Для включения SSH в Quidway прежде всего необходимо добавить и настроить нового пользователя в разделе конфигурации ААА (Authentication, Authorization, Accounting). Все настройки выполняются в привилегированном режиме (вход в привилегированный режим осуществляется командой system-view).
Приступаем к настройке ААА
[Quidway]aaa
Настраиваем authentication-scheme, authorization-scheme, accounting-scheme. Обычно, данные параметры заданы в конфигурации коммутатора по умолчанию.
[Quidway-aaa]authentication-scheme default
[Quidway-aaa]authorization-scheme default
[Quidway-aaa]accounting-scheme default
Настройки домена также оставляем без изменений
[Quidway-aaa]domain default
[Quidway-aaa]domain default_admin
Создаем пользователя huawei, назначаем ему требуемый уровень привилегий и подключаем нужные сервисы командой service-type. В нашем случае активируем сервис ssh.
[Quidway-aaa]local-user huawei password cipher USER_PASSWORD
[Quidway-aaa]local-user huawei privilege level 3
[Quidway-aaa]local-user huawei service-type ssh
На этом, настройку ААА для SSH можно считать законченной.
RSA ключ
Генерируем RSA ключ для использования на устройстве. Без него SSH не заработает.
rsa local-key-pair create
Проверить ключ можно при помощи команды display rsa local-key-pair. Будет отображено имя ключа, его тип и дата создания.
[Quidway]display rsa local-key-pair public
=====================================================
Time of Key pair created: 01:10:03 2015/11/10
Key name: Quidway_Host
Key type: RSA encryption Key
=====================================================
Key code:
308188
...
=====================================================
Time of Key pair created: 01:10:10 2015/11/10
Key name: Quidway_Server
Key type: RSA encryption Key
=====================================================
Key code:
3067
...
Приступаем непосредственно к настройке SSH.
Настройка SSH сервера для удаленного доступа на Huawei Quidway
Включаем SSH сервер.
stelnet server enable
Настраиваем SSH сервер. Указываем пользователя, который может использовать SSH, задаем ему тип аутентификации (в нашем случае используется локальная аутентификация по паролю). Также, указываем типы сервисов, которые может использовать пользователь: ssh, sftp или оба (all).
ssh user huawei
ssh user huawei authentication-type password
ssh user huawei service-type all
Настройка виртуального терминала VTY
Для завершения настройки удаленного доступа по SSH к Huawei Quidway, необходимо задать параметры аутентификации и протоколы доступа на виртуальных интерфейсах vty, используемых для управления коммутатором. В нашем случае настроим интерфейсы 0 - 4. Укажем параметры аутентификации ААА, чтобы поиск пользователя происходил в локальной базе пользователей, согласно настройкам, заданным в начале статьи. Входящим протоколом укажем ssh. Таким образом, мы исключим использование небезопасного протокола telnet.
user-interface vty 0 4
authentication-mode aaa
idle-timeout 30 0
protocol inbound ssh
Смена порта SSH сервера на Quidway
Изменение порта, на котором SSH сервер на Quidway будет принимать запросы, осуществляется очень просто. Кроме 22, можно задать любой порт из диапазона 1025-55535. При этом, данный порт не должен использоваться другими приложениями.
[Quidway]ssh server port ?
INTEGER<22,1025-55535> Set the port number, the default value is 22
Проверка настройки SSH на Quidway.
Проверку статуса SSH сервера можно осуществить при помощи команды display ssh server status. В выводе этой команды показывается версия протокола SSH, статусы SSH (stelnet) и SFTP серверов на коммутаторе, а также ряд конфигурационных параметров.
display ssh server status
SSH version :1.99
SSH connection timeout :60 seconds
SSH server key generating interval :0 hours
SSH Authentication retries :3 times
SFTP server :Disable
Stelnet server :Enable
Для просмотра активных сессий SSH сервера можно использовать команду display ssh server session. В выводе этой команды показывается статус сессии, занятый VTY, логин подключившегося пользователя и параметры шифрования.
display ssh server session
Session 1:
Conn : VTY 0
Version : 2.0
State : started
Username : huawei
Retry : 1
CTOS Cipher : aes128-cbc
STOC Cipher : aes128-cbc
CTOS Hmac : hmac-sha1
STOC Hmac : hmac-sha1
Kex : diffie-hellman-group-exchange-sha1
Service Type : stelnet
Authentication Type : password
Do'stlaringiz bilan baham: |
