H3C交换机SSH远程登录与ACL限制配置实例

H3C交换机SSH远程登录与ACL限制配置实例 这是“H3C交换机中小企业运维实战”专栏的第 7 篇。交换机管理地址和基础网络配置完成后日常运维通常还需要配置 SSH 远程登录。本文以 H3C S5570S 和 Comware V7 为例记录非默认 SSH 端口、本地管理账号、IPv4/IPv6 ACL 来源限制和登录验证方法。文中的地址、账号、端口和 ACL 编号都是示例实际使用时必须按现场规划替换。一、示例环境项目示例值交换机HQ-Access-01管理 IPv4192.168.100.2管理 IPv62001:db8:100::2运维电脑 IPv4192.168.100.10运维电脑 IPv62001:db8:100::10SSH 端口22222SSH 用户名netops_hq01IPv4 ACL2000IPv6 ACL2001修改 SSH 端口或访问限制可能中断现有远程会话。现场操作时要保留 Console 连接并记录原端口、账号、VTY 和 ACL 配置。二、配置前检查# 查看型号、版本和 SSH 服务状态。 HQ-Access-01 display version HQ-Access-01 display ssh server status # 检查现有管理账号和 VTY 配置。 HQ-Access-01 display local-user HQ-Access-01 display line vty 0 # 确认 ACL 2000、2001 没有被其他业务占用。 HQ-Access-01 display acl all HQ-Access-01 display acl ipv6 all # 检查交换机到运维电脑的双栈管理路径。 HQ-Access-01 ping 192.168.100.10 HQ-Access-01 ping ipv6 2001:db8:100::10如果交换机已经使用 RADIUS 或 HWTACACS应先确认现有 AAA 方案不能直接套用下面的本地账号配置。三、创建 SSH 管理账号代码块中以#开头的是说明不需要输入交换机。HQ-Access-01 system-view # 创建专门用于 SSH 登录的管理账号。 [HQ-Access-01] local-user netops_hq01 class manage # 下面只是密码占位符输入前必须替换为符合公司要求的强密码。 [HQ-Access-01-luser-manage-netops_hq01] password simple StrongPassword_Replace_Before_Input # 只允许该账号使用 SSH并授予网络管理角色。 [HQ-Access-01-luser-manage-netops_hq01] service-type ssh [HQ-Access-01-luser-manage-netops_hq01] authorization-attribute user-role network-admin [HQ-Access-01-luser-manage-netops_hq01] quit只用于查看配置的账号应按现场权限要求降低角色。不要使用示例密码、默认密码、弱口令或多人共用的临时账号。四、配置 SSH 和 VTY先执行display public-key local public检查设备是否已有 RSA 密钥。已有密钥时不要重复生成否则客户端可能提示交换机主机密钥发生变化。# 仅在设备没有 RSA 本地密钥时执行。 [HQ-Access-01] public-key local create rsa # VTY 使用账号认证并且只接受 SSH禁止 Telnet 登录。 [HQ-Access-01] line vty 0 63 [HQ-Access-01-line-vty0-63] authentication-mode scheme [HQ-Access-01-line-vty0-63] protocol inbound ssh [HQ-Access-01-line-vty0-63] quit # 使用公司批准且没有被占用的非默认端口。 [HQ-Access-01] ssh server port 22222 [HQ-Access-01] ssh server enable # 关闭明文 Telnet 服务。 [HQ-Access-01] undo telnet server enable五、用双栈 ACL 限制管理来源先创建 IPv4 和 IPv6 基本 ACL只放行指定运维电脑。规则写好后先检查再应用到 SSH 服务。# IPv4 ACL 只允许 192.168.100.10。 [HQ-Access-01] acl basic 2000 [HQ-Access-01-acl-ipv4-basic-2000] description Permit_IPv4_SSH_Admin [HQ-Access-01-acl-ipv4-basic-2000] rule 5 permit source 192.168.100.10 0 [HQ-Access-01-acl-ipv4-basic-2000] rule 100 deny source any [HQ-Access-01-acl-ipv4-basic-2000] quit # IPv6 ACL 只允许 2001:db8:100::10。 [HQ-Access-01] acl ipv6 basic 2001 [HQ-Access-01-acl-ipv6-basic-2001] description Permit_IPv6_SSH_Admin [HQ-Access-01-acl-ipv6-basic-2001] rule 5 permit source 2001:db8:100::10 128 [HQ-Access-01-acl-ipv6-basic-2001] rule 100 deny source any [HQ-Access-01-acl-ipv6-basic-2001] quit [HQ-Access-01] return # 应用前再次核对允许地址和 permit、deny 动作。 HQ-Access-01 display acl 2000 HQ-Access-01 display acl ipv6 2001确认无误后再应用HQ-Access-01 system-view # 分别限制 IPv4 和 IPv6 SSH 来源并记录拒绝日志。 [HQ-Access-01] ssh server acl 2000 [HQ-Access-01] ssh server ipv6 acl ipv6 2001 [HQ-Access-01] ssh server acl-deny-log enable [HQ-Access-01] return有多台运维电脑时应在拒绝规则前增加对应的允许规则不要为了省事直接放行整个办公网段。六、登录与限制验证从允许访问的运维电脑分别测试 IPv4 和 IPv6# 测试 IPv4 SSH 登录。ssh-p22222netops_hq01192.168.100.2# 测试 IPv6 SSH 登录。ssh-p22222netops_hq012001:db8:100::2第一次连接时要先核对交换机主机密钥指纹再决定是否接受。登录成功后继续检查# 查看 SSH 服务状态、端口和当前会话。 HQ-Access-01 display ssh server status HQ-Access-01 display ssh server session # 查看账号权限和 ACL 规则匹配情况。 HQ-Access-01 display local-user user-name netops_hq01 class manage HQ-Access-01 display acl 2000 HQ-Access-01 display acl ipv6 2001最终至少完成四组测试允许的 IPv4 地址连接22222应能登录允许的 IPv6 地址连接22222应能登录未允许的电脑连接22222应被拒绝或超时连接默认的 22 端口应无法建立 SSH 会话。只有允许和拒绝两边都测过才能确认限制真正生效。验证正常后再执行save force保存配置。七、小结SSH 能登录不等于远程管理已经安全。实际运维中还要关闭 Telnet、使用强密码和非默认端口并用 IPv4/IPv6 ACL 把管理入口限制到指定运维地址。网站完整版还包括 Comware V5 差异、常见登录故障、详细回退方法和完整配置汇总H3C交换机SSH远程登录与ACL限制配置实例