文章目录
- 华为路由器AR6121-ES配置SSH(STelnet)完整指南
- 一、前置准备
- 1. 环境要求
- 2. 核心概念说明
- 二、方式1:密码认证SSH(STelnet)(推荐入门)
- 步骤1:登录设备并进入系统视图
- 步骤2:配置本地域名(生成RSA密钥的必选前提)
- 步骤3:生成RSA本地密钥对(SSH加密的核心)
- 步骤4:配置AAA本地用户(SSH登录账号)
- 步骤5:开启STelnet(SSH)服务
- 步骤6:配置SSH用户参数(绑定账号与服务)
- 步骤7:配置VTY虚拟终端(远程登录通道)
- 步骤8:保存配置(避免重启失效)
- 步骤9:客户端验证SSH登录
- 验证1:系统自带SSH客户端(Windows/macOS终端)
- 验证2:Putty客户端(图形化)
- 三、方式2:RSA密钥认证SSH(免密/高安全)
- 步骤1:客户端生成RSA密钥对(以Puttygen为例)
- 步骤2:设备端基础配置(复用/补充)
- 步骤3:创建SSH用户并配置RSA认证
- 步骤4:导入客户端公钥到设备(核心步骤)
- 步骤5:配置VTY线路(复用方式1的配置)
- 步骤6:客户端密钥登录(Putty示例)
- 四、安全加固配置(可选,推荐生产环境)
- 1. 修改SSH默认端口(避免暴力破解)
- 2. ACL限制SSH登录IP(仅允许指定网段)
- 3. 限制SSH最大连接数
- 五、关键验证命令(配置后/排错用)
- 六、常见问题排查(报错+原因+解决)
- 六、总结
华为路由器AR6121-ES配置SSH(STelnet)完整指南
AR6121-ES基于华为VRP 8.x操作系统,SSH(华为官方称STelnet)是远程管理的安全方式(替代明文Telnet)。以下分密码认证(最常用)和RSA密钥认证(免密/高安全)两种方式,提供「步骤+说明+验证+排错」全流程,适配AR6121-ES的特性(如默认VTY 0-4、STelnet=SSH2.0等)。
一、前置准备
1. 环境要求
| 项 | 说明 |
|---|---|
| 硬件 | AR6121-ES路由器(已上电)、客户端PC(Windows/macOS)、网线(PC连路由器管理口/业务口) |
| 网络 | 路由器配置管理IP(如GE0/0/0接口:192.168.1.1/24),PC与路由器互通(ping 192.168.1.1通) |
| 权限 | 登录路由器的用户级别为Level 15(管理员),默认admin用户或通过super切换:<Huawei> super(输入super密码,默认空/需提前配置) |
| 工具(可选) | Putty/Xshell(SSH客户端)、Puttygen(生成RSA密钥)、Wireshark(抓包验证加密) |
2. 核心概念说明
- STelnet:华为VRP中SSH的官方名称,本质是SSH2.0,配置
stelnet server enable即开启SSH服务; - ip domain-name:生成RSA密钥对的必选前提(仅作为本地密钥标识,无需真实可解析的域名);
- VTY 0-4:AR6121-ES默认5条虚拟终端线路,远程登录依赖此线路,需绑定SSH规则。
二、方式1:密码认证SSH(STelnet)(推荐入门)
步骤1:登录设备并进入系统视图
<Huawei>system-view# 从用户视图进入系统视图(提示符变为[Huawei])[Huawei]sysname AR6121-ES# 可选:修改设备名,便于识别步骤2:配置本地域名(生成RSA密钥的必选前提)
[AR6121-ES]ipdomain-name ar6121.local# 任意域名格式(含.即可),如192.168.1.local若跳过此步,后续生成RSA密钥会提示「Failed to generate RSA key pair (no domain name configured)」。
步骤3:生成RSA本地密钥对(SSH加密的核心)
[AR6121-ES]rsa local-key-pair create# 系统交互提示(按以下步骤回应):The key name will be: AR6121-ES_Host# 自动生成密钥名,无需修改Confirm to generate the key pair?[y/n]: y# 确认生成Enter the bitsinthe modulus[512~4096]:2048# 密钥长度推荐2048位(兼顾安全与性能)成功提示:
Info: The key pair has been generated successfully.
步骤4:配置AAA本地用户(SSH登录账号)
创建用于SSH登录的本地用户,指定密码、权限、服务类型:
[AR6121-ES]aaa# 进入AAA认证视图[AR6121-ES-aaa]local-user sshadmin password cipher Huawei@123# 设置密码(不可逆加密)# 密码要求:建议大小写+数字+特殊符号(AR6121-ES默认开启密码复杂度检查,弱密码会告警)[AR6121-ES-aaa]local-user sshadmin privilege level15# 赋予管理员级别(Level 15,最高权限)[AR6121-ES-aaa]local-user sshadmin service-typessh# 限定该用户仅用于SSH登录(安全加固)[AR6121-ES-aaa]quit# 退出AAA视图步骤5:开启STelnet(SSH)服务
[AR6121-ES]stelnet serverenable# 开启SSH服务(AR6121-ES部分版本默认开启,执行无报错即可)# 可选:指定SSH版本为2.0(禁用不安全的SSH1.0)[AR6121-ES]sshserver version2步骤6:配置SSH用户参数(绑定账号与服务)
[AR6121-ES]sshuser sshadmin service-type stelnet# 绑定用户到STelnet服务[AR6121-ES]sshuser sshadmin authentication-type password# 配置认证方式为密码步骤7:配置VTY虚拟终端(远程登录通道)
限制VTY仅允许SSH登录,指定AAA认证:
[AR6121-ES]user-interface vty04# 进入VTY 0-4线路视图(默认5条线路)[AR6121-ES-ui-vty0-4]authentication-mode aaa# 认证方式为AAA(对应步骤4的本地用户)[AR6121-ES-ui-vty0-4]protocol inboundssh# 仅允许SSH登录(禁用Telnet,核心安全配置)# 可选:配置VTY超时(闲置5分钟断开,避免僵尸连接)[AR6121-ES-ui-vty0-4]idle-timeout50# 可选:关闭终端行数限制(避免长输出截断)[AR6121-ES-ui-vty0-4]screen-length0[AR6121-ES-ui-vty0-4]quit# 退出VTY视图步骤8:保存配置(避免重启失效)
[AR6121-ES]save The current configuration will be written to the device. Are you sure to continue?[y/n]: y# 输入y确认保存步骤9:客户端验证SSH登录
验证1:系统自带SSH客户端(Windows/macOS终端)
# 格式:ssh 用户名@路由器管理IPsshsshadmin@192.168.1.1# 替换为路由器实际管理IP- 首次登录提示:
The authenticity of host '192.168.1.1 (192.168.1.1)' can't be established.,输入yes信任密钥; - 输入密码
Huawei@123,成功登录后提示符为<AR6121-ES>。
验证2:Putty客户端(图形化)
- 打开Putty,「Session」页签:
- Host Name (or IP address):输入路由器管理IP(如192.168.1.1);
- Port:默认22;
- Connection type:选择
SSH;
- 点击「Open」,弹出密钥信任提示框,点击「是」;
- 输入用户名
sshadmin、密码Huawei@123,登录成功。
三、方式2:RSA密钥认证SSH(免密/高安全)
适用于对安全性要求高的场景(杜绝密码泄露风险),核心是「客户端生成密钥对→设备导入公钥→客户端用私钥登录」。
步骤1:客户端生成RSA密钥对(以Puttygen为例)
- 打开Puttygen(Putty配套工具):
- 密钥类型:选择
RSA; - 密钥长度:输入
2048(与设备端一致); - 点击「Generate」,移动鼠标生成随机密钥;
- 密钥类型:选择
- 生成后:
- 复制「Public key for pasting into OpenSSH authorized_keys file」后的公钥字符串(全选复制,备用);
- 点击「Save private key」,保存私钥为
.ppk文件(如ar6121_rsa.ppk,需妥善保管)。
步骤2:设备端基础配置(复用/补充)
<Huawei>system-view[Huawei]sysname AR6121-ES[AR6121-ES]ipdomain-name rsa.ar6121.local# 配置域名(必选)[AR6121-ES]rsa local-key-pair create# 生成设备端RSA密钥对(步骤同方式1,输入y+2048)[AR6121-ES]stelnet serverenable# 开启STelnet服务[AR6121-ES]sshserver version2# 限定SSH2.0步骤3:创建SSH用户并配置RSA认证
# 创建SSH用户(无需AAA,直接基于SSH模块创建)[AR6121-ES]sshuser rsauser service-type stelnet[AR6121-ES]sshuser rsauser authentication-type rsa# 认证方式为RSA密钥步骤4:导入客户端公钥到设备(核心步骤)
[AR6121-ES]sshuser rsauser authorized-key0importssh-key# 粘贴步骤1复制的客户端公钥字符串(仅粘贴一行,回车结束)# 成功提示:Info: Succeeded in importing the authorized key.步骤5:配置VTY线路(复用方式1的配置)
[AR6121-ES]user-interface vty04[AR6121-ES-ui-vty0-4]authentication-mode aaa# 注:RSA认证仍需AAA模式(仅认证源为密钥)[AR6121-ES-ui-vty0-4]protocol inboundssh[AR6121-ES-ui-vty0-4]quit[AR6121-ES]save# 保存配置步骤6:客户端密钥登录(Putty示例)
- 打开Putty,「Session」页签:
- 输入路由器IP,端口22,连接类型选
SSH;
- 输入路由器IP,端口22,连接类型选
- 左侧「Connection」→「SSH」→「Auth」:
- 点击「Browse」,选择保存的私钥文件
ar6121_rsa.ppk;
- 点击「Browse」,选择保存的私钥文件
- 点击「Open」,登录界面输入用户名
rsauser,无需输入密码,直接登录成功。
四、安全加固配置(可选,推荐生产环境)
1. 修改SSH默认端口(避免暴力破解)
[AR6121-ES]sshserver port2222# 修改为非默认端口(如2222)# 客户端登录需指定端口:ssh sshadmin@192.168.1.1 -p 2222(终端)/ Putty中Port填22222. ACL限制SSH登录IP(仅允许指定网段)
# 1. 创建ACL,允许192.168.1.0/24网段登录[AR6121-ES]acl number2000[AR6121-ES-acl-basic-2000]rule permitsource192.168.1.00.0.0.255[AR6121-ES-acl-basic-2000]rule denysourceany[AR6121-ES-acl-basic-2000]quit# 2. 绑定ACL到VTY线路[AR6121-ES]user-interface vty04[AR6121-ES-ui-vty0-4]acl2000inbound[AR6121-ES-ui-vty0-4]quit3. 限制SSH最大连接数
[AR6121-ES]sshserver max-sessions3# 限制最大SSH连接数为3(默认5)五、关键验证命令(配置后/排错用)
| 命令 | 作用 | 成功特征 |
|---|---|---|
display rsa local-key-pair public | 查看设备端RSA密钥 | 显示密钥名、长度(2048)、公钥内容 |
display ssh user | 查看SSH用户配置 | 显示用户名、服务类型(stelnet)、认证方式(password/rsa) |
display stelnet server status | 查看STelnet服务状态 | Server status : Enable、SSH version : 2、Port : 22 |
display user-interface vty 0 4 | 查看VTY线路配置 | Protocol inbound : SSH、Authentication mode : AAA |
display ssh server session | 查看当前SSH会话 | 登录后显示会话ID、用户名、客户端IP、登录时间 |
ping 客户端IP | 检查网络连通性 | 丢包率0% |
六、常见问题排查(报错+原因+解决)
| 报错现象 | 根因 | 解决方法 |
|---|---|---|
RSA密钥生成失败:no domain name | 未配置ip domain-name | 执行ip domain-name xxx.xxx后重新生成 |
登录提示Connection refused | 未开启stelnet server enable或VTY未配protocol inbound ssh | 执行stelnet server enable,检查VTY的protocol inbound ssh配置 |
密码认证失败:Authentication failed | 1. 用户名/密码错误;2. 用户服务类型非ssh;3. SSH用户认证方式错误 | 1. 核对local-user密码;2. 检查local-user sshadmin service-type ssh;3. 确认ssh user sshadmin authentication-type password |
| RSA密钥登录失败 | 1. 公钥导入错误;2. 私钥不匹配 | 1. 重新导入客户端公钥(确保粘贴完整);2. 核对客户端私钥文件(.ppk)是否正确 |
| SSH登录后命令权限不足 | 用户级别非Level 15 | 执行local-user sshadmin privilege level 15 |
| 端口修改后无法登录 | 客户端未指定端口/ACL拦截 | 1. 客户端指定端口(如-p 2222);2. 检查ACL是否放行客户端IP |
六、总结
AR6121-ES的SSH配置核心是「域名→密钥→用户→VTY」四步:
- 配置域名是生成RSA密钥的前提;
- 密码认证依赖AAA本地用户,RSA认证依赖客户端公钥导入;
- VTY线路必须限定
protocol inbound ssh,否则默认允许Telnet(不安全); - 生产环境建议结合「非默认端口+ACL限制+RSA密钥认证」,最大化远程管理安全性。
