华为S系列交换机SSH登录配置指南（VRP V200R005+）

 2025-12-6

SSH（Secure Shell）是远程管理网络设备的安全协议，通过加密通信避免数据泄露，相比 Telnet 更适合生产环境。奥德彪学习网以华为 S 系列交换机（VRP 系统 V200R005 及以上版本）为核心，详细拆解 SSH 登录配置的六大核心步骤，涵盖基础网络准备、密钥对生成、服务启用、认证方式配置、访问源限制及登录验证，同时提供两种认证模式（密码认证 / 密钥认证）和常见问题排查方案，帮助运维人员快速实现安全、可靠的远程设备管理。

一、前置条件

交换机已配置管理 IP 地址（推荐 VLANIF 接口 IP，用于 SSH 客户端连接）；
交换机与 SSH 客户端之间网络可达（通过 ping 命令验证管理 IP 连通性）；
已通过 Console 口或 Telnet 登录交换机（首次配置需通过 Console 口操作）。

二、详细配置步骤

步骤 1：配置交换机管理 IP（若未配置）

SSH 客户端需通过管理 IP 建立连接，优先将 IP 配置在 VLANIF 接口（以默认 VLAN 1 为例，假设客户端连接端口属于 VLAN 1）：

# 进入系统视图
<Huawei> system-view  
# 可选：修改设备名称（便于识别）
[Huawei] sysname Switch  

# 创建VLAN 1（默认已存在，可直接跳过）  
[Switch] vlan 1  

# 配置VLAN 1的管理IP（需与客户端同网段）
[Switch] interface vlanif 1  
[Switch-Vlanif1] ip address 192.168.1.10 24  # 示例IP，可根据实际网络调整
[Switch-Vlanif1] quit

步骤 2：生成本地 RSA 密钥对（必做）

SSH 依赖密钥对实现加密通信，需在交换机上生成 RSA 密钥对（兼容性最优，推荐密钥长度≥2048 位）：

# 生成RSA本地密钥对
[Switch] rsa local-key-pair create

执行后按提示输入密钥长度（默认 2048 位），输入y确认生成。

验证密钥：执行display rsa local-key-pair public命令，可查看公钥信息确认生成成功。

步骤 3：启用 SSH 服务并配置协议版本

默认 SSH 服务未启用，需手动开启并指定安全协议版本（优先 SSHv2，禁用不安全的 SSHv1）：

# 启用SSH服务（stelnet为华为SSH服务命令）
[Switch] stelnet server enable  

# 禁用SSHv1（增强安全性，可选但推荐）
[Switch] ssh server compatible-ssh1x disable  
# 强制使用SSHv2协议
[Switch] ssh server version 2

步骤 4：配置用户认证方式

SSH 支持密码认证（简单易用，适合新手）和密钥对认证（高安全，推荐生产环境），可单独配置或组合使用（双因素认证）。

方式 1：密码认证（快速上手）

通过创建本地用户并关联 AAA 认证，实现密码登录：

# 进入AAA视图
[Switch] aaa  

# 创建本地用户（示例：用户名admin，密码Admin@123，密文存储）
[Switch-aaa] local-user admin password cipher Admin@123  

# 关键配置：设置用户服务类型为SSH（否则无法通过SSH登录）
[Switch-aaa] local-user admin service-type ssh  

# 设置用户权限级别（0-15级，15级为最高权限，拥有全部操作权限）
[Switch-aaa] local-user admin privilege level 15  

# 退出AAA视图
[Switch-aaa] quit

方式 2：密钥对认证（高安全推荐）

需先在 SSH 客户端生成密钥对，再将公钥上传至交换机，实现无密码（或双因素）登录：

客户端生成密钥对（以 Xshell 为例）：

打开 Xshell → 工具 → 新建用户密钥生成向导 → 选择 RSA 算法（密钥长度 2048 位）→ 生成后保存私钥（如id_rsa）和公钥（如id_rsa.pub）。
交换机导入客户端公钥：

# 创建SSH用户（示例用户名为client001）
[Switch] ssh user client001  

# 设置认证类型为公钥认证
[Switch] ssh user client001 authentication-type publickey  

# 导入客户端公钥（复制id_rsa.pub的完整内容粘贴至命令行）
[Switch] ssh user client001 assign publickey client001_pubkey  
[Switch] public-key peer client001_pubkey import sshkey id_rsa.pub

可选：双因素认证（密码 + 公钥）：

[Switch] ssh user client001 authentication-type password-publickey

需同时配置该用户的本地密码（参考方式 1 的 AAA 配置步骤）。

步骤 5：限制 SSH 访问源（增强安全）

通过 ACL（访问控制列表）限制仅可信 IP 可尝试 SSH 登录，拒绝非法 IP 访问：

# 创建基本ACL 2000（仅匹配源IP地址）
[Switch] acl 2000  
# 允许指定可信客户端IP（反掩码0表示精确匹配，示例IP：192.168.1.100）
[Switch-acl-basic-2000] rule permit source 192.168.1.100 0  
# 拒绝其他所有IP访问
[Switch-acl-basic-2000] rule deny source any  
[Switch-acl-basic-2000] quit  

# 进入VTY用户界面（0-4表示支持5个并发SSH会话）
[Switch] user-interface vty 0 4  

# 配置认证方式为AAA（关联步骤4的本地用户）
[Switch-ui-vty0-4] authentication-mode aaa  

# 仅允许SSH协议访问（禁用Telnet，减少攻击面）
[Switch-ui-vty0-4] protocol inbound ssh  

# 应用ACL 2000，限制访问源IP
[Switch-ui-vty0-4] acl 2000 inbound  

# 退出VTY视图
[Switch-ui-vty0-4] quit

步骤 6：保存配置（避免重启丢失）

所有配置完成后，需保存至交换机 Flash 内存：

[Switch] save

按提示输入y确认保存，配置将在设备重启后依然生效。

三、验证 SSH 登录

1. 客户端验证（以 Xshell 为例）

打开 Xshell → 新建会话 → 协议选择 SSH → 主机填写交换机管理 IP（如 192.168.1.10），端口默认 22；
若为密码认证：输入用户名（如 admin）和密码（如 Admin@123），即可登录；
若为密钥认证：在会话属性 → 验证 → 选择 “公钥” → 导入客户端保存的私钥（如 id_rsa），无需输入密码（双因素认证需额外输入密码）。

2. 交换机端验证（查看配置生效状态）

# 查看SSH服务状态（是否启用、协议版本等）
[Switch] display ssh server status  

# 查看SSH用户配置信息
[Switch] display ssh user-information  

# 查看ACL规则生效情况
[Switch] display acl 2000  

# 查看当前SSH连接会话
[Switch] display users

四、常见问题排查

SSH 连接超时：
- 检查管理 IP 配置是否正确（display interface vlanif 1）；
- 验证客户端与交换机网络可达（ping 管理 IP）；
- 确认 SSH 服务已启用（display ssh server status查看 Enable 字段为 Yes）。
认证失败：
- 密码认证：检查用户名 / 密码是否正确、用户服务类型是否为 SSH（display local-user admin）；
- 密钥认证：确认公钥导入完整、SSH 用户认证类型为 publickey（display ssh user-information）。
ACL 限制导致无法登录：

执行display acl 2000查看规则，确认客户端 IP 在允许列表中，或临时关闭 ACL 测试（undo acl 2000 inbound）。

五、安全建议

生产环境优先使用密钥对认证，避免密码泄露风险；
定期更换密钥对和本地密码（密码建议包含大小写、数字、特殊字符，长度≥8 位）；
严格通过 ACL 限制访问源，仅允许运维终端所在 IP 段访问；
禁用 SSHv1 协议，仅保留更安全的 SSHv2；
限制 VTY 会话数量（默认 0-4，可根据需求调整），避免并发攻击。

阅读剩余

网站声明

本站内容可能存在水印或引流等信息，请擦亮眼睛自行鉴别；以免上当受骗；

本站提供的内容仅限用于学习和研究目的，不得将本站内容用于商业或者非法用途；