华为交换机---项目四感悟

实验目的（实验要求):

SSH （Secure Shell）由IETF的网络小组（Network Working Group）所制定，是建立在应用层基础上的安全协议。

SSH 是较可靠的、专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 可以有效防止远程管理过程中的信息泄露问题。

SSH最初是UNIX系统 上的一个程序，后来又迅速扩展到其他操作平台。SSH在正确使用时可弥补网络中的漏洞。

SSH客户端适用于多种平台。几乎所有的UNIX 平台——包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix以 及其他平台，都可运行SSH。

 

实验目的（实验要求):

保障远程登录的安全性

配置SW1：

<Huawei>sys # 进入系统视图
[Huawei]un in en
[Huawei]sysname SW1 # 改名
[SW1]vlan batch 10 20 # 创建vlan10 和vlan20
[SW1]vlan 10 # 进入vlan 10
[SW1-vlan10]description Sales # 为vlan 10 添加描述信息
[SW1-vlan10]vlan 20 
[SW1-vlan20]description Leaders
[SW1-vlan20]quit 
[SW1]interface Vlan 1 # 进入vlan 1 自带创建
[SW1-vlanif1]ip add 192.168.1.254 24 # 设置ip地址
[SW1-vlanif1]quit # 退出
[SW1]interface Vlan  10  # 进入vlan10 
[SW1-vlanif10]ip add 192.168.10.1 24  # 设置ip地址
[SW1-vlanif10]quit
[SW1]interface Vlan 20
[SW1-vlanif20]ip address 192.168.20.1 24 
[SW1-vlanif20]quit
[SW1]interface GigabitEthernet 0/0/1 # 进入g口

# runk类型的接口主要用来连接其它无线接入控制器设备，一般用于干道链路。Trunk接口允许多个VLAN的帧通过
#Access类型的接口主要用来连接用户主机，一般用于接入链路，且接入链路上通过#的帧为不带Tag的以太网帧。如果Access接口配置了缺省VLAN，则在该报文上加上Tag标记，并将Tag中的VID字段的值设置为接口所属的缺省VLAN编号，此时接入链 # 路上允许与缺省VLAN Tag匹配的以太网帧通过；在同一接口视图下多次使用port link-type命令配置链路类型后，按最后一次配置生效
[SW1-GigabitEthernet0/0/1]port link-type trunk 
[SW1-GigabitEthernet0/0/1]port trunk allow-pass vlan 20 # 配置Trunk类型接口加入的VLAN
[SW1-GigabitEthernet0/0/1]quit
[SW1]interface GigabitEthernet0/0/2
[SW1-GigabitEthernet0/0/2]port link-type trunk
[SW1-GigabitEthernet0/0/2]port trunk allow-pass vlan 10
[SW1-GigabitEthernet0/0/2]quit
[SW1]interface GigabitEthernet0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access 
[SW1-GigabitEthernet0/0/3]port default vlan 1 # 配置接口g0/0/3的缺省VLAN并同时加入这个VLAN
[SW1-GigabitEthernet0/0/3]quit 
[SW1]rip 
[SW1-rip-1]version 2 
[SW1-rip-1]network 192.168.20.0 # 对指定网段接口使能RIP路由
[SW1-rip-1]network 192.168.10.0
[SW1-rip-1]network 192.168.1.0
[SW1-rip-1]quit

配置SW2：

<Huawei>system-view
[Huawei]sysname SW2
[Huawei]un in en
[SW2]vlan batch 10
[SW2]vlan 10
[SW2-vlan10]description Sales
[SW2-vlan10]quit

[SW2]interface GigabitEthernet 0/0/1
[SW2-GigabitEthernet0/0/1]port link-type trunk
[SW2-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 # 用来配置Trunk类型接口加入的VLAN
[SW2-GigabitEthernet0/0/1]quit

[SW2]interface GigabitEthernet0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2]port default vlan 10
[SW2-GigabitEthernet0/0/2]quit

配置SW3：

[Huawei]sysname SW3
[Huawei]un in en 
[SW3]vlan batch 20
[SW3]vlan 20
[SW3-vlan20]description Leaders
[SW3-vlan20]quit

[SW3]interface GigabitEthernet 0/0/1
[SW3-GigabitEthernet0/0/1]port link-type trunk
[SW3-GigabitEthernet0/0/1]port trunk allow-pass vlan 20
[SW3-GigabitEthernet0/0/1]quit

[SW3]interface GigabitEthernet0/0/2
[SW3-GigabitEthernet0/0/2]port link-type access
[SW3-GigabitEthernet0/0/2]port default vlan 20 # 用来配置Trunk类型接口加入的VLAN
[SW3-GigabitEthernet0/0/2]quit

配置路由器RT1：

 

[Huawei]sysname RT1
[RT1]interface GigabitEthernet 0/0/0 #进入g0口
[RT1-interface GigabitEthernet0/0/0]ip address 202.96.101.10 24
[RT1-interface GigabitEthernet0/0/0]quit
[RT1]interface GigabitEthernet 0/0/1
[RT1-interface GigabitEthernet0/0/1]ip address 192.168.1.1 24
[RT1-interface GigabitEthernet0/0/1]quit
[RT1]rip
[RT1-rip-1]version 2
[RT1-rip-1]network 202.96.101.0
[RT1-rip-1]network 192.168.1.0
[RT1-rip-1]quit

 验证

 

创建VTY用户，并授权SSH服务

[SW1] user-interface vty 0 4
[sw1-ui-vty0-4] authentication-mode aaa
[sw1-ui-vty0-4] protocol inbound ssh

[SW1] aaa
# 这里local-user <用户名> password [加密算法] <密码> privilege level表示级别【0~15级】 
# 加密算法-》cipher表示对用户口令采用可逆算法进行了加密，非法用户可以通过对应的解密算法解密密文后得到明文，安全性较低。如果选择cipher参数，则password可以是长度范围是8～128位的明文类型，也可以是长度为48、68、88、108、128、148、168、188位的密文类型
# irreversible-cipher表示对用户密码采用不可逆算法进行了加密，使非法用户无法通过解密算法特殊处理后得到明文，为用户提供更好的安全保障。如果选择irreversible-cipher参数，则password可以是长度范围是8～128位的明文类型，也可以是68位的密文类型。

[sw1-aaa] local-user sshadmin password cipher  ssh.123 privilege level 15
[sw1-aaa] local-user sshadmin service-type ssh # 配置本地用户的接入类型,这里为ssh
.配置ssh用户的认证方式和服务方式：

[SW1] ssh user sshadmin authentication-type password 
# 配置SSH用户的认证方式。 shh user <指定用户名> authentication-type【指定认证方式】  [<password密码认证>，<rsa RSA认证>，<password-rsa 指定这两种共同认证>, ,[all 指定密码认证、ECC或者RSA认证]..]
#手册：https://support.huawei.com/enterprise/zh/doc/EDOC1100096315/cdb70107

[SW1] stelnet server enable # 使能SSH服务器端的STelnet服务，客户端要以Stelnet方式与SSH服务器建立连接，那么SSH服务器端的STelnet服务功能必须使能。 server关键字表示服务端

ssh的验证

验证方法:

登录路由器RT1：

[RT1] ssh client first-time enable 
# 客户端也要开启STelnet服务，用来使能SSH客户端首次认证。如果SSH客户端想第一次就能成功登录SSH服务器，还可以执行命令ssh client assign通过事先在客户端为SSH服务器分配RSA公钥来实现。
[RT1] stelnet 192.168.1.254  # 用来从当前设备使用STelnet协议登录到其他设备。

远程登录验证

实验结果:

 符合预期！！！！！

 完成任务

 

 

 

实验心得:(总结问题...）

 巩固了学习成果，很有意思！！！