文章目录
- 华为AR6121-eS路由器SSH远程连接配置详解
- 一、配置前准备与规划
- 1. 网络拓扑与IP规划
- 2. 配置前检查
- 二、基础网络配置
- 1. 进入系统视图与设备命名
- 2. 配置管理接口(以GE0/0/0为例)
- 3. 配置路由(如需远程跨网段访问)
- 三、SSH服务器配置(完整步骤)
- 1. 生成SSH密钥对
- 2. 创建SSH用户
- 3. 配置本地用户数据库
- 4. 配置VTY用户界面
- 5. 启用SSH服务
- 四、SSH安全增强配置
- 1. 配置SSH算法与参数
- 2. 配置访问控制列表(ACL)
- 3. 修改SSH端口(可选增强)
- 4. 配置登录安全
- 五、验证与测试配置
- 1. 验证命令
- 2. 保存配置
- 六、客户端连接测试
- 1. Windows客户端(PuTTY/Xshell)
- 2. Linux/macOS客户端
- 3. SFTP文件传输
- 七、排错指南
- 1. 连接问题排查步骤
- 2. 常见错误与解决方案
- 3. 调试命令
- 八、自动化配置脚本
- 九、维护与监控
- 1. 日常监控命令
- 2. 定期维护任务
- 3. 备份配置
- 十、注意事项
华为AR6121-eS路由器SSH远程连接配置详解
一、配置前准备与规划
1. 网络拓扑与IP规划
网络拓扑: PC/管理主机 (192.168.1.100/24) --- GE0/0/0 --- AR6121 (192.168.1.1/24) | Internet 配置目标: - SSH管理接口:GE0/0/0,IP: 192.168.1.1/24 - SSH端口:默认22(可改为非标端口增强安全) - 用户名:admin(建议自定义) - 用户权限:Level-15(最高权限) - 认证方式:密码认证+可选密钥认证2. 配置前检查
# 查看设备当前状态<Huawei>display version<Huawei>display device<Huawei>display interface brief<Huawei>display current-configuration# 确认设备型号和VRP版本<Huawei>display version Huawei Versatile Routing Platform Software VRP(R)software, Version8.x(AR6121-eS)二、基础网络配置
1. 进入系统视图与设备命名
<Huawei>system-view[Huawei]sysname AR6121-eS[AR6121-eS]2. 配置管理接口(以GE0/0/0为例)
# 配置接口IP地址[AR6121-eS]interface GigabitEthernet0/0/0[AR6121-eS-GigabitEthernet0/0/0]description Management-Interface[AR6121-eS-GigabitEthernet0/0/0]ipaddress192.168.1.1255.255.255.0[AR6121-eS-GigabitEthernet0/0/0]undoshutdown[AR6121-eS-GigabitEthernet0/0/0]quit# 可选:配置管理VLAN(如需)[AR6121-eS]vlan100[AR6121-eS-vlan100]description Management-VLAN[AR6121-eS-vlan100]quit[AR6121-eS]interface Vlanif100[AR6121-eS-Vlanif100]ipaddress192.168.1.124[AR6121-eS-Vlanif100]quit3. 配置路由(如需远程跨网段访问)
# 如果管理主机与路由器直连,无需配置路由# 如需跨网段访问,配置默认路由[AR6121-eS]iproute-static0.0.0.00.0.0.0192.168.1.254# 或配置到管理网段的路由[AR6121-eS]iproute-static10.1.1.0255.255.255.0192.168.1.254三、SSH服务器配置(完整步骤)
1. 生成SSH密钥对
# 1.1 生成RSA密钥对(推荐长度3072位)[AR6121-eS]rsa local-key-pair create The key name will be: AR6121-eS_Host The range of public key size is(2048,3072,4096). Input the bitsinthe modulus[default=3072]:3072Generating keys.............................++++++.....................................++++++......++++++........++++++[AR6121-eS]# 1.2 查看生成的密钥对[AR6121-eS]display rsa local-key-pair public Host public keyforrsa:===================================Time of Key pair created:2024-12-2410:30:00 Key name: AR6121-eS_Host Key type: RSA Key length:3072===================================Key code: 3082018A...(省略具体密钥内容)===================================2. 创建SSH用户
# 2.1 创建SSH用户[AR6121-eS]sshuser admin[AR6121-eS]sshuser admin authentication-type password[AR6121-eS]sshuser admin service-type stelnet[AR6121-eS]sshuser adminsftp# 2.2 可选:创建密钥认证用户[AR6121-eS]sshuser admin2[AR6121-eS]sshuser admin2 authentication-type rsa[AR6121-eS]sshuser admin2 assign rsa-key admin2_key[AR6121-eS]sshuser admin2 service-type stelnet3. 配置本地用户数据库
# 3.1 进入AAA视图[AR6121-eS]aaa# 3.2 创建本地用户(使用不可逆加密)[AR6121-eS-aaa]local-user admin password irreversible-cipher Huawei@2024!Info: The'irreversible-cipher'cipher is highly secure, and it is recommended.# 3.3 配置用户权限级别[AR6121-eS-aaa]local-user admin privilege level15[AR6121-eS-aaa]local-user admin service-typesshterminal# 3.4 配置用户参数[AR6121-eS-aaa]local-user admin ftp-directory flash:/[AR6121-eS-aaa]local-user admin state active[AR6121-eS-aaa]quit# 3.5 可选:创建多个用户(分级权限)[AR6121-eS]aaa[AR6121-eS-aaa]local-user operator password irreversible-cipher Operator@123[AR6121-eS-aaa]local-user operator privilege level3[AR6121-eS-aaa]local-user operator service-typessh[AR6121-eS-aaa]local-user operator state active[AR6121-eS-aaa]quit4. 配置VTY用户界面
# 4.1 进入VTY视图[AR6121-eS]user-interface vty04[AR6121-eS-ui-vty0-4]authentication-mode aaa# 4.2 配置支持的协议(只允许SSH)[AR6121-eS-ui-vty0-4]protocol inboundssh# 注意:禁用telnet,只允许SSH连接[AR6121-eS-ui-vty0-4]undo protocol inbound telnet[AR6121-eS-ui-vty0-4]undo protocol inbound all# 4.3 配置会话参数[AR6121-eS-ui-vty0-4]idle-timeout50# 空闲超时5分钟[AR6121-eS-ui-vty0-4]screen-length0# 不分屏显示[AR6121-eS-ui-vty0-4]history-command max-size256[AR6121-eS-ui-vty0-4]quit# 4.4 可选:配置额外的VTY线路[AR6121-eS]user-interface vty514[AR6121-eS-ui-vty5-14]authentication-mode aaa[AR6121-eS-ui-vty5-14]protocol inboundssh[AR6121-eS-ui-vty5-14]idle-timeout50[AR6121-eS-ui-vty5-14]quit5. 启用SSH服务
# 5.1 启用STelnet服务[AR6121-eS]stelnet serverenableInfo: Succeededinstarting the STelnet server.# 5.2 启用SFTP服务(可选,用于文件传输)[AR6121-eS]sftpserverenableInfo: Succeededinstarting the SFTP server.# 5.3 启用SCP服务(可选)[AR6121-eS]scpserverenableInfo: Succeededinstarting the SCP server.# 5.4 启用NETCONF over SSH(用于自动化)[AR6121-eS]netconfsshserverenable四、SSH安全增强配置
1. 配置SSH算法与参数
# 1.1 配置支持的加密算法(只允许强加密)[AR6121-eS]sshserver cipher aes256_gcm aes128_gcm aes256_ctr aes192_ctr aes128_ctr[AR6121-eS]sshserver hmac sha2_512 sha2_256[AR6121-eS]sshserver key-exchange dh_group16_sha512 dh_group15_sha512 dh_group14_sha256# 1.2 配置密钥交换参数[AR6121-eS]sshserver dh-group minimum2048[AR6121-eS]sshserver rekeytime60# 60分钟重新协商密钥[AR6121-eS]sshservertimeout120# 连接超时120秒[AR6121-eS]sshserver compatible-ssh1x disable# 禁用不安全的SSH1.x# 1.3 配置SSH版本(只允许SSHv2)[AR6121-eS]sshserver assign rsa-key default[AR6121-eS]sshserver compatible-ssh1x disable2. 配置访问控制列表(ACL)
# 2.1 创建基本ACL[AR6121-eS]acl2001[AR6121-eS-acl-basic-2001]description SSH-Access-Control[AR6121-eS-acl-basic-2001]rule5permitsource192.168.1.00.0.0.255[AR6121-eS-acl-basic-2001]rule10permitsource10.1.1.00.0.0.255[AR6121-eS-acl-basic-2001]rule100denysourceany[AR6121-eS-acl-basic-2001]quit# 2.2 在VTY应用ACL[AR6121-eS]user-interface vty014[AR6121-eS-ui-vty0-14]acl2001inbound[AR6121-eS-ui-vty0-14]quit3. 修改SSH端口(可选增强)
# 3.1 修改SSH服务端口[AR6121-eS]sshserver port2022Warning: Changing the port will disconnect current SSH sessions. Continue?[Y/N]: y# 3.2 配置ACL允许新端口[AR6121-eS]acl3001[AR6121-eS-acl-adv-3001]rule permit tcpsource192.168.1.00.0.0.255 destination192.168.1.10destination-port eq2022[AR6121-eS-acl-adv-3001]quit# 3.3 在接口应用ACL[AR6121-eS]interface GigabitEthernet0/0/0[AR6121-eS-GigabitEthernet0/0/0]traffic-filter inbound acl3001[AR6121-eS-GigabitEthernet0/0/0]quit4. 配置登录安全
# 4.1 配置登录失败锁定[AR6121-eS]aaa[AR6121-eS-aaa]local-aaa-user wrong-password retry-interval300retry-time3lock-time300[AR6121-eS-aaa]quit# 4.2 配置会话数量限制[AR6121-eS]user-interface vty014[AR6121-eS-ui-vty0-14]acl2001inbound[AR6121-eS-ui-vty0-14]session-limit5[AR6121-eS-ui-vty0-14]quit五、验证与测试配置
1. 验证命令
# 1.1 查看SSH服务器状态[AR6121-eS]displaysshserver status SSH version :2.0 SSH connectiontimeout:120 seconds SSH server key generating interval :0 hours SSH Authentication retries :3timesSSH Authenticationtimeout:60 seconds SFTP server :Enable STelnet server :Enable SCP server :Enable SSH server port :22 ACL number :-# 1.2 查看SSH用户信息[AR6121-eS]displaysshuser User Name Auth-type User-group admin password root admin2 rsa root# 1.3 查看密钥对信息[AR6121-eS]display rsa local-key-pair public[AR6121-eS]display rsa local-key-pair brief# 1.4 查看VTY配置[AR6121-eS]display current-configuration|include user-interface[AR6121-eS]display user-interface vty0# 1.5 查看本地用户[AR6121-eS]display local-user2. 保存配置
[AR6121-eS]save The current configuration will be written to the device. Are you sure to continue?(y/n)[n]: y It will take several minutes to save configuration file, please wait......Configurationfilehad been saved successfully Note: Saving configurationfilecan bedoneinthe background.The device will restart automatically tomakethe configuration take effect after the save operation is completedinthe background.# 可选:保存为指定文件名[AR6121-eS]save ssh-configuration.cfg六、客户端连接测试
1. Windows客户端(PuTTY/Xshell)
PuTTY配置:
主机名(或IP地址):192.168.1.1 端口:22 连接类型:SSH Saved Sessions:AR6121-eS - 在Connection中设置空闲超时:0 - 在Connection > SSH中设置Preferred SSH protocol version:2Xshell配置:
名称:AR6121-eS 协议:SSH 主机:192.168.1.1 端口:22 用户身份验证: 方法:Password 用户名:admin 密码:Huawei@2024!2. Linux/macOS客户端
# 2.1 基本连接sshadmin@192.168.1.1# 2.2 指定端口连接(如修改了端口)ssh-p2022admin@192.168.1.1# 2.3 使用密钥连接ssh-i ~/.ssh/admin2_key admin2@192.168.1.1# 2.4 带详细调试信息ssh-v admin@192.168.1.1ssh-vvv admin@192.168.1.1# 最详细调试3. SFTP文件传输
# 3.1 Linux/macOS SFTP连接sftpadmin@192.168.1.1# 3.2 常用SFTP命令sftp>lssftp>put local_file.txt sftp>get remote_file.txt sftp>cdflash: sftp>pwdsftp>quit七、排错指南
1. 连接问题排查步骤
# 步骤1:检查网络连通性<Huawei>ping192.168.1.1# 步骤2:检查SSH服务状态<Huawei>displaysshserver status# 步骤3:检查接口状态<Huawei>displayipinterface brief GigabitEthernet0/0/0# 步骤4:检查VTY配置<Huawei>display current-configuration|include vty<Huawei>display user-interface vty0# 步骤5:检查ACL配置<Huawei>display acl2001<Huawei>display acl3001# 步骤6:查看日志<Huawei>display logbuffer<Huawei>terminal monitor<Huawei>terminal debugging<Huawei>debuggingsshserver all2. 常见错误与解决方案
| 错误信息 | 可能原因 | 解决方案 |
|---|---|---|
| Connection refused | SSH服务未启动/端口被防火墙阻止 | 执行stelnet server enable检查防火墙规则 |
| Connection timeout | 网络不通/ACL拒绝 | 检查物理连接和IP配置 检查ACL规则 |
| No supported authentication methods | 用户认证配置错误 | 检查ssh user配置检查AAA本地用户配置 |
| Permission denied | 用户名密码错误/用户被锁定 | 重置密码 检查用户状态是否为active |
| SSH protocol version mismatch | 客户端/服务端版本不匹配 | 配置ssh server compatible-ssh1x disable客户端使用SSHv2 |
3. 调试命令
# 启用SSH调试[AR6121-eS]debuggingsshserver all[AR6121-eS]terminal monitor[AR6121-eS]terminal debugging# 查看实时日志<Huawei>display logbuffer<Huawei>display trapbuffer# 捕获数据包(诊断工具)<Huawei>tcpdump packet八、自动化配置脚本
# 保存以下内容为脚本文件 ssh_config.txtsystem-view sysname AR6121-eS# 配置接口interface GigabitEthernet0/0/0 description Management-Interfaceipaddress192.168.1.1255.255.255.0 undoshutdownquit# 生成密钥rsa local-key-pair createsshserver assign rsa-key default# SSH配置stelnet serverenablesftpserverenablesshserver cipher aes256_gcm aes128_gcm aes256_ctrsshserver hmac sha2_512 sha2_256sshserver rekeytime60sshservertimeout120# 创建用户sshuser adminsshuser admin authentication-type passwordsshuser admin service-type stelnetsftpaaa local-user admin password irreversible-cipher Huawei@2024!local-user admin privilege level15local-user admin service-typesshterminal local-user admin state active quit# VTY配置user-interface vty014authentication-mode aaa protocol inboundsshidle-timeout50acl2001inbound quit# ACL配置acl2001rule5permitsource192.168.1.00.0.0.255 rule10permitsource10.1.1.00.0.0.255 rule100denysourceany quit# 保存配置save y# 通过console口导入配置# <Huawei> tftp 192.168.1.100 get ssh_config.txt# <Huawei> startup saved-configuration ssh_config.txt九、维护与监控
1. 日常监控命令
# 查看SSH连接状态<Huawei>displaysshserver session<Huawei>displayusers# 查看系统资源<Huawei>display cpu-usage<Huawei>display memory-usage# 查看安全日志<Huawei>display logbuffer level62. 定期维护任务
- 每月更改SSH用户密码
- 每季度更新RSA密钥对
- 定期检查SSH访问日志
- 更新ACL规则以适应网络变化
3. 备份配置
# 备份当前配置<Huawei>save backup-config.cfg# 或通过SFTP备份<Huawei>sftp192.168.1.100 sftp>put flash:/backup-config.cfg十、注意事项
- 首次配置:建议通过Console口进行初始配置
- 备份配置:配置变更前务必备份当前配置
- 安全建议:
- 使用复杂密码(大小写字母+数字+特殊字符,长度≥12位)
- 定期更换密码和密钥
- 限制可访问的IP地址范围
- 启用日志记录并定期审计
- 版本兼容:不同VRP版本命令可能有差异,使用前确认版本
- 测试验证:生产环境变更前,在测试环境验证配置
此配置文档已根据华为AR6121-eS型号的最佳实践进行优化,适用于大多数企业级部署场景。
)