1. 华为交换机SSH登录的必要性远程管理网络设备是每个网管员的日常工作而SSH协议就像给交换机装了一把安全锁。记得我第一次接触华为交换机时用的还是telnet协议结果被主管发现后狠狠训了一顿——因为telnet传输的数据都是明文的相当于把密码写在明信片上邮寄。后来改用SSH所有通信内容都经过加密就像给数据穿了防弹衣。华为交换机支持SSHv2协议采用Diffie-Hellman密钥交换和AES加密算法。实测在千兆网络环境下加密通信带来的性能损耗不到3%但安全性却提升了好几个数量级。现在金融、政务等对安全要求高的场景SSH已经成为远程管理的标配。2. 基础网络环境搭建2.1 VLAN与IP地址规划配置SSH前要先给交换机安个门牌号。我一般会单独划个管理VLAN和业务流量隔离。比如HUAWEI system-view [HUAWEI] vlan 100 [HUAWEI-vlan100] description Management_VLAN [HUAWEI-vlan100] quit接着给VLAN接口配IP这里有个坑要注意华为交换机的VLAN接口默认是shutdown状态。有次我配完死活ping不通排查半小时才发现没开接口[HUAWEI] interface Vlanif 100 [HUAWEI-Vlanif100] ip address 192.168.100.1 24 [HUAWEI-Vlanif100] undo shutdown # 这个命令千万不能忘 [HUAWEI-Vlanif100] quit2.2 路由配置技巧如果管理终端不在同一网段需要配置静态路由。我习惯用两条命令[HUAWEI] ip route-static 0.0.0.0 0 192.168.100.254 # 默认路由 [HUAWEI] ip route-static 10.10.10.0 24 192.168.100.2 # 精确路由有个实用技巧用display ip routing-table命令检查路由时注意看Proto字段。如果是Direct表示直连路由Static才是我们配置的静态路由。3. SSH服务深度配置3.1 用户认证体系搭建华为的AAA认证框架就像公司的门禁系统。先配置VTY线路使用AAA认证[HUAWEI] user-interface vty 0 4 [HUAWEI-ui-vty0-4] authentication-mode aaa [HUAWEI-ui-vty0-4] protocol inbound ssh # 只允许SSH登录 [HUAWEI-ui-vty0-4] idle-timeout 30 # 30分钟无操作自动断开创建用户时推荐使用irreversible-cipher加密密码这种加密方式连管理员都看不到明文[HUAWEI] aaa [HUAWEI-aaa] local-user admin password irreversible-cipher Huawei1234 [HUAWEI-aaa] local-user admin privilege level 15 # 最高权限 [HUAWEI-aaa] local-user admin service-type ssh3.2 服务端关键参数启动SSH服务后建议调整这些参数[HUAWEI] stelnet server enable [HUAWEI] ssh server port 1025 # 修改默认22端口 [HUAWEI] ssh server timeout 60 # 超时时间(秒) [HUAWEI] ssh server authentication-retries 3 # 认证失败次数遇到过有黑客用脚本暴力破解后来加了ACL限制只允许运维终端连接[HUAWEI] acl 2000 [HUAWEI-acl-basic-2000] rule permit source 10.1.1.100 0 [HUAWEI-acl-basic-2000] quit [HUAWEI] ssh server acl 20004. 高级安全加固方案4.1 密钥认证实战密码认证还是可能被暴力破解我后来全部改用密钥认证。先在客户端生成密钥对ssh-keygen -t rsa -b 2048 # 在Linux终端执行把公钥上传到交换机[HUAWEI] rsa peer-public-key admin [HUAWEI-rsa-public-key] public-key-code begin [HUAWEI-rsa-public-key-xxx] 30820122... # 粘贴公钥内容 [HUAWEI-rsa-public-key-xxx] public-key-code end [HUAWEI-rsa-public-key] quit [HUAWEI] ssh user admin assign rsa-key admin4.2 登录行为审计合规要求必须保留操作日志华为提供了这些审计手段[HUAWEI] info-center enable [HUAWEI] info-center loghost 10.1.1.200 # 日志服务器IP [HUAWEI] ssh server audit enable [HUAWEI] ssh user admin audit-type command # 记录命令操作查看实时登录情况HUAWEI display ssh server session HUAWEI display users # 查看所有登录用户5. 故障排查指南5.1 常见问题定位当SSH连不上时我通常按这个顺序排查检查网络连通性ping 192.168.100.1确认服务状态display ssh server status查看端口监听display tcp status | grep 1025检查ACL规则display acl 20005.2 典型错误解决遇到Connection refused可能是服务没启动[HUAWEI] stelnet server enable [HUAWEI] ssh server-source -i Vlanif 100 # 指定源接口出现No route to host时检查路由表HUAWEI display ip routing-table6. 日常维护建议建议每月检查这些内容密码有效期display local-user登录失败记录display ssh server failed-login系统日志display logbuffer关键配置变更后记得保存HUAWEI save Warning: The current configuration will be written to the device. Continue? [Y/N]:y
华为交换机SSH安全登录全流程详解
1. 华为交换机SSH登录的必要性远程管理网络设备是每个网管员的日常工作而SSH协议就像给交换机装了一把安全锁。记得我第一次接触华为交换机时用的还是telnet协议结果被主管发现后狠狠训了一顿——因为telnet传输的数据都是明文的相当于把密码写在明信片上邮寄。后来改用SSH所有通信内容都经过加密就像给数据穿了防弹衣。华为交换机支持SSHv2协议采用Diffie-Hellman密钥交换和AES加密算法。实测在千兆网络环境下加密通信带来的性能损耗不到3%但安全性却提升了好几个数量级。现在金融、政务等对安全要求高的场景SSH已经成为远程管理的标配。2. 基础网络环境搭建2.1 VLAN与IP地址规划配置SSH前要先给交换机安个门牌号。我一般会单独划个管理VLAN和业务流量隔离。比如HUAWEI system-view [HUAWEI] vlan 100 [HUAWEI-vlan100] description Management_VLAN [HUAWEI-vlan100] quit接着给VLAN接口配IP这里有个坑要注意华为交换机的VLAN接口默认是shutdown状态。有次我配完死活ping不通排查半小时才发现没开接口[HUAWEI] interface Vlanif 100 [HUAWEI-Vlanif100] ip address 192.168.100.1 24 [HUAWEI-Vlanif100] undo shutdown # 这个命令千万不能忘 [HUAWEI-Vlanif100] quit2.2 路由配置技巧如果管理终端不在同一网段需要配置静态路由。我习惯用两条命令[HUAWEI] ip route-static 0.0.0.0 0 192.168.100.254 # 默认路由 [HUAWEI] ip route-static 10.10.10.0 24 192.168.100.2 # 精确路由有个实用技巧用display ip routing-table命令检查路由时注意看Proto字段。如果是Direct表示直连路由Static才是我们配置的静态路由。3. SSH服务深度配置3.1 用户认证体系搭建华为的AAA认证框架就像公司的门禁系统。先配置VTY线路使用AAA认证[HUAWEI] user-interface vty 0 4 [HUAWEI-ui-vty0-4] authentication-mode aaa [HUAWEI-ui-vty0-4] protocol inbound ssh # 只允许SSH登录 [HUAWEI-ui-vty0-4] idle-timeout 30 # 30分钟无操作自动断开创建用户时推荐使用irreversible-cipher加密密码这种加密方式连管理员都看不到明文[HUAWEI] aaa [HUAWEI-aaa] local-user admin password irreversible-cipher Huawei1234 [HUAWEI-aaa] local-user admin privilege level 15 # 最高权限 [HUAWEI-aaa] local-user admin service-type ssh3.2 服务端关键参数启动SSH服务后建议调整这些参数[HUAWEI] stelnet server enable [HUAWEI] ssh server port 1025 # 修改默认22端口 [HUAWEI] ssh server timeout 60 # 超时时间(秒) [HUAWEI] ssh server authentication-retries 3 # 认证失败次数遇到过有黑客用脚本暴力破解后来加了ACL限制只允许运维终端连接[HUAWEI] acl 2000 [HUAWEI-acl-basic-2000] rule permit source 10.1.1.100 0 [HUAWEI-acl-basic-2000] quit [HUAWEI] ssh server acl 20004. 高级安全加固方案4.1 密钥认证实战密码认证还是可能被暴力破解我后来全部改用密钥认证。先在客户端生成密钥对ssh-keygen -t rsa -b 2048 # 在Linux终端执行把公钥上传到交换机[HUAWEI] rsa peer-public-key admin [HUAWEI-rsa-public-key] public-key-code begin [HUAWEI-rsa-public-key-xxx] 30820122... # 粘贴公钥内容 [HUAWEI-rsa-public-key-xxx] public-key-code end [HUAWEI-rsa-public-key] quit [HUAWEI] ssh user admin assign rsa-key admin4.2 登录行为审计合规要求必须保留操作日志华为提供了这些审计手段[HUAWEI] info-center enable [HUAWEI] info-center loghost 10.1.1.200 # 日志服务器IP [HUAWEI] ssh server audit enable [HUAWEI] ssh user admin audit-type command # 记录命令操作查看实时登录情况HUAWEI display ssh server session HUAWEI display users # 查看所有登录用户5. 故障排查指南5.1 常见问题定位当SSH连不上时我通常按这个顺序排查检查网络连通性ping 192.168.100.1确认服务状态display ssh server status查看端口监听display tcp status | grep 1025检查ACL规则display acl 20005.2 典型错误解决遇到Connection refused可能是服务没启动[HUAWEI] stelnet server enable [HUAWEI] ssh server-source -i Vlanif 100 # 指定源接口出现No route to host时检查路由表HUAWEI display ip routing-table6. 日常维护建议建议每月检查这些内容密码有效期display local-user登录失败记录display ssh server failed-login系统日志display logbuffer关键配置变更后记得保存HUAWEI save Warning: The current configuration will be written to the device. Continue? [Y/N]:y
