admin 管理员组

文章数量: 887021

目录

一、实验原理

二、实验拓扑

三、实验步骤 

四、实验过程

总结


实验难度2
实验复杂度3

一、实验原理

在使用telnet的方式登陆路由器时,数据的传输是明文传输的,它的验证数据容易被一些别有用心的人通过抓包来抓取,所以telnet这种登陆方式相对来说不够安全。telnet缺少了安全的认证方式,在传输过程中使用TCP明文传输,存在比较大的安全隐患,若只是使用这种方式验证身份的话,很容易受到主机IP地址欺骗、路由欺骗等恶意攻击。现在,明文传输密码与数据的方式(如telnet与FTP)已经慢慢被淘汰了。如今,我们可以使用SSH(Secure Shell)协议来传输相关的数据,在传输的过程中,所有的数据都不是明文传输的。Telnet是基于TCP的23号端口进行传输的,而SSH是基于TCP的22号端口进行传输的。SFTP(Secure File Transfer Protocol)是FTP的升级版本,它为传输数据提供了安全保障。

一般地,远程登陆的虚拟接口范围有0到15,一共16个,其中0表示第一个虚拟接口,1表示第二个虚拟接口,以此类推。通常,是0到4的范围接口是处于活动接口,也就是说,我们这时是配置了可以同时允许5个VTY连接,当然我们配置的时候也经常进入一组接口进行配置的。在这里不得不提一个用户级别的概念,这个用户级别(也叫用户权限级别)一共有16个,范围为0-15,一般地,我们通过telnet登录的用户,在刚登录后的权限就是0,也就是在用户视图界面。默认情况下,用户级别在3级以上就可以操作设备上的所有命令。我们可以使用命令local-user ssk privilege level *来修改用户权限,ssk表示用户名,*表示权限的范围。

二、实验拓扑

三、实验步骤 

1.搭建如图网络拓扑;

2.命名设备AR1为R1,AR2为R2,console超时时间为永久,配置相应的IP地址,测试直连网络的连通性;

3.在R2上配置用户名/密码为sec/hcie,配置VTY的验证方式为用户名与密码,测试telnet的功能并抓包查看Telnet传输的数据包;

4.在R2生成RSA主机密钥对,在VTY接口上启用aaa认证方式,并且只允许ssh的登陆方式进行身份验证,配置本地用户的接入类型为SSH;

5.新建SSH用户名为ssk,密码为hcie,用户权限级别为15;

6.使用ssh user命令新建SSH用户,用户名为ssk,认证方式为password;

7.在R2上开启SSH功能,查看R2的SSH服务器状态;

8.在R1上配置SSH客户端,测试效果。

9.在R2上开启SFTP服务器功能,在R1上进行测试。

四、实验过程

1.搭建如图网络拓扑;

略。

2.命名设备AR1为R1,AR2为R2,console超时时间为永久,配置相应的IP地址,测试直连网络的连通性;

测试:

3.在R2上配置用户名/密码为sec/hcie,配置VTY的验证方式为用户名与密码,测试telnet的功能并抓包查看Telnet传输的数据包;

(1)在R2上配置用户名/密码为sec/hcie

(2)配置VTY的验证方式为用户名与密码

(3)测试telnet的功能并抓包查看Telnet传输的数据包

抓取的数据报文:

现在我们可以看到抓取到的telnet的认证账号与密码,这个方式的认证是不安全的,所以我们就使用了一种更加安全的SSH的登陆方式。

4.在R2生成RSA主机密钥对,在VTY接口上启用aaa认证方式,并且只允许ssh的登陆方式进行身份验证,配置本地用户的接入类型为SSH;

查看RSA密钥对的生成情况:

5.新建SSH用户名为ssk,密码hcie,用户权限级别为15;

6.使用ssh user命令新建SSH用户,用户名为ssk,认证方式为password;

7.在R2上开启SSH功能,查看R2的SSH服务器状态;

效果:

8.在R1上配置SSH客户端;

测试效果。

这里可以看到ssh服务器的当前会话信息,这时连接到SSH服务器的用户端为ssk,是第一个用户(VTY 0),采用认证的方式为密码

9.在R2上开启SFTP服务器功能,在R1上进行测试。

测试:

代码解析

[R2]rsa local-key-pair create   //产生RSA密钥对

[R2]user-interface vty 0 4    //进入一组VTY接口(0-4)
[R2-ui-vty0-4]authentication-mode aaa    //启用VTY验证方式为aaa
[R2-ui-vty0-4]protocol inbound ssh     //只采用ssh协议登陆,这里是不允许使用telnet的

[R2-aaa]display rsa local-key-pair public   //查看RSA密钥对的生成情况

[R2-aaa]local-user ssk service-type ssh     //配置本地用户的接入类型为ssh

[R2-aaa]local-user ssk password cipher hcie privilege level 15   //配置本地用户名为ssk,密码为hcie,用户的权限级别为15

[R2]ssh user ssk authentication-type password   //新建SSH用户,用户名为ssk,认证方式为password

[R2]stelnet server enable  //开启SSH服务器功能

[R2]display ssh server status   //查看SSH服务器全局配置信息

[R1]ssh client first-time enable   //开启SSH客户端功能,注意,当SSH用户端首次登录SSH服务器时,因为用户端没有保存SSH服务器的RSA公钥,所以会对服务器的RSA有效性公钥检查失败,从而导致登录服务器失败。为了解决这个问题,我们可以在客户端开启SSH首次认证功能,这样就不会对SSH服务器的RSA公钥进行有效性检查了

[R2]display ssh server session    //查看SSH服务器的当前会话信息

[R2]sftp server enable    //开启SFTP服务器功能

总结

本章节的实验内容还是比较多的,代码量不少,所以该多敲的实验还得多敲,在实验与理念中理解这些内容。好了,我们在下一个章节再见,加油!

本文标签: 华为 路由器 方式 网络 SSH