Network101

Appearance

📝 核心笔记:SSH 与 Stelnet (Huawei VRP)

1. 概念辨析 (Concept)

  • 核心结论:在华为/H3C 设备语境下,Stelnet 即 SSH 终端服务
  • SSH (Secure Shell)
    • 定义:一种网络安全协议(IETF RFC 4253),运行在 TCP 22 端口。
    • 作用:提供加密的远程登录、文件传输(SFTP)等服务。
    • 特点:数据传输加密(防止窃听)、压缩传输(提高速度)。
  • Stelnet (Secure Telnet)
    • 定义:华为 VRP 操作系统对“基于 SSH 协议进行远程终端登录”这一服务的命名。
    • 语境:仅存在于华为、H3C 等国产厂商的命令行配置中。

形象理解:SSH 是“发动机技术标准”,Stelnet 是华为给这辆车起的“型号名字”。

2. 配置实战 (Configuration)

场景:将一台华为路由器(R1)配置为 SSH 服务端,允许管理员通过 PC 或其他设备安全登录。

第一步:服务端配置 (Server Side - R1)

  1. 生成本地密钥对(必须步骤,否则 SSH 服务无法启动):

    bash
    [R1] rsa local-key-pair create
# 提示输入位数时,推荐输入 2048 或以上

  2. 开启 Stelnet 服务

    bash
    [R1] stelnet server enable

  3. 配置 VTY 线路(允许 SSH 流量进入)

    bash
    [R1] user-interface vty 0 4
[R1-ui-vty0-4] authentication-mode aaa      # 必须使用AAA认证
[R1-ui-vty0-4] protocol inbound ssh         # 仅允许SSH(推荐),或 all

  4. 创建 SSH 用户(AAA 视图)

    bash
    [R1] aaa
[R1-aaa] local-user admin password cipher Huawei@123
[R1-aaa] local-user admin privilege level 3     # 3为管理级(旧),15为最高(新)
[R1-aaa] local-user admin service-type stelnet  # 关键命令:指定服务类型为 Stelnet

  5. 配置 SSH 用户认证方式(这是很多初学者容易漏的一步):

    bash
    [R1] ssh user admin authentication-type password
# 或者使用 password-ecc, rsa 等,通常用 password

第二步:客户端登录 (Client Side)

  • 情况 A:使用 PC (Xshell/Putty/SecureCRT)

    • 协议选择:SSH
    • 端口:22
    • IP:R1的IP地址

  • 情况 B:使用另一台华为设备 (R2) 登录 R1

    1. 开启首次认证(否则会报错无法保存公钥):
      bash
      [R2] ssh client first-time enable
    2. 发起连接(注意命令是 stelnet):
      bash
      <R2> stelnet 192.168.1.1
# 系统提示是否保存密钥,输入 y,然后输入密码

3. 常见故障排查 (Troubleshooting)

如果配置了却连不上,请按以下顺序检查(Iris 的经验总结):

  1. 检查密钥是否生成
    • 命令:display rsa local-key-pair public
    • 现象:如果为空,说明没敲 rsa local-key-pair create,SSH 服务根本没起。
  2. 检查服务类型
    • 命令:display current-configuration | include service-type
    • 排错:确保用户下配置了 service-type stelnetservice-type all。如果只配了 httpftp,是登不上的。
  3. 检查 VTY 协议
    • 命令:display user-interface vty 0
    • 排错:确保 protocol inbound 包含了 sshall。如果以前配过 protocol inbound telnet,SSH 会被拒绝。
  4. 检查 SSH 用户认证类型
    • 命令:display ssh user-information
    • 排错:看 Auth-type 这一栏。如果是 default 或空,可能需要在系统视图下强制指定 ssh user <name> authentication-type password

4. 考试/面试 重点 (Key Points)

  • Q1: Telnet 和 Stelnet 的本质区别?
    • A: Telnet 是明文传输(不安全,Wireshark 可直接抓到密码);Stelnet (SSH) 是密文传输(安全)。
  • Q2: 为什么我在 Cisco 设备上找不到 stelnet 命令?
    • A: stelnet 是华为/H3C 的私有命令关键字。Cisco 直接使用 ssh -l <user> <ip> 命令。
  • Q3: 配置 SSH 时,AAA 是必须的吗?
    • A: 在华为设备上,SSH 登录必须配合 AAA 认证模式,不支持 VTY 下的 password 单一认证模式。