第一步:我们需要配置防火墙上的管理接口允许ssh的流量对该设备进行管理
interface g0/0/0
service-manage ssh permit
第二步:创建管理用户
aaa
manager-user xxx
password cipher huawei@123(要符合相应的密码强度)
service-type ssh
level 3 //设置该用户的配置级别
第三步:设置user-interface 的虚拟接口,使得其允许ssh的流量进来。同时配置user-interface的认证模式为aaa
user-interface vty 0 4
protocol inbound ssh
aaa authentication-mode aaa
第四步:创建本地的密钥对,用于认证用户的身份
rsa local-key-pair create
SSH的验证流程当本地主机接受了防火墙的公钥,本地将会使用公钥将对应用户的密码加密后发送给防火墙进行验证,当验证通过之后,用户端认证就结束了,但是为了后续的ssh的数据通道的加密,防火墙将会与本地进行相关安全算法的协商,比如签名算法,对称加密算法,而且相关算法使用的密钥还是针对两个方向的,比如C到S的,S到C的。协商完成之后,那么双方就会使用DH算法进行共享密钥的协商,协商之后就可以通过共享密钥进行数据的对称加密。
telnet管理的配置第一步:需要在接口上配置允许telnet进行管理
interface g0/0/0
service-manage telnet permit
第二步:创建相关管理用户
aaa
manager-user xxx
password cipher huawe@123
service-type telnet
level 3
第三步:配置user-interface vty 0 4
user-interface vty 0 4
protocol inbound telnet
aaa authentication-mode aaa
WEB管理的配置第一步:在接口上配置允许使用web流量对该设备进行配置
interface g0/0/0
service-manage https permit
第二步:开启web管理功能
web-manager sercurity enable
第三步:创建用户
aaa
manager-user xxx
password huawei@123
service-type web
level 3
其他配置 user-interface vty 0 4接口视图上:idle-timout 分钟 秒
aaa视图下:lock-authentication enable
lock-authentication failed-count 2
lock-authentication timeout 10(分钟)
