登录

欢迎user新华三退出

简体中文

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

05-网络

目录

33-SSH

本章节下载 33-SSH  (278.66 KB)

33-SSH

SSH

 

本帮助主要介绍以下内容:

·     特性简介

·     vSystem相关说明

·     使用限制和注意事项

·     配置指南

特性简介

SSHSecure Shell(安全外壳)的简称,是一种在不安全的网络环境中,通过加密机制和认证机制,实现安全的远程访问以及文件传输等业务的网络安全协议。

SSH协议采用了典型的客户端/服务器模式,并基于TCP协议协商建立用于保护数据传输的会话通道。

本设备可作为SSH服务器,为SSH客户端提供以下几种应用:

·     Stelnet:全称为Secure Telnet ,可提供安全可靠的网络终端访问服务。

·     SFTP:全称为Secure FTP,基于SSH2,可提供安全可靠的网络文件传输服务。

·     SCP:全称为Secure Copy,基于SSH2,可提供安全的文件复制功能。

SSH协议有两个版本,SSH1.xSSH2.0(本文简称SSH1SSH2),两者互不兼容。SSH2在性能和安全性方面比SSH1有所提高。

设备作为SSH服务器时,利用本地密码认证机制验证SSH客户端的用户名和密码的合法性。身份认证通过后,SSH客户端将与SSH服务器建立相应的会话,并在该会话上进行数据信息的交互。

vSystem相关说明

非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。

使用限制和注意事项

·     虽然一个SSH客户端只会采用DSAECDSARSA公钥算法中的一种来认证SSH服务器,但是由于不同SSH客户端支持的公钥算法不同,为了确保SSH客户端能够成功登录SSH服务器,建议在SSH服务器上同时生成DSAECDSARSA三种密钥对。

·     SSH服务器仅支持默认名称的本地DSAECDSARSA密钥对,因此生成本地非对称密钥对时,不要指定密钥对的名称。

·     生成DSA密钥对时,输入的密钥模数的长度必须小于2048比特。

·     SSH客户端认证成功后,所具有的属性(例如角色、FTP目录)均由设备上对应的管理员用户配置决定。

·     若指定的过滤SSH客户端的ACL不存在,或者ACL中无任何规则,则表示允许任意SSH客户端发起SSH访问。

设备作为SFTP服务器时,不支持SSH1版本的客户端发起的SFTP连接。

配置指南

设备作为SSH服务器时,为保证SSH客户端可以正常使用Stelnet/SFTP/SCP服务,需要完成以下配置任务:

·     生成RSADSAECDSA本地非对称密钥对。

·     开启Stelnet/SFTP/SCP服务。

·     配置SSH服务类型的管理员用户。

配置步骤

1.     单击“网络 > 服务 > SSH”。

2.     在“SSH”页面开启Stelnet/SFTP/SCP服务,具体配置内容如下:

表-1 SSH配置

参数

说明

服务器发送的IPv4报文的DSCP优先级

DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度

服务器发送的IPv6报文的DSCP优先级

DSCP携带在IPv6报文中的Trafic class字段,用来体现报文自身的优先等级,决定报文传输的优先程度

指定过滤IPv4客户端的ACL

当未指定ACL、指定的ACL不存在或ACL没有规则时,运行所有IPv4客户端向设备发起SSH访问,否则只运行匹配ACL permit规则的IPv4客户端访问设备

指定过滤IPv6客户端的ACL

当未指定ACL、指定的ACL不存在或ACL没有规则时,运行所有IPv6客户端向设备发起SSH访问,否则只运行匹配ACL permit规则的IPv6客户端访问设备

服务器RSA密钥对的最小更新时间间隔

该时间间隔仅对SSH1版本的SSH客户端有效,缺省情况下,不更新RSA密钥对。开启本功能后,SSH服务器需要等待后续有新的SSH1用户登录,才会更新当前的RSA服务器密钥对,然后使用新的RSA服务器密钥对与新登录的这个SSH1用户进行密钥对的协商,其中等待的最小时长就为此处配置的最小更新间隔时间。之后,重复此过程,直到下一个新的SSH1用户登录才会再次触发RSA服务器密钥的更新

客户端认证尝试的最大次数

通过本功能可以限制用户尝试登录的次数,防止非法用户对用户名和密码进行恶意地猜测和破解

客户端认证超时时间

如果SSH用户在设置的认证超时时间内没有完成认证,SSH服务器就拒绝该用户的连接。

为了防止不法用户建立起TCP连接后,不进行接下来的认证,而占用系统资源,妨碍其它合法用户的正常登录,可以适当调小SSH用户认证超时时间。

SFTP用户连接的空闲超时时间

SFTP用户连接的空闲时间超过设定的阈值后,系统会自动断开此用户的连接,从而有效避免用户长期占用连接而不进行任何操作。若同一时间内并发的SFTP连接数较多,可适当减小该值,及时释放系统资源给新用户接入

兼容SSH1版本的客户端

该功能不会影响已经登录的SSH用户,仅对新登录的SSH用户生效

 

3.     单击“应用”按钮,完成配置。

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们