案例4 配置SSH协议_网络工程师红宝书：思科华为华三实战案例荟萃-QQ阅读男生历史网

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

案例4 配置SSH协议

SSH协议安全远程管理简书

Telnet传输过程采用TCP进行明文传输，缺少安全的认证方式，容易招致DoS（Denial of Service，拒绝服务）、主机IP地址欺骗和路由欺骗等恶意攻击，存在很大的安全隐患。

相对于Telnet，STelnet基于SSH2协议，客户端和服务器端之间经过协商，建立安全连接，客户端可以像操作Telnet一样登录服务器端。SSH协议通过以下措施实现在不安全的网络上提供安全的远程登录操作：支持RSA（Revest-Shamir-Adleman）和ECC（Elliptic Curves Cryptography）认证方式。客户端需要创建一对密钥（公用密钥和私用密钥），并把公用密钥发送到需要登录的服务器上。服务器使用预先配置的该客户端的公用密钥，与报文中携带的客户端公用密钥进行比较。如果两个公用密钥不一致，则服务器断开与客户端的连接。如果两个公用密钥一致，客户端继续使用自己本地密钥对的私用密钥部分，对特定报文进行摘要运算，将所得的结果（即数字签名）发送给服务器，向服务器证明自己的身份。服务器使用预先配置的该客户端的公用密钥，对客户端发送过来的数字签名进行验证。支持用加密算法DES（Data Encryption Standard）、3DES、AES128（Advanced Encryption Standard 128）、AES256对用户名、密码，以及传输数据进行加密。

设备支持SSH服务器功能，可以与多个SSH客户端建立连接。同时，设备还支持SSH客户端功能，可以与支持SSH服务器功能的设备建立SSH连接，从而实现本地设备通过SSH方式登录到远程设备。目前，当设备作为SSH服务器端时，支持SSH2和SSH1两个版本。

4.1 在思科设备上配置SSH协议

4.1.1 客户安全管理需求

使用R2作为SSH客户端，通过远程方式可以访问SSH服务器R1，从而满足网络远程维护实施的安全要求。SSH协议作为安全的网络管理协议，应该普遍应用到安全性较高的网络中，而不推荐使用Telnet协议这种明文管理协议。

4.1.2 使用SSH协议组网拓扑

SSH协议配置拓扑如图4-1所示。图中R2的IP地址为202.100.1.2/30，通过SSH协议访问登录并管理SSH服务器R1，R1的IP地址为202.100.1.1/30。

图4-1 SSH协议配置拓扑

4.1.3 配置SSH协议要点

① 需要管理员开启SSH功能。

② 需要手工生成Key（密钥）。

③ 若PC与交换机不在同一个网段，则需要配置交换机的默认网关和路由。

4.1.4 配置SSH协议步骤详解

① 请先完成最基本的设备通信功能配置，这是网络管理的前提，而初学者往往会忽略这一点。

② 完成SSH服务器的基本配置。

③ 完成SSH登录测试。

④ 验证。

以上测试是将路由器作为SSH的客户端进行测试的。

注意：此处使用路由器作为客户端，如果是真实设备，请采用SecureCRT等终端管理软件，采用SSH协议登录，采用SecureCRT实现SSH登录实例如图4-2所示，选择处的SSH协议，输入处的IP地址进行连接。

图4-2 采用SecureCRT实现SSH登录实例

至此，思科设备的SSH协议配置完毕。

4.2 在华为设备上配置SSH协议

4.2.1 使用SSH协议的组网需求

通过SSH方式远程安全管理网络设备，用密文的方式在网络中传输管理数据，以满足企业网络设备的安全管理需求（读者可以用模拟器抓取Telnet协议的报文，会发现所有的数据都可以被以明文的形式抓取到）。

4.2.2 使用SSH协议的组网拓扑

使用SSH协议的组网拓扑如图4-3所示，R2作为SSH客户端远程登录到SSH服务器R1，其IP地址如图所示，需要说明的一点是，华为的eNSP模拟器中的交换机大部分（可能）不支持SSH协议，所以在本例中使用了AR2200的设备（请勿使用Router，它可能也不支持SSH协议，依据eNSP版本不同而有所不同）。

图4-3 使用SSH协议的组网拓扑

4.2.3 配置SSH协议要点

① 需要在服务器上创建SSH账户并开启SSH协议。

② 手工创建密钥（推荐768位以上）。

③ VTY的用户接口下允许开启SSH登录方式。

4.2.4 配置SSH协议步骤详解

① 请读者完成基本的网络连通性配置，同时熟悉华为设备上IP地址的配置过程。

② 请在R1上级服务器上完成SSH协议配置。

③ 完成SSH登录测试。

至此，华为设备的SSH协议配置完毕。

4.3 在华三设备上配置SSH协议

4.3.1 安全管理网元需求

通过SSH方式远程安全管理华三网络设备。正如前面所述，Telnet协议实施方便，应用起来也非常快捷，但是它确实不那么安全，可以说所有的数据都“赤裸裸”地暴露在网络上，而SSH协议是一种安全传输协议，它传输的数据经过加密处理。

4.3.2 使用SSH协议组网拓扑

在华三设备上配置SSH协议拓扑如图4-4所示，图中SW1充当SSH客户端远程登录到SSH服务器R1，地址如图所示。与前边的案例相同，在本例中，把网络设备既作为SSH协议的服务器端也作为SSH协议的客户端，即通过一台网络设备远程管理另外一台网络设备。在现实网络中，客户端是运行SecureCRT等终端的管理员计算机，而服务器是被管理的网络设备。

图4-4 在华三设备上配置SSH协议拓扑

4.3.3 配置SSH协议要点

本节的配置要点与前面思科、华为设备实施SSH协议的配置要点几乎相同，有以下几点。

① 需要在服务器上创建SSH账户并开启SSH功能。

② 手工创建密钥。

③ VTY允许SSH登录。

4.3.4 配置SSH协议和测试步骤

① 华三设备SSH服务器配置。

② 在客户端进行SSH登录测试。

至此，本案例实施完毕。