1、SSH構建H3C高性能園區網絡 1.0杭州華三通信技術有限公司 ， 系統對Telnet用戶不進行復雜的驗證，DoS攻擊、主機IP欺騙、路由欺騙等攻擊都可能給服務器帶來致命威脅 SSH（Secure Shell）是一種安全的遠程登錄協議，協議號22引入了解SSH定義及應用掌握SSH和SFTP工作原理掌握SSH和SFTP應用掌握SSH和SFTP的配置及維護課程目標學習完本課程，您應該能夠：SSH基本原理SFTP介紹配置SSH配置SFTPSSH的顯示和維護目錄SSH概述SSH（Secure Shell）是一種安全的遠程登錄協議。基于TCP進行傳輸，端口號是22。SSH協議的特點：支持DES、3DES

2、數據加密算法支持公鑰驗證方式、密碼驗證方式、不驗證方式支持RSA認證，具有防篡改功能SSH的協議框架 各種SSH高層網絡安全應用協議 傳輸層協議TCP連接協議AAA遠程用戶認證協議數據機密性服務器認證信息完整性基本框架SSH連接建立過程 階段描述版本號協商階段客戶端和服務器交換各自所支持SSH協議的版本號，最終協商出雙方同意的版本。密鑰和算法協商階段客戶端和服務器交換算法協商報文，從而協商出最后使用的算法；雙方生成會話密鑰和會話ID。認證階段客戶端向服務器端發送認證請求，服務器端對客戶端進行認證。會話請求階段客戶端向服務器發送會話請求，服務器等待并處理客戶端的請求。交互會話階段雙方進入交互會話

3、階段，數據被加密后雙向傳送SSH基本原理SFTP介紹配置SSH配置SFTPSSH的顯示和維護目錄SFTP概述SFTP是SSH 2.0中支持的功能SFTP建立在SSH連接的基礎之上SFTP使得遠程用戶可以安全地登錄設備，進行文件管理和文件傳送等操作SSH基本原理SFTP介紹配置SSH配置SFTPSSH的顯示和維護目錄配置SSH服務器基本配置生成DSA或RSA密鑰對SWA public-key local create dsa | rsa 使能SSH服務器功能SWA ssh server enable配置SSH服務器用戶配置配置客戶端登錄的用戶界面為scheme方式SWA-ui-vty0-4 au

4、thentication-mode scheme 配置所在用戶界面支持SSH協議SWA-ui-vty0-4 protocol inbound all | ssh | telnet 配置SSH用戶并指定服務類型和認證方式 SWA ssh user username service-type stelnet authentication-type password | any | password-publickey | publickey assign publickey keyname 配置SSH服務器公鑰認證從公鑰文件中導入客戶端的公鑰 SWA public-key peer keyname

5、 import sshkey filename手工配置客戶端的公鑰 SWA public-key peer keynameSWA-pkey-public-key public-key-code beginSWA-pkey-key-code直接輸入公鑰內容SWA-pkey-key-code public-key-code endSWA-pkey-public-key peer-public-key end配置SSH客戶端建立SSH客戶端和服務器端的連接 SWA ssh2 server port-number 為SSH客戶端指定源IP地址或源接口 SWA ssh client source ip

6、ip-address | interface interface-type interface-number SSH配置示例密碼認證 SSH ServerSSH Client/24/24SWASWBSWA public-key local create rsaSWA ssh server enableSWA user-interface vty 0 4SWA-ui-vty0-4 authentication-mode schemeSWA-ui-vty0-4 protocol inbound sshSWA local-user client001SWA-luser-client001 passw

7、ord simple aabbccSWA-luser-client001 service-type ssh level 3SWA ssh user client001 service-type stelnet authentication-type password ssh2 Username: client001Trying .Press CTRL+K to abortConnected to .The Server is not authenticated. Continue? Y/N:yDo you want to save the server public key? Y/N:nEnt

8、er password:SSH配置示例公鑰認證 SSH ServerSSH Client/24/24SWASWBSWA public-key local create rsaSWA ssh server enableSWA user-interface vty 0 4SWA-ui-vty0-4 authentication-mode schemeSWA-ui-vty0-4 protocol inbound sshSWA-ui-vty0-4 user privilege level 3SWA public-key peer Switch001 import sshkey key.pubSWA s

9、sh user client002 service-type stelnet authentication-type publickey assign publickey Switch001SWB public-key local create rsaSWB public-key local export rsa ssh2 key.pub ssh2 Username: client002Trying .Press CTRL+K to abortConnected to .The Server is not authenticated. Continue? Y/N:yDo you want to

10、 save the server public key? Y/N:nSSH基本原理SFTP介紹配置SSH配置SFTPSSH的顯示和維護目錄SFTP相關配置 啟動SFTP服務器 SWA sftp server enable建立與SFTP服務器的連接 SWA sftp server port-number 配置SSH用戶并指定服務類型和認證方式 SWA ssh user username service-type all | sftp authentication-type password | any | password-publickey | publickey assign publick

11、ey keyname work-directory directory-nameSFTP配置示例 SSH ServerSSH Client/24/24SWASWBSWA public-key local create rsaSWA ssh server enableSWA sftp server enableSWA user-interface vty 0 4SWA-ui-vty0-4 authentication-mode schemeSWA-ui-vty0-4 protocol inbound sshSWA public-key peer Switch001 import sshkey k

12、ey.pubSWA ssh user client001 service-type sftp authentication-type publickey assign publickey Switch001 work-directory cf:/SWB public-key local create rsaSWB public-key local export rsa ssh2 key.pub ssh2 Username: client001Trying .Press CTRL+K to abortConnected to .The Server is not authenticated. Continue? Y/N:yDo you want to save the server public key? Y/N:nsftp-clientSSH基本原理SFTP介紹配置SSH配置SFTPSSH的顯示和維護目錄SSH的顯示和維護 操作命令在SSH服務器端顯示該服務器的狀態信息或會話信息display ssh server status | session 在SSH客戶端顯示客戶端保存的服務器端的主機公鑰和服務器的對應關系display ssh server-info在SSH服務器端顯示SSH用戶信息display ssh user-information user