Настройка SSH на Huawei Quidway

Протокол SSH чаще всего используется для безопасного удаленного управления сетевым оборудованием. В данной статье будет рассмотрена настройка SSH сервера на коммутаторах Huawei Quidway.

Я уже писал про настройку SSH сервера на Cisco. Однако, оборудование компании Huawei занимает все более прочные позиции на российском рынке. Поэтому сегодня мы рассмотрим настройку SSH на коммутаторах Huawei Quidway.  

Можно выделить 4 основных этапа настройки SSH на Quidway:

  • настройка ААА
  • генерация RSA ключа
  • настройка SSH сервера
  • настройка виртуального терминала VTY

Рассмотрим данные этапы подробнее.

Настройка ААА на Huawei Quidway для включения SSH

Для включения SSH в Quidway прежде всего необходимо добавить и настроить нового пользователя в разделе конфигурации ААА (Authentication, Authorization, Accounting). Все настройки выполняются в привилегированном режиме (вход в привилегированный режим осуществляется командой system-view).

Приступаем к настройке ААА

[Quidway]aaa

Настраиваем authentication-scheme, authorization-scheme, accounting-scheme. Обычно, данные параметры заданы в конфигурации коммутатора по умолчанию.

[Quidway-aaa]authentication-scheme default
[Quidway-aaa]authorization-scheme default
[Quidway-aaa]accounting-scheme default

Настройки домена также оставляем без изменений

[Quidway-aaa]domain default
[Quidway-aaa]domain default_admin

Создаем пользователя huawei, назначаем ему требуемый уровень привилегий и подключаем нужные сервисы командой service-type. В нашем случае активируем сервис ssh.

[Quidway-aaa]local-user huawei password cipher USER_PASSWORD
[Quidway-aaa]local-user huawei privilege level 3
[Quidway-aaa]local-user huawei service-type ssh

На этом, настройку ААА для SSH можно считать законченной.


RSA ключ

Генерируем RSA ключ для использования на устройстве. Без него SSH не заработает.

rsa local-key-pair create

Проверить ключ можно при помощи команды display rsa local-key-pair. Будет отображено имя ключа, его тип и дата создания.

[Quidway]display rsa local-key-pair public
=====================================================
Time of Key pair created: 01:10:03 2015/11/10
Key name: Quidway_Host
Key type: RSA encryption Key
=====================================================
Key code:
308188
...
=====================================================
Time of Key pair created: 01:10:10 2015/11/10
Key name: Quidway_Server
Key type: RSA encryption Key
=====================================================
Key code:
3067
...

Приступаем непосредственно к настройке SSH.

 

Настройка SSH сервера для удаленного доступа на Huawei Quidway

Включаем SSH сервер.

stelnet server enable

Настраиваем SSH сервер. Указываем пользователя, который может использовать SSH, задаем ему тип аутентификации (в нашем случае используется локальная аутентификация по паролю). Также, указываем типы сервисов, которые может использовать пользователь: ssh, sftp или оба (all).

 ssh user huawei
ssh user huawei authentication-type password
ssh user huawei service-type all

 

Настройка виртуального терминала VTY

Для завершения настройки удаленного доступа по SSH к Huawei Quidway, необходимо задать параметры аутентификации и протоколы доступа на виртуальных интерфейсах vty, используемых для управления коммутатором. В нашем случае настроим интерфейсы 0 - 4. Укажем параметры аутентификации ААА, чтобы поиск пользователя происходил в локальной базе пользователей, согласно настройкам, заданным в начале статьи. Входящим протоколом укажем ssh. Таким образом, мы исключим использование небезопасного протокола telnet.

user-interface vty 0 4
authentication-mode aaa
idle-timeout 30 0
protocol inbound ssh


Смена порта SSH сервера на Quidway

Изменение порта, на котором SSH сервер на Quidway будет принимать запросы, осуществляется очень просто. Кроме 22, можно задать любой порт из диапазона 1025-55535. При этом, данный порт не должен использоваться другими приложениями.

[Quidway]ssh server port ?
INTEGER<22,1025-55535> Set the port number, the default value is 22


Проверка настройки SSH на Quidway.

Проверку статуса SSH сервера можно осуществить при помощи команды display ssh server status. В выводе этой команды показывается версия протокола SSH, статусы SSH (stelnet) и SFTP серверов на коммутаторе, а также ряд конфигурационных параметров.

<Quidway>display ssh server status
SSH version :1.99
SSH connection timeout :60 seconds
SSH server key generating interval :0 hours
SSH Authentication retries :3 times
SFTP server :Disable
Stelnet server :Enable

Для просмотра активных сессий SSH сервера можно использовать команду display ssh server session. В выводе этой команды показывается статус сессии, занятый VTY, логин подключившегося пользователя и параметры шифрования.

<Quidway>display ssh server session
Session 1:
Conn : VTY 0
Version : 2.0
State : started
Username : huawei
Retry : 1
CTOS Cipher : aes128-cbc
STOC Cipher : aes128-cbc
CTOS Hmac : hmac-sha1
STOC Hmac : hmac-sha1
Kex : diffie-hellman-group-exchange-sha1
Service Type : stelnet
Authentication Type : password


В статье рассмотрен процесс настройки и проверки SSH сервера на коммутаторах Quidway. Если у вас остались какие-то вопросы - задавайте их в комментариях, я обязательно постараюсь на них ответить. Приятной работы!

 

Андрей

26.11.2015

Понравилась статья? Поделитесь с друзьями!

Добавить комментарий


Защитный код
Обновить