USB口连接到维护终端。
- 在PC上打开终端仿真软件,新建连接,设置连接的接口以及通信参数。设置终端软件的通信参数需与设备的缺省值保持一致,设置终端软件的通信参数如表6-2所示。
缺省情况下,设备不进行流控,而设备终端软件流控方式中RTS/CTS选项处于勾选状态,因此需要将该选项去掉勾选,否则终端界面无法输入命令行。
- 终端界面会出现如下显示信息,提示用户设置密码(不同款型和软件版本,登录提示信息有所差异,以下显示信息仅为示意)。
An initial password is required for the first login via the console. Set a password and keep it safe. Otherwise you will not be able to login via the console. Please configure the login password (8-16) Enter Password: Confirm Password: Warning: The authentication mode was changed to password authentication and the user level was changed to 15 on con0 at the first us er login. Warning: There is a risk on the user-interface which you login through. Please change the configuration of the user-interface as soo n as possible. <HUAWEI>
- 为充分保证设备安全,请定期修改密码。
- 设备采用交互方式输入的密码不会在终端屏幕上显示出来。
- 将Console通信电缆的DB9(孔)插头插入PC机的串口(COM)中,再将RJ-45插头端插入设备的Console口中,如图6-1所示。
- 按规划给各个设备命名,以示区别。
sysname ACC1 //按规划给各个设备命名
- 配置VTY用户界面的支持协议类型、认证方式和用户级别。
user-interface vty 0 4 authentication-mode aaa //配置VTY用户界面认证方式为AAA认证 protocol inbound ssh //配置VTY用户界面支持的协议为SSH,默认情况下即SSH user privilege level 15 //配置VTY用户界面的级别为15 quit
通过STelnet登录设备需配置用户界面支持的协议是SSH,必须设置VTY用户界面认证方式为AAA认证。
- 开启STelnet服务器功能。
ssh server-source -i GigabitEthernet0/0/1 //配置允许客户端使用什么管理地址来登录本设备,具体的管理地址按照对应金融机构颁布的具体实施规范,本处仅为举例 stelnet server enable //使能设备的STelnet服务器功能
- 配置SSH用户认证方式。
- 创建SSH用户。
ssh user admin123 //创建SSH用户admin123 ssh user admin123 service-type stelnet //配置SSH用户的服务方式为STelnet ssh user admin123 authentication-type password //配置SSH用户认证方式为password
- 在AAA视图下配置与SSH用户同名的本地用户。
aaa local-user admin123 password irreversible-cipher abcd@123 //创建与SSH用户同名的本地用户和对应的登录密码 local-user admin123 privilege level 15 //配置本地用户级别为15 Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y local-user admin123 service-type ssh //配置本地用户的服务方式为SSH quit
- 创建SSH用户。
- 在服务器端生成本地密钥对。
ecc local-key-pair create Info: The key name will be: HUAWEI_Host_ECC. Info: The key modulus can be any one of the following: 256, 384, 521. Info: If the key modulus is greater than 512, it may take a few minutes. Please input the modulus [default=521]:521 Info: Generating keys.......... Info: Succeeded in creating the ECC host keys.
- 配置ACL来指定只允许合法的源网段对网络设备发起Stelnet连接,其他网段禁止连接。
acl 2001 rule permit source 192.168.100.0 0.0.0.255 //允许指定网段的管理员远程登录设备,该处网段仅为示例 quit user-interface vty 0 4 acl 2001 inbound quit
- 客户端STelnet登录设备。
PC端用Password认证方式连接SSH服务器。通过PuTTY软件登录设备,输入设备的IP地址,选择协议类型为SSH。
点击“Open”,出现如下界面,输入用户名和密码,并按Enter键,至此已登录到SSH服务器。(以下显示信息仅为示意)
login as: admin123 Sent username "admin123" admin123@10.10.10.20's password: Info: The max number of VTY users is 8, and the number of current VTY users on line is 5. The current login time is 2018-12-22 09:35:28+00:00. <HUAWEI> - 检查配置结果:
- 执行display ssh user-information [ username ]命令,在SSH服务器端查看SSH用户信息。如果不指定SSH用户,则可以查看SSH服务器端所有的SSH用户信息。
- 执行display ssh server status命令,查看SSH服务器的全局配置信息。
- 执行display ssh server session命令,在SSH服务器端查看与SSH客户端连接的会话信息。
