华为交换机配置STelnet（SSH）远程登录方法

STelnet是华为对SSH远程登录功能的叫法，以突出其相对Telnet的安全性。STelnet基于SSH协议，提供安全的信息保障和强大认证功能，保护交换机不受IP欺骗等攻击。用户不能直接通过STelnet方式登录交换机，而是需要先通过Console口或Telnet方式登录交换机，并配置STelnet功能及用户界面参数。SSH通过加密和认证等措施，在不安全的网络上提供安全的远程登录。

缺省情况下，设备未配置任何STelnet相关功能，如果需要使用该功能，需要配置STelnet服务及用户信息。配置步骤如下：

一、配置VTY用户界面的支持协议类型、认证方式和用户级别。

（通过STelnet登录设备需配置用户界面支持的协议是SSH，必须设置VTY用户界面认证方式为AAA认证。）

[HUAWEI] user-interface vty 0 4
[HUAWEI-ui-vty0-4] authentication-mode aaa    //配置VTY用户界面认证方式为AAA认证
[HUAWEI-ui-vty0-4] protocol inbound ssh    //配置VTY用户界面支持的协议为SSH，默认情况下即SSH
[HUAWEI-ui-vty0-4] user privilege level 15    //配置VTY用户界面的级别为15
[HUAWEI-ui-vty0-4] quit

二、开启STelnet服务器功能并创建SSH用户。

[HUAWEI] ssh server-source -i Vlanif 10   //假设客户端使用IP地址10.10.10.20连接服务器，该地址对应的接口为Vlanif 10。该命令仅在V200R020C00及之后版本使用。
[HUAWEI] stelnet server enable    //使能设备的STelnet服务器功能

如果未创建对应的Vlanif和设置IP地址，需要先进行设置。

interface Vlanif10  //进入vlanif10
 ip address 10.10.10.20  255.255.255.0 //配置IP

配置默认路由：

ip route-static 0.0.0.0 0.0.0.0 10.10.10.254

三、配置SSH用户认证方式。

创建SSH用户（两种方式）。

[HUAWEI] ssh authentication-type default password    //配置SSH用户缺省采用密码认证

或

[HUAWEI] ssh user admin123    //创建SSH用户admin123
[HUAWEI] ssh user admin123 service-type stelnet    //配置SSH用户的服务方式为STelnet
[HUAWEI] ssh user admin123 authentication-type password    //配置SSH用户认证方式为password

使用Password认证方式时，需要在AAA视图下配置与SSH用户同名的本地用户。

[HUAWEI] aaa
[HUAWEI-aaa] local-user admin123 password irreversible-cipher YsHsjx_202206    //创建与SSH用户同名的本地用户和对应的登录密码
[HUAWEI-aaa] local-user admin123 privilege level 15    //配置本地用户级别为15
Warning: This operation may affect online users, are you sure to change the user privilege level ?[Y/N]y
[HUAWEI-aaa] local-user admin123 service-type ssh    //配置本地用户的服务方式为SSH
[HUAWEI-aaa] quit

配置SSH用户认证方式为RSA、DSA或ECC（以ECC认证方式为例，RSA、DSA认证方式步骤类似）

使用RSA、DSA或ECC认证方式时，需要在SSH服务器上输入SSH客户端生成的密钥中的公钥部分。这样当客户端登录服务器时，自己的私钥如果与输入的公钥匹配成功，则认证通过。客户端公钥的生成请参见相应的SSH客户端软件的帮助文档。

[HUAWEI] ssh user admin123    //创建SSH用户admin123
[HUAWEI] ssh user admin123 service-type stelnet    //配置SSH用户的服务方式为STelnet
[HUAWEI] ssh user admin123 authentication-type ecc    //配置SSH用户认证方式为ecc
[HUAWEI] ecc peer-public-key key01 encoding-type pem    //配置ECC公共密钥编码格式，并进入ECC公共密钥视图,key01为公共密钥名称
Enter "ECC public key" view, return system view with "peer-public-key end".
[HUAWEI-ecc-public-key] public-key-code begin    //进入公共密钥编辑视图
Enter "ECC key code" view, return last view with "public-key-code end".
[HUAWEI-dsa-key-code] 308188    //拷贝复制客户端的公钥，必须为十六进制字符串，如果是其他进制，请提前转换
[HUAWEI-dsa-key-code] 028180
[HUAWEI-dsa-key-code] B21315DD 859AD7E4 A6D0D9B8 121F23F0 006BB1BB
[HUAWEI-dsa-key-code] A443130F 7CDB95D8 4A4AE2F3 D94A73D7 36FDFD5F
[HUAWEI-dsa-key-code] 411B8B73 3CDD494A 236F35AB 9BBFE19A 7336150B
[HUAWEI-dsa-key-code] 40A35DE6 2C6A82D7 5C5F2C36 67FBC275 2DF7E4C5
[HUAWEI-dsa-key-code] 1987178B 8C364D57 DD0AA24A A0C2F87F 474C7931
[HUAWEI-ecc-key-code] A9F7E8FE E0D5A1B5 092F7112 660BD153 7FB7D5B2
[HUAWEI-ecc-key-code] 171896FB 1FFC38CD
[HUAWEI-ecc-key-code] 0203
[HUAWEI-ecc-key-code] 010001
[HUAWEI-ecc-key-code] public-key-code end    //退回到公共密钥视图
[HUAWEI-ecc-public-key] peer-public-key end    //退回到系统视图
[HUAWEI] ssh user admin123 assign ecc-key key01    //为用户admin123分配一个已经存在的公钥key01

在服务器端生成本地密钥对。

[HUAWEI] ecc local-key-pair create
Info: The key name will be: HUAWEI_Host_ECC.
Info: The key modulus can be any one of the following: 256, 384, 521.
Info: If the key modulus is greater than 512, it may take a few minutes.
Please input the modulus [default=521]:521
Info: Generating keys..........
Info: Succeeded in creating the ECC host keys.

客户端STelnet登录设备。

PC端用Password认证方式连接SSH服务器。

以上为通过PuTTY软件用password认证方式连接SSH服务器示意图

点击“Open”，出现如下界面，输入用户名和密码，并按Enter键，至此已登录到SSH服务器。（以下显示信息仅为示意）

login as: admin123
Sent username "admin123"

admin123@10.10.10.20's password:

Info: The max number of VTY users is 8, and the number
      of current VTY users on line is 5.
      The current login time is 2018-12-22 09:35:28+00:00.
<HUAWEI>