原理概述
由于Telnet缺少安全的认证方式,而且传输过程采用TCP进行明文传输,存在很大的安全隐患,单纯提供Telnet服务容易招致主机IP地址欺骗、路由欺骗等恶意攻击。传统的Telnet和FTP等通过明文传送密码和数据的方式,已经慢慢不被接受。
STelnet是Secure Telnet的简称。在一个传统不安全的网络环境中,服务器通过对用户端的认证及双向的数据加密,为网络终端访问提供安全的Telnet服务。
SSH(Secure Shell)是一个网络安全协议,通过对网络数据加密,使其能够在一个不安全的网络环境中,提供安全的远程登陆和其他安全的网络服务。SSH特性可以提供安全的信息保障和强大的认证功能,以保护路由器不受诸如IP地址欺诈、明文密码截取等攻击。SSH数据加密传输,认证机制更加安全,而且可以替代Telnet,已经被广泛使用,成为了当前重要的网络协议之一。
SSH基于TCP协议22端口传输数据,支持Password认证。用户端向服务器发出Password认证请求,将用户名和密码加密后发送给服务器;服务器将该信息解密后得到用户名和密码的明文,与设备上保存的用户名和密码进行比较,并返回认证成功或失败的消息。
SFTP是SSH File Transfer Protocol的简称,在一个传统不安全的网络环境中,服务器通过对用户端的认证及双向的数据加密,为网络文件传输提供了安全的服务。
实验步骤
1.基本配置
由于eNSP模拟软件自带PC没有SSH用户端,本实验采用两台路由器模拟实验,路由器R1作为SSH的Client,路由器R2作为SSH的Server。
2.配置 SSH Server
在 R2 上使用 rsa local-key-pair create 命令来生成本地RSA主机密钥对。
配置完成后,使用 display rsa local-ley-pair pibilc 命令查看本地密钥对公钥的部分信息。
在 R2 上配置 VTY(虚拟终端连接) 用户界面,设置用户验证的方式为 AAA 授权验证方式。
user-interface vty 0 4
authentication(身份验证)-mode aaa
指定 VTY 类型用户界面只支持 SSH 协议,设备将自动禁止 Telnet 功能。
protocol inbound ssh
使用 locoal-user 命令创建本地用户和用户口令,并以密文方式显示用户口令,指定用户名为huawei1,密码为huawei1。
aaa
local-user huawei1 password cipher huawei1
配置本地用户的接入类型为 SSH。
local-user huawei1 service-type ssh
使用 ssh user 命令创建 SSH 用户,用户名为 huawei1,指定 SSH 用户的认证方式为 Password,即密码验证方式。
ssh user huawei1 authentication-type password
此处还可以继续使用 local-user huawei1 privilege level (进不了系统视图输入此命 令分配管理级为3)命 令配置本地用户优先级。其取值范围为 0~15,其取值越大,代表 用户的优先级越高。不同级别的用户的用户 登录后,只能使用等于或低于自身级别的命 令,默认值为3,代表管理级。
默认情况下,设备的 SSH 服务器功能为关闭状态,只有开启了此功能后,用户端才能以 SSH 方式与设备建立连接。在R2上开启设备的 SSH 功能。
stelnet server enable
配置完成后,使用 display ssh user-information huawei1 命令在 SSH 服务器查看端 查看 SSH 用户的配置 信息。如果不在命令末尾指定 SSH 用户,则可以查看 SSH 服务 器端所有的 SSH 用户配置信息。
可以观察到所有配置的 SSH 用户名及认证方式。
运行 display ssh server status 命令,可以查看 SSH 服务器全局配置信息。
可以观察到,此时 R2 上 STelnet Sever 服务器状态为启用状态。
3.配置 SSH Client
当 SSH 用户端第一次登录 SSH 服务器时,用户端还没有保存 SSH 服务器的 RSA 公钥,会对服务器的 RSA 有效性公钥检查失败,从而导致登录服务器失败。因此当用户端 R1 首次登陆时,需要开启 SSH 用户端首次认证功能,不对 SSH 服务器的 RSA 公钥进行有效性检查。
ssh client first-time enable
在 SSH 用户端 R1 上使用 stelnet 命令连接 SSH 服务器。
stelnet 10.1.1.2
第一次登陆时,由于开启了 SSH 用户端首次认证功能,在 STelnet 用户端第一次登 录 SSH 服务器时,将不对 SSH 服务器的 RSA 公钥进行有效性检查。登陆后,系统将 自动分配并保存 RSA 公钥,为下次登陆时认证。
登录成功后输入用户名 huawei1,密码 huawei1。
输入密码后远程登录 R2 成功,使用 display ssh server session 命令查看 SSH 服务 器端的当前会话连接信 息。
可以观察到,用户 huawei1 已经通过 VTY 线路 0 远程登陆上来,用户端已近成功连接 到 SSH 服务器,可以 进行各种配置。
4.配置 SFTP Server 与 Client
在 R2 上进入 AAA 视图,创建一个名称为 huawei2 的用户,并配置密码为 huawei2,以密文方式显示。
aaa
local-user huawei2 password cipher huawei2
配置本地接入型为 SSH 。
local-user huawei2 service-type ssh
配置用户的优先级,不同级别的用户登录后,只能使用等于或低于自身级别的命令。
local-user huawei2 privilege level 3
指定 FTP 用户的可访问目录。默认为空,如果不配置,FTP 用户将无法登录。
local-user huawei2 ftp-directory flash:
使用 ssh user 命令新建 SSH 用户,用户名为 huawei2 ,指定 SSH 用户的认证方式为 Password,即密码验证方式
ssh user huawei2 authencation-type password
使用 sftp server enable 命令开启 SFTP 服务器功能。
sftp server enable
配置完成后,查看 SSH 服务器配置信息。
display ssh server status
可以观察到,此时 SFTP 服务已经开启。
在 R1 上使用 sftp 命令连接 SSH 服务器,并输入用户名和密码,即可成功登入。