阿里云服务器卸载
作为网络从业者或学习者,用 eNSP 仿真实验时,远程登录设备是高频操作。但 Telnet 明文传输的安全隐患让人揪心,而 SSH 协议的加密特性完美解决了这个问题。今天就带大家手把手搞定 eNSP 中 SSH 登录的配置,附完整命令示例,新手也能一次成功!
一、先搞懂:eNSP 与 SSH 为啥要 绑定?
华为 eNSP(Enterprise Network Simulation Platform)是咱们练手的 神器,能模拟真实网络设备的配置与运行。而 SSH(Secure Shell)是目前最主流的远程登录协议,通过数据加密和身份认证,避免了 Telnet 明文传输带来的密码泄露风险。
在 eNSP 中配置 SSH 登录,不仅能还原真实网络的安全管理场景,还能帮我们避开实验中 本地登录只能用控制台 的限制,实操价值拉满!
二、核心步骤:SSH 配置 7 步走(附命令详解)
第 1 步:进入系统编辑视图
所有配置都要从系统视图开始,先给 eNSP 中的设备配置 IP 地址,确保与本地主机能互通,否则后续配置全白搭。以 AR2220 路由器为例,基础 IP 配置命令:
system-view//进入系统视图[Huawei]sysname R1//修改设备名称为R1(方便区分)[R1]interfaceGigabitEthernet0/0/0//进入千兆以太网接口[R1-GigabitEthernet0/0/0]ip address192.168.1.124//配置IP地址和子网掩码[R1-GigabitEthernet0/0/0]undo shutdown//激活接口[R1-GigabitEthernet0/0/0]quit//退出接口视图配置完成后,在本地主机 CMD 中执行ping 192.168.1.1,出现 Reply from 192.168.1.1 说明连通成功。
第 2 步:生成 RSA 密钥对(SSH 加密的 钥匙)
SSH 依赖非对称加密,必须先创建 RSA 密钥对,命令如下:
[Huawei]rsa local-key-paircreate//生成本地RSA密钥对 Thekeynamewill be: Huawei_Host Therangeofpublickeysizeis(512~2048). NOTES:Ifthekeymodulusisgreaterthan512, it will take a few minutes.Inputthe bitsinthe modulus[default=512]:1024//推荐输入1024位(安全性更高) Generating keys... ..++++++++++++ ........++++++++++++ ....++++++++ ........++++++++出现 Generating keys... 并完成后,说明密钥对创建成功。
第 3 步:配置 VTY 界面(远程登录的 入口)
VTY 是虚拟终端接口,需要限制仅允许 SSH 接入,拒绝 Telnet:
[Huawei]user-interfacevty04//进入0-4号VTY接口(支持5个同时登录)[Huawei-ui-vty0-4]authentication-modeaaa//设置认证模式为AAA(需配合用户配置)[Huawei-ui-vty0-4]protocolinboundssh//仅允许SSH协议接入(禁用Telnet)[Huawei-ui-vty0-4]quit//退出VTY视图⚠️ 重点:protocol inbound ssh必须加,否则可能默认允许 Telnet,失去 SSH 的安全意义。
第 4 步:创建 SSH 用户(绑定登录身份)
在系统视图下创建 SSH 专用用户,指定认证方式:
[Huawei]ssh user admin//创建SSH用户,用户名设为admin[Huawei]ssh user admin authentication-type password//指定该用户用密码认证(新手推荐)如果需要更安全的 密钥认证,后续可进阶配置,本文先讲最通用的密码认证。
第 5 步:配置 AAA 本地用户(与 SSH 用户绑定)
AAA 是用户认证框架,必须创建与 SSH 同名的本地用户,设置密码和权限:
[Huawei]aaa//进入AAA视图[Huawei-aaa]local-user admin password cipher123456//创建本地用户admin,密码123456(cipher表示加密存储)[Huawei-aaa]local-user admin service-type ssh//限制该用户仅用于SSH服务[Huawei-aaa]local-user admin privilege level3//设置用户级别为3(可执行大部分配置命令)[Huawei-aaa]quit//退出AAA视图⚠️ 坑点:service-type ssh不能漏,否则用户无法通过 SSH 登录。
第 6 步:使能 SSH 服务(启动功能开关)
前面的配置都是 准备工作,这步才是真正启动 SSH 服务:
[Huawei]stelnet server enable//启动SSH服务(华为设备用stelnet表示SSH)输入后无报错,说明服务启动成功。
第 7 步:保存配置(防止重启丢失)
配置完成后一定要保存,否则设备重启后所有设置清零:
[Huawei]save//保存配置Thecurrentconfigurationwillbewrittentothedevice.Areyousuretocontinue?[Y/N]:y//输入y确认Info:Savingtheconfigurationsucceeded.三、验证登录:30 秒测试是否成功
以 Xshell 为例,教大家验证配置:
1. 打开 Xshell,点击 新建,在 主机 栏输入设备 IP(如 192.168.1.1),端口默认 22;
2. 点击 连接,弹出登录框,输入用户名 admin、密码 123456;
3. 若成功进入设备用户视图(显示),说明配置生效!
也可以用 eNSP 自带的 远程登录 工具验证,命令:
本地主机CMD中执行(需先安装OpenSSH客户端)sshadmin@192.168.1.1//输入后按提示输密码,成功登录即正常四、踩坑自救:3 个常见问题解决方法
1. 无法建立 SSH 连接(连不上)
排查 1:IP 是否互通?重新ping 192.168.1.1,若不通检查接口是否激活(undo shutdown);
排查 2:密钥对是否创建?输入display rsa local-key-pair public,无输出则重新创建;
排查 3:SSH 服务是否启动?输入display stelnet server status,若为 Disabled 则重新执行stelnet server enable。
2. 密码正确但认证失败
原因:AAA 用户配置错了!重新检查:
[Huawei]displayaaa local-user admin//查看用户配置确保service-type是 ssh,password和输入的一致。
3. 登录后提示 shell request failed on channel 0
解决:漏配用户级别或服务类型!补充命令:
[Huawei]aaa [Huawei-aaa]local-user admin privilege level3[Huawei-aaa]local-user admin service-type ssh五、SSH综合实验应用
实验内容
使用路由器R1模拟PC,作为SSH的Client;路由器R2作为SSH的Server,模拟远程用户端R1通过SSH协议远程登录到路由器R2上进行各种配置。本实验将通过Password认证方式来实现。
实验拓扑
配置通过STelnet登录系统的拓扑如图所示
实验编址
设备
接口
阿里云服务器 过户
IP地址
子网掩码
默认网关
R1
GE 0/0/0
10.1.1.1
255.255.255.0
N/A
R2
GE 0/0/0
10.1.1.2
255.255.255.0
N/A
实验步骤
1.基本配置
由于eNSP模拟软件自带PC没有SSH用户端,本实验采用两台路由器模拟实验, 路由器R1作为SSH的Client,路由器R2作为SSH的Server。 根据实验编址表进行相应的基本配置,并使用ping命令检测各直连链路的连通性。
R1
system-view[R1]interfaceGigabitEthernet0/0/0//进入端口[R1-GigabitEthernet0/0/0]ipaddress10.1.1.1255.255.255.0//配置端口地址[R1-GigabitEthernet0/0/0]quitR2
system-view[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]ipaddress10.1.1.2255.255.255.0[R2-GigabitEthernet0/0/0]quitR2 ping R1
2.配置SSHServer
相比于Telnet协议,SSH协议支持对报文加密传输,而非明文传送。因此,在跨越 互联网的远程登录管理中,建议使用SSH协议。 由于SSH用户使用Password方式验证,需要在SSH服务器端生成本地RSA密钥, 因此生成本地RSA密钥对是完成SSH登录配置的首要操作。 在R2上使用rsalocal-key-paircreate命令来生成本地RSA主机密钥对。
R2(服务器)
[R2]rsa local-key-paircreate//生成本地RSA密钥 Thekeynamewill be: Host % RSAkeysdefinedforHost already exist.Confirmtoreplacethem? (y/n)[n]:y Therangeofpublickeysizeis(512~2048). NOTES:Ifthekeymodulusisgreaterthan512, It will take a few minutes.Inputthe bitsinthe modulus[default=512]:1024//推荐输入1024位(安全性更高) Generating keys... ..............................++++++ ....++++++ ............++++++++ .........................++++++++配置完成后,使用displayrsalocal-key-pairpublic命令查看本地密钥对中的公钥部分信息。
R2
[R2]display rsa local-key-pairpublic//查看本地密钥对中的公钥部分信息可以观察到,此时已经生成了本地RSA主机密钥对。Time of Key paircreated描述公钥生成的时间,Keyname描述公钥的名称,Keytype描述公钥的类型。
在R2上配置VTY用户界面,设置用户的验证方式为AAA授权验证方式。
在R2上配置用户界面设置用户的授权验证方式。指定VTY类型用户界面只支持SSH协议,设备将自动禁止Telnet功能。使用local-user命令创建本地用户和用户口令,并以密文方式显示用户口令,指定用户名为huaweil,密码为huaweil。配置本地用户的接入类型为SSH。使用ssh user命令新建SSH用户,用户名为huaweil,指定SSH用户的认证方式为Password,即密码认证方式。
此处还可以继续使用local-user huawei privilege level命令配置本地用户的优先级。
其取值范围为0~15,取值越大,代表用户的优先级越高。不同级别的用户登录后,只能使用等于或低于自身级别的命令,默认值为3,代表管理级。
默认情况下,设备的SSH服务器功能为关闭状态,只有开启了此功能后,用户端才能以SSH方式与设备建立连接。在R2上开启设备的SSH功能。
R2
[R2]user-interfacevty04//配置VTY用户界面[R2-ui-vty0-4]authentication-modeaaa//验证方式为AAA授权验证方式[R2-ui-vty0-4]protocolinboundssh//指定VTY类型用户界面只支持SSH协议[R2-ui-vty0-4]quit[R2]aaa[R2-aaa]local-userhuaweipasswordcipherhuawei//创建本地用户和用户口令,以密文方式显示用户口令[R2-aaa]local-userhuaweiservice-typessh//本地用户的接入类型为SSH[R2-aaa]quit[R2]sshuserhuaweiauthentication-typepassword//新建SSH用户[R2]stelnetserverenable//开启设备的SSH功能配置完成后,使用display ssh user-information huawei命令在SSH服务器端查看SSH用户的配置信息。如果不在命令末尾指定SSH用户,则可以查看SSH服务器端所有的SSH用户配置信息。
R2
[R2]displayssh user-information huawei//查看SSH用户的配置信息可以观察到,此时R2上STelnetServer服务器状态为启用状态。
3.配置SSHClient
当SSH用户端第一次登录SSH服务器时,用户端还没有保存SSH服务器的RSA公钥,会对服务器的RSA有效性公钥检查失败,从而导致登录服务器失败。因此当用户端R1首次登录时,需开启SSH用户端首次认证功能,不对SSH服务器的RSA公钥进行有效性检查。
第一次登录时,由于开启了SSH用户端首次认证功能,在STelnet用户端第一次登录SSH服务器时,将不对SSH服务器的RSA公钥进行有效性检查。登录后,系统将自动分配并保存RSA公钥,为下次登录时认证。
输入用户huaweil1的密码huaweil。
R1
[R1]ssh client first-time enable//开启SSH用户端首次认证功能[R1]stelnet10.1.1.2输入密码后,远程登录R2成功,使用display ssh server session命令查看SSH服务 器端的当前会话连接信息。
可以观察到,用户huawei已经成功通过VTY线路0远程登录上来,用户端已经成功连接到SSH服务器,可以进行各种配置。如果要退出登录,使用quit命令即可。
六、总结:SSH 配置核心要点
密钥对是基础,必须先创建;
阿里云服务器吧
VTY 接口要限制SSH 接入,禁用 Telnet;
SSH 用户与 AAA 用户必须 同名同权限;
配置后一定要保存,验证连通性!
掌握 SSH 配置,不仅能应对 eNSP 实验,更是真实网络管理的必备技能。下次再做远程登录实验,别再用不安全的 Telnet 啦~
给阿里云服务器传文件
