Router作为服务器端通过千兆以太口和作为客户端的PC相连,Host以publickey方式登录到设备。
图1 publickey认证方式组网图
l 在客户端生成密钥对,并将公钥通过FTP上传到设备
l 在服务器端生成RSA及DSA密钥对,并启动SSH服务器
l
配置允许SSH登录
l
将客户端公钥导入
l
5.配置用户使用publickey认证并邦定导入的公钥
配置步骤
1、配置步骤
#
生成RSA及DSA密钥对,并启动SSH服务器。
<Router>
system-view
[Router]
public-key local create rsa
[Router]
public-key local create dsa
[Router]
ssh server enable
#
配置接口GigabitEthernet3/1/1的IP地址,客户端将通过该地址连接SSH服务器。
[Router]
interface GigabitEthernet
[Router-GigabitEthernet3/1/1]
ip address 192.168.1.40 255.255.255.0
[Router-GigabitEthernet3/1/1]
quit
#
设置用户接口上认证模式为AAA认证。
[Router]
user-interface vty 0 4
[Router-ui-vty0-4]
authentication-mode scheme
#
设置Router上远程用户登录协议为SSH。
[Router-ui-vty0-4]
protocol inbound ssh
#
设置用户能访问的命令级别为3。
[Router-ui-vty0-4]
user privilege level 3
[Router-ui-vty0-4] quit
&
说明:
这时需要先在SSH客户端使用SSH客户端软件生成RSA密钥对,将生成的RSA公钥保存到指定文件中,并将此公钥文件通过FTP/TFTP方式上传到服务器端,文件名为key.pub。相关配置请参见客户端的配置。
#
从文件key.pub中导入远端的公钥。
[Router]
public-key peer Router001 import sshkey key.pub
#
设置SSH用户client002的认证方式为publickey,并指定公钥为Router001。
[Router]
ssh user client002 service-type stelnet authentication-type publickey assign
publickey Router001
2、配置文件
#
public-key peer
Router001
public-key-code
begin
30819D300D06092A864886F70D010101050003818B003081870281810098BCB14DDF081C92
67D489C15967AB4A1605884833979F735E77C59AAB11343EB7614FF2AD74BACA3A20C2411F
2099E0E12BCF6E38C8C15E717C5FCF6287DBA41743DD904500A58D20C3D3D200746FB3D427
448259222450C572827D373A8F2D6DFA8BC14DDD7C32E88876B67DD610EBAFBBEA8F61ADF5
D6A73BE0E07A6CCBC7020125
public-key-code
end
peer-public-key end
#
interface
GigabitEthernet3/1/1
port link-mode
route
ip address 192.168.1.40
255.255.255.0
#
ssh
server enable
ssh user client002 service-type stelnet
authentication-type publickey assign pu
blickey
Router001
#
user-interface
vty 0 4
authentication-mode
scheme
protocol inbound
ssh
#
1、配置步骤
#
生成RSA密钥对。
运行PuTTYGen.exe,在参数栏中选择“SSH-2 RSA”,点击<Generate>,产生客户端密钥对。
在产生密钥对的过程中需不停的移动鼠标,鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地方,否则进程条的显示会不动,密钥对将停止产生,见下图。
密钥对产生后,点击<Save public key>,输入存储公钥的文件名key.pub,点击保存。
点击<Save private key>存储私钥,弹出警告框,提醒是否保存没做任何保护措施的私钥,点击<Yes>,输入私钥文件名为private,点击保存。
&
说明:
客户端生成密钥对后,需要将保存的公钥文件通过FTP/TFTP方式上传到服务器,并完成服务器的配置后,才可继续客户端的配置。
# 指定私钥文件,并建立与SSH服务器的连接。
打开PuTTY.exe程序,出现下图所示的客户端配置界面。在“Host Name(or IP address)”文本框中输入SSH服务器的IP地址为192.168.1.40。
单击“SSH”下面的“Auth”(认证),出现下图的界面。单击<Browse…>按钮,弹出文件选择窗口。选择与配置到服务器端的公钥对应的私钥文件private。
如图11 ,单击<Open>按钮。按提示输入用户名client002,即可进入Router的配置界面。
可通过以下方式验证上述配置:
通过display users查看用户登录成功
The
user application information of the user interface(s):
Idx UI Delay Type
Userlevel
+
0 CON 0 00:00:00
3
2 VTY 0 00:00:13 SSH 3
Following
are more details.
VTY
0 :
User
name: client002
Location: 192.168.1.56
+ : Current operation user.
F : Current operation user
work in async mode.