13-SSH配置
本章节下载: 13-SSH配置 (101.76 KB)
SSH是英文“Secure Shell”的简写形式。用户可以通过标准SSH客户端登陆设备,建立与设备的安全连接。通过SSH连接传输的数据都是经过加密的数据,从而可以确保用户和设备之间传输的口令等敏感数据和管理、配置数据不被第三方窃听和非法获取。
SSH可以替代Telnet,提供用户安全地进行管理和配置设备的手段。
SSH配置任务列表如下:
· 开启/关闭设备SSH功能
· SSH密钥配置
· 其他
在系统视图下打开或关闭设备SSH功能,SSH功能关闭时用户使用SSH客户端无法登陆设备。为使用户能通过SSH客户端登陆设备,除了要打开设备的SSH功能外,还要在设备上配置正确的密钥并加载该密钥。
表1-1 开启/关闭设备SSH功能
操作 |
命令 |
说明 |
打开SSH |
ssh |
系统视图 |
关闭SSH |
undo ssh |
系统视图 |
在用户视图下配置SSH使用的密钥。没有配置密钥、配置的密钥不正确或者密钥未加载,用户都不能通过SSH客户端登陆设备。为使用户能通过SSH客户端登陆设备,除了要在设备上配置正确的密钥并加载该密钥外,还要打开设备的SSH功能。
配置的密钥必须为RSA密钥。密钥包括公钥和私钥。可以使用设备的缺省密钥,也可以通过tftp、ftp下载密钥文件到设备。初始时设备未配置任何密钥。设备的缺省密钥必须通过命令行生成后才可以被设备使用。已配置的密钥只有在加载后才可以被设备使用。配置的密钥保存在Flash存储器中,在系统启动时加载。系统运行时也可以通过命令行加载保存在Flash存储器中的密钥。
配置的密钥非RSA密钥,或者公钥和私钥不匹配,都会使用户不能通过SSH客户端登陆设备。
密钥文件中可以包含注释行和密钥体。注释行中必须包含“:”或空格。密钥体中包含按Base64编码方法编码的密钥,不能包含“:”和空格。私钥文件中不能包含公钥。私钥文件不能使用口令加密。
表1-2 SSH密钥配置
操作 |
命令 |
说明 |
配置设备缺省密钥 |
crypto key generate rsa |
用户视图 |
通过tftp、ftp下载或上载密钥 |
load keyfile { public | private } tftp server-ip filename load keyfile { public | private } ftp server-ip filename username passwd upload keyfile { public | private } tftp server-ip filename upload keyfile { public | private } ftp server-ip filename username passwd |
用户视图 |
清除已配置的密钥 |
crypto key zeroize rsa |
用户视图 |
加载新的密钥 |
crypto key refresh |
用户视图 |
表1-3 SSH其它配置
操作 |
命令 |
说明 |
查看SSH的配置 |
display ssh |
任意视图 |
查看已配置的密钥文件的内容 |
display keyfile { public | private } |
任意视图 |
查看已登陆的SSH客户端的状态 |
display users |
任意视图 |
强制终止已登陆的SSH客户端 |
stop username |
用户视图 |
设备允许最多5个SSH客户端同时登陆。但如果已有Telnet客户端登陆设备,则SSH客户端和Telnet客户端的总数不得超过5个。例如,如果设备上已经登陆2个Telnet客户端,则还可以允许最多3个SSH客户端登陆。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!