华为交换机 ssh和Telnet远程登录配置命令
##定位合肥

联系方式 QQ481715271
**

简单拓扑

**
LSW4 vlan 20配置地址的原因是SSH Telnet 都可以登录
LSW3 配置

vlan batch 10 20

interface Vlanif10

ip address 192.168.10.1 255.255.255.0

interface Vlanif20

ip address 192.168.20.1 255.255.255.0

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 2 to 4094

q
##配置rsa密钥

rsa local-key-pair creat

512

q
## 进入用户视图

user-interface vty 0 4

authentication-mode aaa

protocol inbound all

##配置AAA认证

aaa

local-user admin password simple 123456

local-user admin privilege level 15

local-user admin service-type telnet ssh

q

##开启stelnet服务

stelnet server enable

ssh user admin

ssh user admin authentication-type password

ssh user admin service-type stelnet
LSW3配置完毕
LSW4配置
vlan batch 10 20

interface Vlanif20

ip address 192.168.20.2 255.255.255.0

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 2 to 4094

ip route-static 0.0.0.0 0.0.0.0 192.168.20.1##这里要配置一条指向性静态路由，否则Telnet找不到管理地址；
##配置rsa密钥

rsa local-key-pair creat

512

q
## 进入用户视图

user-interface vty 0 4

authentication-mode aaa

protocol inbound all

##配置AAA认证

aaa

local-user admin password simple 123456###这里密码可以改

local-user admin privilege level 15

local-user admin service-type telnet ssh

q

##开启stelnet服务

stelnet server enable

ssh user admin

ssh user admin authentication-type password

ssh user admin service-type stelnet
访问
telnet 192.168.20.1



stelnet 192.168.20.1

#这里ssh首次登陆的时候需要配置 ssh clinet first-time enable

如果用CTR等一些远程软件 则不要输入这条命令



进来请点个赞吧！！！

	

上次我们提到了关于华为交换机配置Telnet远程登陆，现在我们讲一下SSH远程登录的方式，以下为锐捷交换机为例。
一、如何配置锐捷SSH远程登陆
1、配置思路
配置SSH远程登陆，一般是有四个步骤：
(1)首先选择Console方式登陆交换机
(2)开启交换机的SSH服务功能并配置IP
(3)生成加密密钥
(4)配置SSH管理的登入口令
二、配置步骤
(1)首先选择Console方式登陆交换机
(2)开启交换机的SSH服务功能并配置IP
switch>enable     //进入特权模式switch#configure terminal     //进入全局配置模式switch(config)#enable service ssh-server     //开启ssh-serverswitch(config)#interface vlan 1       //进入vlan 1接口switch(config-if)#ip address 192.168.1.1 255.255.255.0    //为vlan 1接口上设置管理ip 192.168.1.1switch(config-if)#exit //退回到全局配置模式
3、生成加密密钥
switch(config)#crypto key generate dsa    //加密方式有两种：DSA和RSA,可以随意选择
然后等待密钥生成，然后直接敲回车即可。
4、配置SSH管理的登入口令
switch(config)#line vty 0 4     //进入SSH密码配置模式，0 4表示允许共5个用户同时SSH登入到交换机switch(config-line)#login local    //启用SSH时使用本地用户和密码功能switch(config-line)#transport input ssh    //设置传输模式是SSH，设置远程登入只允许使用SSH登入，不能使用Telnet登入
switch(config-line)#exit     //回到全局配置模式switch(config)#username Ruijie password 123456 //配置远程登入的用户名为Ruijie，密码为123456switch(config)#end     //退出到特权模式switch#write       //确认配置正确，保存配置

1
1、本地PC连到交换机配置口
第一次配置交换机时，只能通过交换机的Console口进行本地配置，默认Console口登录到命令行界面时没有密码且拥有全部权限。要连接到交换机，你只需要在PC上装好需要的超级终端软件(SecureCRT或Xshell等)，然后通过一条串口转USB的线将PC连接到交换机的Console口上，然后设置好接口属性即可建立连接，进入命令行后可以进行相关Telnet配置。
2
1)、连线
首先将PC连通过Console线连到交换机上，如下图所示，Console线一端接PC的串口或USB，另一端接交换机的Console口(RJ45的居多)，我这里用的是USB转RJ45的线。
3
2)、 建立连接
在PC上通过终端软件(如Xshell、SecureCRT等，这里用的是Xshell)建立连接。
首先打开Xshell，新建会话，选择连接类型为串口(Serial)：
4
然后点击左边Serial连接属性，选择使用端口号COM3(如果不知道自己使用的是哪个端口，可以在PC上打开设备管理器在端口中即可看到，一般均使用COM3)，设置波特率为9600(大多数设备都是这个值)，如下图所示，都设置好后，点击确定：
5
确认好连接属性后，会弹出会话框，在会话框里选择你刚刚新建的会话，然后点击连接即可。
6
如果设置没问题的话，一般就可以直接进入交换机的操作系统如下，默认Console口没有认证密码，可以直接进入命令行进行管理和配置，如果没有进入命令行就要自己回头检查一下之前的配置有没有问题或者交换机之前有没有做过什么访问限制(必要的话可以重置交换机，如有些时候之前交换机命令行设置了密码，现在已经无从考证，只要简单的重置就可以恢复默认状态，进入时就不需要密码了)。
7
2、配置接口管理IP
进入命令行后就可以进行相关配置了，要远程访问设备，首先要配置一个接口IP用来转发三层数据包，对于一般的二层接入交换机，不能像路由器一样直接配置接口IP，只能在虚拟VLAN接口上配一个管理IP，用来转发管理流量，实现远程登录，配置命令如下。
1)、创建虚拟VLAN用于配置接口IP(全局配置模式下)
Switch(config)#vlan 
2)、进入VLAN接口配置模式(全局配置模式下)
Switch(config)#interface vlan 
3)、配置接口IP地址(VLAN接口配置模式下)
Switch(config-if)#ip address 
4)、激活当前虚拟接口(VLAN接口配置模式下)
Switch(config-if)#no shutdown
8
3、配置SSH远程登录认证
思科交换机远程登录认证支持三种方式：无认证、密码认证、用户名+密码组合认证，可以根据需要配置相应的认证方式。在配置认证时可以使用终端线路的密码进行口令认证(l，也可以使用用户名+密码认证，用户名+密码有两种方式，一种是使用本地数据库中的用户账户进行认证，另一种是使用外部服务器上的用户数据库进行认证。认证方式要在虚拟线路终端模式下配置
9
1)、无认证方式
设置虚拟终端线路号并进入虚拟线路终端配置模式(全局配置模式下)：
Switch(config)#line vty <0-15>
配置无认证登录方式(虚拟线路终端配置模式下)：
Switch(config-line)#no login
要配置认证方式，首先要进入虚拟线路终端配置模式，其中line vty为虚拟线路终端模式的关键词，后边为要启用的线路终端号，可以启用其中一条或多条，一般一共有16条线路，也就是说可以支持16台设备通过不同线路同时登录到设备。进入虚拟线路终端配置模式后，输入no login即可取消远程登录认证，这样无需密码就可以从远程登录到设备命令行
10
2)、密码认证方式
设置虚拟终端线路号并进入虚拟线路终端配置模式(全局配置模式下)：
Switch(config)#line vty <0-15>
开启认证，默认使用虚拟终端中的密码登录(虚拟线路终端配置模式下)
Switch(config-line)#login
配置虚拟终端密码(虚拟终端线路配置模式)：
Switch(config-line)#password 
进入虚拟线路终端配置模式后，选择 login就会开启密码认证，远程登录时直接使用虚拟线路配置模式中设置好的密码来进行登录验证。选择 login认证方式后，必须在虚拟线路配置模式中设置一个密码用来进行远程登录验证。
11
3 )、本地用户名+密码组合认证方式
设置虚拟终端线路号并进入虚拟线路终端配置模式(全局配置模式下)：
Switch(config)#line vty <0-15>
配置密码校检模式使用本地数据库(用户名/密码)校检：
Switch(config-line)#login local
进入虚拟线路终端配置模式后，选择 login local就会开启本地用户认证模式，远程登录时会使用本地数据库中存储的用户和密码信息来进行登录验证。
12
4、创建本地用户
在配置用户名+密码组合登录认证的情况下，至少要配置一个本地用户并设置密码用来通过SSH远程登录设备，思科交换机配置本地用户的命令如下，可以用一条命令同时配置用户名和密码，密码则有两种模式可选，分别是明文密码和密文密码：
1)、以明文密码方式配置(全局配置模式下)：
Switch(config)#username  [privilege <0-15>] password 
2)、以密文密码方式配置(全局配置模式下)：
Switch(config)#username  [privilege <0-15>] secret 
如果配置了明文密码，配置文件中密码会以明文方式显示，如果使用了密文密码，配置文件中会对密码信息进行加密处理。
13
如我们这里配置用户登录密码为明文密码admin，然后通过命令show run可以在配置文件看到对应的配置信息中用户密码以明文admin显示，如下图所示：
14
而如果配置用户登录密码为密文密码admin，则可以看到配置文件中密码admin被进行了加密处理，在配置文件中以密文表示，如下图所示，这样会增加配置信息的安全性。
15
注：给同一个用户名多次配置不同的密码(同一类型的密码)，不会报错，但后配置的密码会自动覆盖前一个密码，最终只有最后一次配置的密码会生效。
注：不能同时给同一个用户配置一个明文密码和一个密文密码，否则会报错，如下图已经给admin用户配置了密文密码admin后，再给其配置一个明文密码就会报错：
16
5、配置特权模式密码
出于安全性考虑，思科交换机上如果配置了Telnet或SSH远程服务，就必须同时配置特权模式的密码，不管是无认证方式登录还是有认证方式下都需要配置，否则登录到命令行后只能进入用户模式，进入特权模式时会提示“No password set”，所以配置完认证模式后不要忘了配置特权模式密码。如下图所示，就是分别配置了无认证方式登录、密码登录和用户名+密码登录后未配置特权模式密码的报错情况，如果真的发生这种情况，远程登录就修改不了了，只能通过交换机Console口登录到命令行去重新修改配置了，Console口默认拥有最大权限的。
17
配置特权模式密码(全局配置模式下)：
Switch(config)#enable [secret|password] 
其中enable关键字表示特权模式，后边可以选择设置的密码类型，secret表示密码在配置文件中用密文表示，password表示密码在配置文件中用明文表示，后边直接跟你要设置的字符串密码就好。一般推荐用secret，安全性较高。
注：如果给交换机特权模式同时配置了password形式的密码和secret形式的密码，不会报错，但是只有secret形式的密码会生效，此外新配置的secret密码会自动覆盖旧的secret密码。
18
6、配置本机域名
根据SSH的认证机制，必需要给本机配置一个域名才能生成密钥对进行加密。
配置本机域名(全局配置模式下)：
Switch(config)#ip domain-name 
19
7、生成本地RSA密钥对
使用SSH加密方式，需要在本地生成一组密钥对，公钥和私钥用来加密和解密数据(默认密匙长度为512，建议为1024)。
生成密钥对(全局配置模式下)：
Switch(config)#crypto key generate rsa
注：要先配置本机域名之后才能生成密钥对，否则会报错。
注：生成密钥对时不能使用交换机默认的设备名，否则会报错。
注：要删除本地密钥对可以使用命令：crypto key zeroize rsa。
20
8、SSH登录参数配置
选择要使用的ssh版本(默认使用版本1)
Switch(config)#ip ssh version <1|2>
修改认证次数( 默认为认证时需要输入三次密码)
Switch(config)#ip ssh authentication-retries <0-5>
修改认证超时时间(默认为120s)
Switch(config)#ip ssh time-out <1-120>
注：并非所有的设备都支持SSH版本2，并且密匙长度至少需要768bits的模长才能使用版本2。
21
9、查看SSH协议状态
查看SSH协议状态(特权模式)：
Switch#show ip ssh
使用这条命令可以出查看SSH协议的参数信息，如运行的SSH版本号、认证超时时间、认证次数、密匙密钥长度和信息，如下图所示：
22
查看ssh连接(特权模式下)：
Switch#show ssh
使用这条命令可以查看当前通过SSH登录的用户信息，如下图所示：
23
10、设置交换机的默认网关
二层交换机配置了管理IP地址后，在管理地址的同网段内，设备可通过管理IP地址来远程访问交换机，但若要跨网段去登录连接到另一个网段的二层交换机，则必须给二层交换机配置指定默认网关，双方的二层交换机都要配置指定默认网关地址。企业局域网中一般会用到多个VLAN和网段，一般不同地址段的路由都是在上层设备上做通了的，而一般二层交换机只要将网关指向汇聚/核心层的三层设备的网管IP就可以了，具体全网路由互通则交由上层设备通过静态/动态路由实现，关于上层路由打通还请大家自己查阅路由交换相关资料，这里就不详细说明了。
配置默认网关命令如下：
Switch(config)#ip default-gateway 
END

SSH的优势
在现在这个信息时代，网络安全变得越来越重要，当然路由器交换机作为数据传输的环节，安全性更为重要。
现在的网络设备一般都是支持SSH和Telnet远程登录的，新设备一般默认建议SSH登录。
Telnet是明文传送，SSH是密文传送，这是最主要的区别。
SSH替代Telnet是趋势也是现实。在使用SSH的时候，一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接，并加密受保护的口令。SSH1使用RSA加密密钥，SSH2使用数字签名算法(DSA)密钥保护连接和认证。加密算法包括Blowfish，数据加密标准(DES)，以及三重DES(3DES)。SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。
通过使用SSH把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了，而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替telnet，又可以为ftp、pop、甚至ppp提供一个安全的“通道”。
SSH配置
1.配置设备名称，domain名称，生成RSA 密钥对
Switch#configure terminal
Switch(config)#hostname test
test(config)#ip domain-name hello2099.com
test(config)#crypto key generate rsa
The name for the keys will be: test.hello2099.com
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]:
% Generating 512 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 0 seconds)
要删除 RSA 密钥对，请使用crypto key zeroize rsa 全局配置模式命令。删除 RSA 密钥对之后，SSH 服务将自动禁用。
2.配置SSH版本，超时时间，重认证次数
test(config)#ip ssh version 2
test(config)#ip ssh time-out 90
test(config)#ip ssh authentication-retries 2
以上参数可根据实际情况自行选择。对于比较新的iso，可以直接敲入 ip ssh time-out 90 authentication-retries 2
3.配置用户身份验证和vty线路。
SSH登陆需要用户名和密码，所以必须要配置用户。我这里使用的是本地认证，实际环境中AAA认证同理。
test(config)#username cisco secret cisco
test(config)#enable secret cisco
test(config)#line vty 0 4
test(config-line)#login local
test(config-line)#transport input ssh
如需关闭Telnet，只开启SSH，敲入transport input ssh
如需同时支持SSH和Telnet，敲入transport input all
test(config-line)#transport input ?
all All protocols
none No protocols
ssh TCP/IP SSH protocol
telnet TCP/IP Telnet protocol
一般情况下line vty 0 4配置完成后，建议将vty 5 15关闭，因为如果vty 0 4启用了SSH登录而vty 5 15没有，远程Telnet会绕过vty 0 4而使用vty 5 15。如下面的情况：
因此建议将vty 5 15关闭。
test(config-line)#line vty 5 15
test(config-line)#transport input none
再次登录，就完全关闭了Telnet，只能使用SSH。
4.检查SSH登录
test#show ssh
Connection Version Mode Encryption Hmac State Username
0 2.0 IN aes256-ctr hmac-sha1 Session started cisco
0 2.0 OUT aes256-ctr hmac-sha1 Session started cisco
%No SSHv1 server connections running.
test#show ip ssh
SSH Enabled - version 2.0
Authentication methods:publickey,keyboard-interactive,password
Encryption Algorithms:aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
MAC Algorithms:hmac-sha1,hmac-sha1-96
Authentication timeout: 90 secs; Authentication retries: 2
Minimum expected Diffie Hellman key size : 1024 bits
IOS Keys in SECSH format(ssh-rsa, base64 encoded):
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDNYkHIP4uyK+jxLV6n3AlBtUaa6O53K9u2qrtQQu+v
jdmW9vhhsiFaDUDf4fROkczE+6FskpgeqEdP6MtqxCO8CNAPIxqDIYR/bBGtWBhhEsPmrgpQBGWCKSyJ
aRBLdeCRJXmYLEDZXCcEtmJQf6Iu7zCV9ZMxO0A1/2B4Si9Dgw==
配置范例
Switch(config)# hostname test
test(config)# ip domain-name hello2099.com
test(config)# crypto key generate rsa
test(config)# ip ssh version 2
test(config)# ip ssh time-out 90
test(config)# ip ssh authentication-retries 2
test(config)# username cisco secret cisco
test(config)# enable secret cisco
test(config)# line vty 0 4
test(config-line)# login local
test(config-line)# transport input ssh
test(config)# line vty 5 15
test(config-line)# transport input none