1. 华三交换机SSH配置基础篇
第一次接触华三交换机的SSH配置时,我踩过不少坑。记得有次凌晨两点还在机房折腾,就因为漏了一个简单的命令导致整个配置失败。现在把这些经验总结出来,帮你避开我走过的弯路。
1.1 管理地址配置
先给交换机配个管理地址,这是远程连接的基础。我习惯用VLAN 1作为管理VLAN,当然你也可以用其他VLAN。具体操作:
<H3C>system-view [H3C]interface Vlan-interface 1 [H3C-Vlan-interface1]ip address 192.168.1.1 255.255.255.0配置完记得用display ip interface brief检查下:
[H3C-Vlan-interface1]display ip interface brief *down: administratively down Interface IP Address/Mask Physical Protocol Vlan1 192.168.1.1/24 up up注意:如果物理端口没起来,检查下端口是否被shutdown了。我有次就因为这个傻傻排查了半小时。
1.2 创建管理用户
接下来创建登录用户,这里有个细节要注意:class manage参数不能少,否则用户创建不成功:
[H3C]local-user admin class manage [H3C-luser-manage-admin]password simple Admin@123 [H3C-luser-manage-admin]service-type ssh [H3C-luser-manage-admin]authorization-attribute user-role level-15密码复杂度建议至少包含大小写字母和数字。有次我图省事用了全数字密码,结果被安全扫描扫出漏洞,被运维主管一顿批。
1.3 开启SSH服务
关键步骤来了,开启SSH服务并配置认证方式:
[H3C]ssh server enable [H3C]user-interface vty 0 4 [H3C-line-vty0-4]authentication-mode scheme [H3C-line-vty0-4]protocol inbound ssh这里有个坑:vty线路数量要根据实际需求设置。有次我只开了0-4,结果第五个运维同事连不上,被投诉惨了。
2. 密码认证实战测试
2.1 Windows连接测试
在电脑上用PowerShell测试(Win10及以上版本自带):
ssh admin@192.168.1.1第一次连接会提示密钥验证:
The authenticity of host '192.168.1.1' can't be established. RSA key fingerprint is SHA256:xxxxxxxx Are you sure you want to continue (yes/no)?输入yes后,输入密码就能登录了。如果遇到连接超时,八成是防火墙拦了,记得放行22端口。
2.2 常见问题排查
问题1:连接被拒绝
- 检查
ssh server enable是否执行 - 确认
protocol inbound ssh已配置
问题2:密码错误但确定密码正确
- 检查用户service-type是否包含ssh
- 确认用户角色权限足够(level-15)
有次我遇到个诡异情况:密码明明正确却登录失败。最后发现是键盘大写锁定开了,尴尬...
3. 高级密钥认证配置
密码认证虽然简单,但安全性不够。生产环境我强烈推荐用密钥认证,彻底告别暴力破解风险。
3.1 生成密钥对
先在客户端生成密钥(以Windows为例):
- 打开PowerShell
- 执行:
ssh-keygen -t rsa - 默认保存在
C:\Users\你的用户名\.ssh\id_rsa.pub
3.2 上传公钥到交换机
[H3C]public-key peer admin import sshkey id_rsa.pub这里有个小技巧:可以用TFTP/FTP上传文件。我有次直接粘贴公钥内容,结果格式错误,建议还是用文件导入靠谱。
3.3 绑定密钥对用户
[H3C]ssh user admin authentication-type publickey assign publickey admin3.4 密钥登录测试
ssh -i C:\Users\你的用户名\.ssh\id_rsa admin@192.168.1.1如果提示"Permission denied",检查:
- 公钥是否完整上传
- 用户名和密钥是否绑定正确
4. 安全加固与高级配置
4.1 限制登录IP
增加安全防护:
[H3C]acl number 2000 [H3C-acl-basic-2000]rule permit source 192.168.1.100 0 [H3C-line-vty0-4]acl 2000 inbound4.2 修改SSH端口
默认22端口容易被扫描:
[H3C]ssh server port 2222记得防火墙也要同步修改哦!
4.3 会话超时设置
防止忘记退出:
[H3C-line-vty0-4]idle-timeout 10 05. 配置保存与维护
5.1 保存配置
血的教训:一定要保存!
<H3C>save有次我配完忘保存,交换机重启后配置全丢,只能半夜跑机房重配...
5.2 配置备份
建议定期备份:
<H3C>display current-configuration > config.txt可以用TFTP传到服务器,我设置了个每周自动备份的定时任务,省心不少。
5.3 日志监控
查看SSH登录记录:
<H3C>display ssh server session这对排查未授权访问特别有用。
