admin 管理员组文章数量: 887021
目录
一、实验原理
二、实验拓扑
三、实验步骤
四、实验过程
总结
实验难度 | 2 |
实验复杂度 | 3 |
一、实验原理
在使用telnet的方式登陆路由器时,数据的传输是明文传输的,它的验证数据容易被一些别有用心的人通过抓包来抓取,所以telnet这种登陆方式相对来说不够安全。telnet缺少了安全的认证方式,在传输过程中使用TCP明文传输,存在比较大的安全隐患,若只是使用这种方式验证身份的话,很容易受到主机IP地址欺骗、路由欺骗等恶意攻击。现在,明文传输密码与数据的方式(如telnet与FTP)已经慢慢被淘汰了。如今,我们可以使用SSH(Secure Shell)协议来传输相关的数据,在传输的过程中,所有的数据都不是明文传输的。Telnet是基于TCP的23号端口进行传输的,而SSH是基于TCP的22号端口进行传输的。SFTP(Secure File Transfer Protocol)是FTP的升级版本,它为传输数据提供了安全保障。
一般地,远程登陆的虚拟接口范围有0到15,一共16个,其中0表示第一个虚拟接口,1表示第二个虚拟接口,以此类推。通常,是0到4的范围接口是处于活动接口,也就是说,我们这时是配置了可以同时允许5个VTY连接,当然我们配置的时候也经常进入一组接口进行配置的。在这里不得不提一个用户级别的概念,这个用户级别(也叫用户权限级别)一共有16个,范围为0-15,一般地,我们通过telnet登录的用户,在刚登录后的权限就是0,也就是在用户视图界面。默认情况下,用户级别在3级以上就可以操作设备上的所有命令。我们可以使用命令local-user ssk privilege level *来修改用户权限,ssk表示用户名,*表示权限的范围。
二、实验拓扑
三、实验步骤
1.搭建如图网络拓扑;
2.命名设备AR1为R1,AR2为R2,console超时时间为永久,配置相应的IP地址,测试直连网络的连通性;
3.在R2上配置用户名/密码为sec/hcie,配置VTY的验证方式为用户名与密码,测试telnet的功能并抓包查看Telnet传输的数据包;
4.在R2生成RSA主机密钥对,在VTY接口上启用aaa认证方式,并且只允许ssh的登陆方式进行身份验证,配置本地用户的接入类型为SSH;
5.新建SSH用户名为ssk,密码为hcie,用户权限级别为15;
6.使用ssh user命令新建SSH用户,用户名为ssk,认证方式为password;
7.在R2上开启SSH功能,查看R2的SSH服务器状态;
8.在R1上配置SSH客户端,测试效果。
9.在R2上开启SFTP服务器功能,在R1上进行测试。
四、实验过程
1.搭建如图网络拓扑;
略。
2.命名设备AR1为R1,AR2为R2,console超时时间为永久,配置相应的IP地址,测试直连网络的连通性;
测试:
3.在R2上配置用户名/密码为sec/hcie,配置VTY的验证方式为用户名与密码,测试telnet的功能并抓包查看Telnet传输的数据包;
(1)在R2上配置用户名/密码为sec/hcie
(2)配置VTY的验证方式为用户名与密码
(3)测试telnet的功能并抓包查看Telnet传输的数据包
抓取的数据报文:
现在我们可以看到抓取到的telnet的认证账号与密码,这个方式的认证是不安全的,所以我们就使用了一种更加安全的SSH的登陆方式。
4.在R2生成RSA主机密钥对,在VTY接口上启用aaa认证方式,并且只允许ssh的登陆方式进行身份验证,配置本地用户的接入类型为SSH;
查看RSA密钥对的生成情况:
5.新建SSH用户名为ssk,密码hcie,用户权限级别为15;
6.使用ssh user命令新建SSH用户,用户名为ssk,认证方式为password;
7.在R2上开启SSH功能,查看R2的SSH服务器状态;
效果:
8.在R1上配置SSH客户端;
测试效果。
这里可以看到ssh服务器的当前会话信息,这时连接到SSH服务器的用户端为ssk,是第一个用户(VTY 0),采用认证的方式为密码
9.在R2上开启SFTP服务器功能,在R1上进行测试。
测试:
代码解析
[R2]rsa local-key-pair create //产生RSA密钥对
[R2]user-interface vty 0 4 //进入一组VTY接口(0-4)
[R2-ui-vty0-4]authentication-mode aaa //启用VTY验证方式为aaa
[R2-ui-vty0-4]protocol inbound ssh //只采用ssh协议登陆,这里是不允许使用telnet的
[R2-aaa]display rsa local-key-pair public //查看RSA密钥对的生成情况
[R2-aaa]local-user ssk service-type ssh //配置本地用户的接入类型为ssh
[R2-aaa]local-user ssk password cipher hcie privilege level 15 //配置本地用户名为ssk,密码为hcie,用户的权限级别为15
[R2]ssh user ssk authentication-type password //新建SSH用户,用户名为ssk,认证方式为password
[R2]stelnet server enable //开启SSH服务器功能
[R2]display ssh server status //查看SSH服务器全局配置信息
[R1]ssh client first-time enable //开启SSH客户端功能,注意,当SSH用户端首次登录SSH服务器时,因为用户端没有保存SSH服务器的RSA公钥,所以会对服务器的RSA有效性公钥检查失败,从而导致登录服务器失败。为了解决这个问题,我们可以在客户端开启SSH首次认证功能,这样就不会对SSH服务器的RSA公钥进行有效性检查了
[R2]display ssh server session //查看SSH服务器的当前会话信息
[R2]sftp server enable //开启SFTP服务器功能
总结
本章节的实验内容还是比较多的,代码量不少,所以该多敲的实验还得多敲,在实验与理念中理解这些内容。好了,我们在下一个章节再见,加油!
版权声明:本文标题:华为网络篇 使用SSH方式登陆路由器-06 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1724689988h794283.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论