素材来源:华为路由器配置指南
一边学习一边整理试验笔记,并与大家分享,侵权即删,谢谢支持!
附上汇总贴:玩转华为ENSP模拟器系列 | 合集_COCOgsta的博客-CSDN博客_华为模拟器实验
目标
通过STelnet登录其他设备配置的示例。在本示例中,通过在STelnet客户端和SSH服务器端生成本地密钥对,在SSH服务器端生成ECC公钥、并为用户绑定该ECC公钥,实现Stelnet客户端连接SSH服务器。
组网需求
网络中有大量设备需要管理与维护,用户不可能为每台设备连接用户终端,特别是终端与需要管理的设备之间无可达路由时,用户可以使用Telnet方式从当前设备登录到网络上另一台设备,从而实现对远程设备的管理与维护。但是Telnet缺少安全的认证方式,而且传输过程采用TCP进行明文传输,存在很大的安全隐患。
而STelnet是一种安全的Telnet服务,建立在SSH连接的基础之上。SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、简单密码截取等攻击。SSH服务器端STelnet服务使能后,STelnet客户端可以通过Password、RSA、password-rsa、ECC、password-ecc或all认证的方式登录到SSH服务器端。如图1所示,配置两个登录用户为client001和client002,分别使用password方式和ECC方式登录SSH服务器。
配置思路
- 在SSH服务器上配置用户client001和client002,分别使用不同的认证方式登录SSH服务器。
- 分别在STelnet客户端Client002和SSH服务器端生成本地密钥对,并为用户client002绑定SSH客户端的ECC公钥,实现客户端登录服务器端时,对客户端进行验证。
- SSH服务器端STelnet服务使能。
- 配置SSH用户client001和client002的服务方式为STelnet。
- 使能SSH客户端首次认证功能。
- 用户client001和client002分别以STelnet方式实现登录SSH服务器。
操作步骤
- 在服务器端生成本地密钥对
SSH Server:
sysname SSH Server
ecc local-key-pair create
- 在服务器端创建SSH用户
配置VTY用户界面。
SSH Server:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3
protocol inbound ssh
创建SSH用户Client001。
新建用户名为Client001的SSH用户,且认证方式为password。
SSH Server:
ssh user client001
ssh user client001 authentication-type password
为SSH用户Client001配置密码为Hello-huawei123。
SSH Server:
aaa
local-user client001 password irreversible-cipher $1c$y$Ro$5uraS$lT&,/_{W#V\Xex&PUR^9gH5~'B4>5KJ99K-9/}xX$
local-user client001 service-type ssh
创建SSH用户Client002。
新建用户名为Client002的SSH用户,且认证方式为ECC。
SSH Server:
ssh user client002
ssh user client002 authentication-type ecc
ssh authorization-type default root
- 配置服务器端ECC公钥
客户端Client002生成客户端的本地密钥对
SSH Server:
sysname client002
ecc local-key-pair create
查看客户端上生成ECC公钥。
[~client002]display ecc local-key-pair public
========================================================
Time of Key pair created : 2019-10-21 18:05:23
Key Name : client002_Host_ECC
Key modulus : 521
Key Type : ECC Encryption Key
========================================================
Key Code:
040015A7 6C57151F 0391830B 6462795B 4F5D6524
6CA99B24 3C901FB4 6BB5428D 95045942 9793B5BC
78739E65 139E893F B8CDD837 7CDD6588 B6DC88AB
2859DD44 BC18B100 7552F559 170B1423 194F2285
8F916E5B 63CC2125 99148135 B3C38A77 650862D6
BB29ACFC ECAF54B5 259734DB 2E77F356 3FFBA545
DF131419 1FE7A0BB F33BB77E 22
Host public key for PEM format code:
---- BEGIN SSH2 PUBLIC KEY ----
AAAAE2VjZHNhLXNoYTItbmlzdHA1MjEAAAAIbmlzdHA1MjEAAACFBAAVp2xXFR8D
kYMLZGJ5W09dZSRsqZskPJAftGu1Qo2VBFlCl5O1vHhznmUTnok/uM3YN3zdZYi2
3IirKFndRLwYsQB1UvVZFwsUIxlPIoWPkW5bY8whJZkUgTWzw4p3ZQhi1rsprPzs
r1S1JZc02y5381Y/+6VF3xMUGR/noLvzO7d+Ig==
---- END SSH2 PUBLIC KEY ----
[~client002]
将客户端上产生的ECC公钥传送到服务器端。
SSH Server:
ecc peer-public-key 1.1.1.1
public-key-code begin
0400CB04 85C462A2 2169E6B4 CD089C0D 4E27A587 C7D8AAE3 A3FD2714 A7414857
747BC1F8 E4797A8E CBA0FCE6 475260FE BB5F3C5B 219594DF D7A59B3C 1C5CEEA2
6ADD5400 B10DF3F1 DDC7A255 38A27469 2BD67DBD AE0A0B40 C3B9C7DC 6D7C83DD
5FBB3E84 CC057512 1B6D652B 1E722161 3915932B 003C2B7E CC591551 4A4F31E1
5D5E140E F9
public-key-code end
peer-public-key end
- 为SSH用户Client002绑定SSH客户端的ECC公钥。
SSH Server:
ssh user client002 assign ecc-key ecckey001
- SSH服务器端STelnet服务使能
使能STelnet服务功能。
SSH Server:
stelnet server enable
配置SSH用户Client001、Client002的服务方式为STelnet
SSH Server:
ssh user client001 service-type stelnet
ssh user client002 service-type stelnet
- STelnet客户端连接SSH服务器
第一次登录,需要使能SSH客户端首次认证功能。
使能客户端Client001首次认证功能。
client001:
sysname client001
ssh client first-time enable
使能客户端Client002首次认证功能
client002:
ssh client first-time enable
STelnet客户端Client001用password认证方式连接SSH服务器,输入配置的用户名和密码。
[~client001]stelnet 1.1.1.1
Trying 1.1.1.1 ...
Press CTRL + K to abort
Connected to 1.1.1.1 ...
The server is not authenticated. Continue to access it? [Y/N]: y
Save the server's public key? [Y/N]: y
The server's public key will be saved with the name 1.1.1.1. Please wait...
Please input the username: client001
Enter password:
Warning: The initial password poses security risks.
The password needs to be changed. Change now? [Y/N]:n
Info: The max number of VTY users is 5, the number of current VTY users online i
s 1, and total number of terminal users online is 2.
The current login time is 2019-10-21 18:27:09.
The last login time is 2019-10-21 18:23:56 from 1.1.2.2 through SSH.
<SSH Server>
<SSH Server>
<SSH Server>
STelnet客户端Clent002用ECC认证方式连接SSH服务器。
[~client002]stelnet 1.1.1.1
Trying 1.1.1.1 ...
Press CTRL + K to abort
Connected to 1.1.1.1 ...
The server is not authenticated. Continue to access it? [Y/N]: y
Save the server's public key? [Y/N]: y
The server's public key will be saved with the name 1.1.1.1. Please wait...
Please input the username: client002
Info: The max number of VTY users is 5, the number of current VTY users online is 1, and total number of terminal users online is 2.
The current login time is 2019-10-21 18:10:59.
<SSH Server>
如果登录成功,用户将进入用户视图。如果登录失败,用户将收到Session is disconnected的信息。
- 验证配置结果
配置完成后,在SSH服务器端执行display ssh server status命令、display ssh server session,可以查看到STelnet服务已经使能,并且STelnet客户端已经成功连接到SSH服务器。
查看SSH状态信息。
<SSH Server>dis ssh server status
SSH Version : 2.0
SSH authentication timeout (Seconds) : 60
SSH authentication retries (Times) : 3
SSH server key generating interval (Hours) : 0
SSH version 1.x compatibility : Disable
SSH server keepalive : Enable
SFTP IPv4 server : Disable
SFTP IPv6 server : Disable
STELNET IPv4 server : Enable
STELNET IPv6 server : Enable
SNETCONF IPv4 server : Disable
SNETCONF IPv6 server : Disable
SNETCONF IPv4 server port(830) : Disable
SNETCONF IPv6 server port(830) : Disable
SCP IPv4 server : Disable
SCP IPv6 server : Disable
SSH server DES : Disable
SSH IPv4 server port : 22
SSH IPv6 server port : 22
SSH server source address : 0.0.0.0
SSH ipv6 server source address : 0::0
SSH ipv6 server source vpnName :
ACL name :
ACL number :
ACL6 name :
ACL6 number :
SSH server ip-block : Enable
<SSH Server>
查看SSH服务器的连接信息。
<SSH Server>dis ssh server session
--------------------------------------------------------------------------------
Session : 1
Conn : VTY 0
Version : 2.0
State : Started
Username : client001
Retry : 1
CTOS Cipher : aes256-ctr
STOC Cipher : aes256-ctr
CTOS Hmac : hmac-sha2-256
STOC Hmac : hmac-sha2-256
CTOS Compress : none
STOC Compress : none
Kex : diffie-hellman-group14-sha1
Public Key : ECC
Service Type : stelnet
Authentication Type : password
Connection Port Number : 22
Idle Time : 00:00:00
Total Packet Number : 147
Packet Number after Rekey : 147
Total Data(MB) : 0
Data after Rekey(MB) : 0
Time after Session Established(Minute) : 1
Time after Rekey(Minute) : 1
--------------------------------------------------------------------------------
<SSH Server>
查看SSH用户信息。
<SSH Server>display ssh user-information
--------------------------------------------------------------------------------
User Name : client001
Authentication-Type : password
User-public-key-name :
User-public-key-type : -
Sftp-directory :
Service-type : stelnet
User Name : client002
Authentication-Type : ecc
User-public-key-name : ecckey001
User-public-key-type : -
Sftp-directory :
Service-type : stelnet
--------------------------------------------------------------------------------
Total 2, 2 printed
<SSH Server>