在上一篇文章中,我们介绍了如何配置一台全新的AR1000V,来实现通过Telnet远程登录设备(如何配置使用Telnet远程登录华为AR1000V路由器?)。其实,在之前的文章中,我们已经介绍过Telnet是一种不安全的登录方式(从报文交互看Telnet协议的安全系数),但是,它好用啊,用来简单练个手再好不过了。
练过手之后,我们还是再简单配置一下SSH远程登录方式。
其实,说是SSH有一点点不准确,我开始就是卡在这个地方了,因为华为AR1000V要开启SSH服务器是要启用STelnet服务器。官网配置通过STelnet登录设备的配置文档链接如下:
https://support.huawei.com/enterprise/zh/doc/EDOC1100271736/ZH-CN_TASK_0177865838
接下来,我们按照文档简单配置一下AR1000V通过STelnet远程登录。
首先,添加一个AR1000V节点。
镜像版本选择新创建的V300R022C00SPC100。
添加链路,将AR1000V连接到管理网络Management。
接下来,启动设备。
首次登录设备,需要创建一个新用户,密码需要满足系统的复杂度要求;创建完成之后,需要重新登录。
新设备默认有自动配置功能,进入命令行之后需要输入y确认跳过自动配置。
首先,进入接口,让设备获取一个IP地址。
system-view
interface GigabitEthernet0/0/0
ip address dhcp-alloc
接下来,启用设备的STelnet服务。缺省情况下,STelnet服务器不允许客户端通过所有接口连接,需要先配置STelnet服务器允许客户端连接的接口,我们此处配置为all所有;再使能设备的STelnet服务器功能就可以了。该说不说,这两种名称配置起来还挺闹心的。
ssh server permit interface all
stelnet server enable如果我们想直接通过终端的SFTP工具连接设备文件系统,还可以启用SCP服务器和SFTP服务器功能。
sftp server enable
scp server enable
VTY用户界面有默认的配置,这里的认证方式要使用aaa,指的是本地AAA认证,而password则是指仅密码认证;不过默认只能允许一个用户远程登录,无法接受多个。
我们简单调整一下。
user-interface vty 0 4
authentication-mode aaa
user privilege level 15
idle-timeout 0 0
如果想配置只允许SSH方式登录,可以使用以下命令:
user-interface vty 0 4
protocol inbound ssh再就是账号的权限问题,登录时创建的账号默认只有terminal终端权限和HTTP权限,需要添加SSH权限。
aaa
local-user admin service-type telnet terminal ssh http
注意,配置权限时,需要将想用的权限都添加上,如果没有配置会认为不具备此权限;所以,像H3C那样自动追加的配置方式是行不通的。
此外,SSH用户的默认认证方式是password,对应的是账号密码认证;如果要使用密钥认证,需要切换为rsa;如果要同时认证账号密码和私钥,需要配置为password-rsa。
到这里,我们的配置就初步结束了,输入save保存设备配置。
最后,我们从本地测试一下使用SSH远程登录设备。
登录成功,因为开启了SFTP和SCP服务端功能,也可以同时操作设备文件系统。
***推荐阅读***
如何在EVE-NG中导入VSR1000设备?怎么解决登录问题?