路由器Router
A作为客户端,路由器Router
B作为服务器端,设备之间通过千兆以太网相连。
图1 publickey认证方式组网图
l 在客户端生成密钥对,并将公钥通过FTP上传到设备
l 在服务器端生成RSA及DSA密钥对,并启动SSH服务器
l
配置允许SSH登录
l
将客户端公钥导入
l
配置用户使用publickey认证并邦定导入的公钥
配置步骤
1、配置步骤
#
生成RSA及DSA密钥对,并启动SSH服务器。
<RouterB>
system-view
[RouterB]
public-key local create rsa
[RouterB]
public-key local create dsa
[RouterB]
ssh server enable
#
配置接口GigabitEthernet3/1/1的IP地址,客户端将通过该地址连接SSH服务器。
[RouterB]
interface GigabitEthernet3/1/1
[RouterB-GigabitEthernet3/1/1]
ip address 10.165.87.136 255.255.255.0
[RouterB-GigabitEthernet3/1/1]
quit
#
设置SSH客户端登录用户界面的认证方式为AAA认证。
[RouterB]
user-interface vty 0 4
[RouterB-ui-vty0-4]
authentication-mode scheme
#
设置上远程用户登录协议为SSH。
[RouterB-ui-vty0-4]
protocol inbound ssh
#
设置用户能访问的命令级别为3。
[RouterB-ui-vty0-4]
user privilege level 3
[RouterB-ui-vty0-4]
quit
& 说明:
这时需要先在SSH客户端生成DSA密钥对,将生成的DSA公钥保存到指定文件中,并将此公钥文件通过FTP/TFTP方式上传到服务器端,文件名为key.pub。相关配置请参见客户端的配置。
#
从文件key.pub中导入远端的公钥。
[RouterB]
public-key peer Router001 import sshkey key.pub
#
设置SSH用户client002的认证方式为publickey,并指定公钥为Router001。
[RouterB]
ssh user client002 service-type stelnet authentication-type publickey assign
publickey Router001
2、配置文件
#
public-key peer
Router001
public-key-code
begin
30819D300D06092A864886F70D010101050003818B003081870281810098BCB14DDF081C92
67D489C15967AB4A1605884833979F735E77C59AAB11343EB7614FF2AD74BACA3A20C2411F
2099E0E12BCF6E38C8C15E717C5FCF6287DBA41743DD904500A58D20C3D3D200746FB3D427
448259222450C572827D373A8F2D6DFA8BC14DDD7C32E88876B67DD610EBAFBBEA8F61ADF5
D6A73BE0E07A6CCBC7020125
public-key-code
end
peer-public-key end
#
interface
GigabitEthernet3/1/1
port link-mode
route
ip address 10.165.87.136
255.255.255.0
#
ssh
server enable
ssh user client002 service-type stelnet
authentication-type publickey assign pu
blickey
Router001
#
user-interface
vty 0 4
authentication-mode
scheme
protocol inbound
ssh
#
1、配置步骤
#
配置接口GE3/1/1的IP地址。
<RouterA>
system-view
[RouterA]
interface GE3/1/1
[RouterA-GE3/1/1]
ip address 10.165.87.137 255.255.255.0
[RouterA-GE3/1/1]
quit
#
生成DSA密钥对。
[RouterA]
public-key local create dsa
#
将生成的DSA主机公钥导出到指定文件key.pub中。
[RouterA]
public-key local export dsa ssh2 key.pub
[RouterA]
quit
&
说明:
客户端生成密钥对后,需要将保存的公钥文件通过FTP/TFTP方式上传到服务器,并完成服务器的配置后,才可继续客户端的配置。
#
建立到服务器10.165.87.136的SSH连接。
<RouterA>
ssh2 10.165.87.136
Username:
client002
Trying
10.165.87.136 ...
Press
CTRL+K to abort
Connected
to 10.165.87.136 ...
The
Server is not authenticated. Continue? [Y/N]:y
Do
you want to save the server public key? [Y/N]:n
******************************************************************************
*
All rights reserved (2004-2006)
*
*
Without the owner's prior written consent, *
*
no decompiling or reverse-engineering shall be allowed.
*
******************************************************************************
<RouterB>
2、配置文件
#
interface
GigabitEthernet3/1/1
port link-mode
route
ip address 10.165.87.137
255.255.255.0
#
可通过以下方式验证上述配置:
通过display users查看用户登录成功
The
user application information of the user interface(s):
Idx UI Delay Type
Userlevel
+
0 CON 0 00:00:00
3
2 VTY 0 00:00:13 SSH 3
Following
are more details.
VTY
0 :
User
name: client002
Location: 10.165.87.137
+ : Current operation
user.
F : Current operation user
work in async mode.