配置通过STelnet登录系统

原理概述：

    因Telnet缺少安全验证，传输采用TCP进行明文传输，容易导致主机IP地址和路由欺骗等恶意攻击，而STelnet(Secure Telnet)服务器通对用户端双向数据加密。

    SSH(Secure Shell)协议对网络数据进行加密，保护路由器不被IP地址欺诈、明文密码截取等攻击，可以替代Telnet。SSH基于TCP协议22端口传输，支持Password认证。

    访问过程：用户端———向服务端发送请求——服务端将收到的用户名和密码解密成明文，与设备上用户名密码做对比，并返回认证成功或失败的消息。

    SFTP（SSH File Transfer Protocol）在不安全的网络环境中，服务器通过对用户端的认证及双向的数据加密，为网络文件传输提供安全服务。

实验内容：

    R1通过SSH协议远程登录路由器R2上进行配置

网络拓扑/编址：

实验步骤：

system-view

[Huawei]sysname R2

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]ip add 10.1.1.2 24

Apr 22 2020 16:02:40-08:00 R2%%01IFNET/4/LINK_STATE(l)[0]:The line protocol IP

on the interface GigabitEthernet0/0/0 hasentered the UP state.

[R2-GigabitEthernet0/0/0]syq    

[R2-GigabitEthernet0/0/0]q

[R2]q

save

  Thecurrent configuration will be written to the device.

  Areyou sure to continue? (y/n)[n]:y

  Itwill take several minutes to save configuration file, please wait.......

 Configuration file had been saved successfully

 Note: The configuration file will take effect after being activated

在R2上使用rsa

local-key-pair create命令生成本地秘钥

配置完成后，使用display rsa local-key-pair public 命令查看秘钥信息

在R2上配置VTY用户界面，设置用户验证模式为AAA授权验证。

[R2]user-interface vty 0 4   

[R2-ui-vty0-4]authentication-mode aaa

指定VTY类型用户只支持SSH协议，设备将自动禁止Telnet功能。

[R2-ui-vty0-4]protocol inbound ssh

使用local-user命令创建本地用户名和密码

[R2-aaa]local-user huawei password cipherhuawei

Info: Add a new user.

配置本地接入类型为SSH

[R2-aaa]local-user huawei service-type ssh    

[R2-aaa]q

使用ssh user 命令新建ssh用户，指定ssh用户的认证方式为password，既密码认证。

[R2]ssh user huawei authentication-typepassword

 Authentication type setted, and will be ineffect next time

[R2]

使用local-user huawei privilege level 命令配置用户优先级，范围0-15，取值越大优先级越高。默认值为3，代表管理级。

默认SSH服务器功能为关闭状态，

[R2]stelnet server enable

查看配置信息：[R2]display ssh user-informationhuawei

查看SSH服务器全局配置信息：[R2]displayssh server status

配置SSH Client：

开启SSH用户首次认证功能

[R1]ssh client first-time enable

[R1]stelnet 10.1.1.2

登录成功后，在R2上使用[R2]display ssh server session查看当前会话连接

配置SFTP server与Client

在R2进入AAA视图，创建用户名密码

[R2]aaa

[R2-aaa]local-user huawei1 password cipherhuawei1

Info: Add a new user.

配置本地用户接入类型为SSH

[R2-aaa]local-user huawei1 service-type ssh 

配置本地用户优先级范围0-15，取值越大，用户优先级越高

[R2-aaa]local-user huawei1 privilege level3

指定FTP用户访问目录，默认为空

[R2-aaa]local-user huawei1 ftp-directoryflash:

[R2-aaa]q

新建SSH用户，制定用户的认证方式password

[R2]ssh user huawei1 authentication-typepassword

 Authentication type setted, and will be ineffect next time

开启SFTP服务

[R2]sftp server enable

在R1上使用SFTP连接SSH服务器：[R1]sftp 10.1.1.2

在R2上查看SSH回话信息：[R2]display ssh server session