H3C交换机与SSH

V7 V9网络设备配置SSH管理

创建本地密钥对

对于H3C网络设备,虽然一个客户端只会采用DSA、ECDSA或RSA公钥算法中的一种来认证服务器,但是由于不同客户端支持的公钥算法不同,为了确保客户端能够成功登录服务器,建议在服务器上同时生成DSA、ECDSA和RSA三种密钥对。

1
2
3
4
5
6
7
8
9
10
11
12
#进入系统视图
system-view

#生成RSA密钥对
public-key local create rsa

#生成DSA密钥对
public-key local create dsa

#生成ECDSA密钥对
public-key local create ecdsa secp256r1
#或者public-key local create ecdsa secp384r1

修改密码控制策略

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
#开启密码控制
password-control enable

#关闭密码有效期
undo password-control aging enable

#关闭密码历史记录
undo password-control history enable

#设置密码长度最小值为8
password-control length 8

#设置登录5次密码错误锁定10分钟
password-control login-attempt 5 exceed lock-time 10

#设置密码修改最小间隔为0
password-control update-interval 0

#设置用户帐号闲置时间为无限制
password-control login idle-time 0

#关闭账号密码用户名检查
undo password-control complexity user-name check

#关闭账号首次登录需修改密码
undo password-control change-password first-login enable

开启登录防护

1
2
3
attack-defense login reauthentication-delay 10
#部分设备无attack-defanse login命令
attack-defense login enable

创建SSH管理员账号并配置密码

1
2
3
4
5
6
7
8
9
10
11
#创建本地管理员账号sshuser
local-user sshuser class manage

#赋予该账号ssh权限
service-type ssh

#赋予该账号用户权限等级为network-admin
authorization-attribute user-role network-admin

#配置该账号密码为[email protected]
password simple [email protected]

VTY配置

进入VTY用户线视图line vty first-number [last-number]配置

或者进入VTY用户线类视图line class vty配置,二者选其一

用户线视图下的配置优先于用户线类视图下的配置

用户线视图下的配置只对该用户线生效

用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效

用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值

VTY用户线类视图下配置

1
2
3
4
5
6
7
8
#进入VTY用户线类视图
line class vty

#配置登录用户线的认证方式为scheme方式
authentication-mode scheme

#配置VTY用户线支持的SSH协议
protocol inbound ssh

VTY用户线视图下配置

1
2
3
4
5
6
7
8
#进入VTY用户线0到4视图
line vty 0 4

#配置登录用户线的认证方式为scheme方式
authentication-mode scheme

#配置VTY用户线支持的SSH协议
protocol inbound ssh

开启SSH服务

1
ssh server enable