一、SSH 登录的核心作用和意义
为远程管理网络设备或服务器提供一个加密、可靠且可严格控制的专业通道。它彻底解决了传统远程管理方式(如 Telnet、FTP)的根本性安全缺陷。
其主要价值和意义体现在以下三个层面:
1. 解决最核心的安全问题:对抗窃听与篡改
- 加密传输:SSH 将所有通信内容(包括用户名、密码、执行的命令、返回的结果)进行高强度加密。即使数据在传输过程中被截获,攻击者也无法直接读取,从根本上解决了窃听风险。
- 数据完整性验证:SSH 通过报文校验机制,确保传输的数据未被恶意篡改或重放。
- 身份验证服务器:客户端首次连接时,会验证服务器的公钥指纹,防止用户连接到假冒的'中间人'服务器。
2. 提供强大且灵活的身份验证机制
SSH 不仅加密通道,还强化了'开门'的钥匙:
- 支持多种认证方式:除了传统的密码,更支持更安全的公钥认证。管理员可以将自己的公钥部署在设备上,登录时使用私钥进行数学验证,无需记忆和传输密码,且几乎无法暴力破解。
- 细粒度访问控制:可以为不同用户指定不同的认证方式(如管理员强制用密钥,审计员用密码),实现安全等级分层。
3. 成为现代网络自动化与可管理性的基石
- 自动化运维的基础:脚本和自动化工具(如 Ansible, Python 脚本)可以基于 SSH 公钥认证,安全、无交互地批量登录和管理成千上万的设备,这是实现运维自动化和基础设施即代码的前提。
- 功能扩展的平台:SSH 不仅是一个远程 Shell,它还是一个安全的'隧道协议'。在其安全通道基础上,可以运行其他服务:
- SFTP:安全的文件传输,替代不安全的 FTP。
- SCP:安全的文件复制命令。
- 端口转发:将其他不安全的 TCP 连接通过 SSH 隧道加密传输,作为一种临时的安全加固手段。
二、基础网络配置
首先确保设备与客户端网络可达,配置管理 IP 地址:
<Huawei>system-view
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 10.1.1.1 24
[R1-GigabitEthernet0/0/0]quit
命令解析:system-view进入系统视图;sysname修改设备标识;interface进入接口配置;ip address配置接口 IP 和子网掩码。
三、生成 RSA 密钥对
SSH 使用非对称加密,必须生成本地密钥对:
[R1]rsa local-key-pair create
The range of public key size is (512~2048). Input the bits in the modulus [default=512]:1024
Generating keys...
命令解析:**rsa local-key-pair create**生成 RSA 密钥对,密钥长度推荐 1024 位以上。这是 SSH 加密通信的基础。
四、启用 SSH 服务
[R1]stelnet server enable
Info: Succeeded in starting the Stelnet server.
命令解析:****启动 SSH 服务器功能(华为设备使用 stelnet 作为 SSH 服务)。
