H3C 交换机SSH安全登录配置详解

1. 为什么需要SSH登录H3C交换机每次走进机房看到成排的交换机我都会想起刚入行时用Telnet管理设备的经历。那时候根本不知道数据是明文传输的直到某天在客户现场抓包看到自己的密码赤裸裸地出现在数据流里后背瞬间发凉。现在给企业做网络规划SSH加密登录是我一定会强调的基础配置。**SSHSecure Shell**就像给交换机装了防盗门相比Telnet这种纸糊的门它能提供三大安全保障加密传输所有数据包都经过高强度加密抓包工具看到的全是乱码身份验证通过密钥对确认设备身份防止中间人冒充交换机完整性校验数据包被篡改时会立即被发现以H3C S6850交换机为例配置SSH后登录过程是这样的你的电脑先和交换机交换密钥类似对暗号确认身份后建立加密隧道之后所有的命令行操作都在这条安全通道里传输。实测在千兆网络下加密带来的延迟几乎可以忽略不计。2. 准备工作环境检查与连接上周给某物流仓库部署交换机时就遇到个典型问题工程师反馈SSH连不上结果发现是交换机系统版本太老。为了避免这种尴尬正式配置前需要做好这些准备确认设备型号和版本在用户视图下执行H3Cdisplay version重点看两行信息Hardware: S6850-56HF硬件型号Software Version: 7.1.070软件版本建议系统版本不低于7.1老版本可能需要升级。我遇到过V5版本的H3C设备SSH功能不全的情况升级后问题解决。物理连接方式首次配置建议用Console线直连这是最可靠的连接方式。线序要注意H3C交换机的Console口通常是RJ45接口需要使用反转线。我包里常备着USB转Console适配器现在的笔记本很少有原生串口了。IP地址规划给管理VLAN分配IP时有个小技巧建议单独划一个管理VLAN不要和业务VLAN混用。比如[H3C]vlan 100 [H3C-vlan100]quit [H3C]interface vlan-interface 100 [H3C-Vlan-interface100]ip address 192.168.100.1 243. 生成密钥对安全体系的基石密钥对就像加密通信的身份证H3C支持RSA和DSA两种算法。我习惯用RSA 2048位密钥这是目前行业公认的安全标准。配置时有个坑要注意密钥生成过程中千万别断电3.1 生成RSA密钥在系统视图下执行[H3C]public-key local create rsa这时设备会询问密钥长度直接回车默认是1024位。但我强烈建议输入2048Input the bits of the modulus[default 1024]: 2048 Generating Keys... 这个过程可能需要2-3分钟取决于设备性能期间别着急。有次在客户现场新来的工程师以为卡死了直接重启设备结果导致系统文件损坏。3.2 生成DSA密钥可选虽然现在RSA更常用但有些老系统可能需要DSA[H3C]public-key local create dsa同样建议选择2048位。完成后可以用命令查看生成的密钥[H3C]display public-key local4. 启动SSH服务与端口配置密钥准备好后就像有了锁芯现在需要把防盗门装上4.1 基本服务启用[H3C]ssh server enable这个命令执行后交换机就开始监听22端口了。但这时候还缺个关键配置——很多工程师会忘记设置VTY线路的协议限制[H3C]line vty 0 4 [H3C-line-vty0-4]protocol inbound ssh这条命令的意思是只允许通过SSH登录禁止Telnet。有次安全审计时发现虽然开了SSH但没禁用Telnet相当于装了防盗门却留着窗户没关。4.2 修改默认端口建议22端口就像你家大门的默认位置黑客第一个就会扫描这里。改成非常用端口能减少很多扫描攻击[H3C]ssh server port 2222改完后记得在防火墙放行新端口。上周有个客户反馈SSH连不上排查半天发现是他们防火墙策略没更新。5. 用户认证配置实战认证系统是SSH的最后一道防线这里分享几个实用技巧5.1 创建管理账户千万别用默认admin账户建议按姓名工号规则创建[H3C]local-user zhangsan001 class manage [H3C-luser-manage-zhangsan001]password cipher Zs2023! [H3C-luser-manage-zhangsan001]service-type ssh [H3C-luser-manage-zhangsan001]authorization-attribute user-role level-15注意几个细节密码要用cipher而不是simple这样配置里显示的是加密后的密文权限level-15相当于超级管理员用户名最好包含员工信息方便审计5.2 认证方式选择H3C支持三种认证方式我一般这样搭配使用密码认证基础保障密钥认证更安全[H3C]ssh user zhangsan001 authentication-type publickey [H3C]ssh user zhangsan001 assign publickey sshkey1双因素认证最高安全需要额外配置CA证书6. 高级安全加固技巧基础配置完成后这些进阶设置能让安全性再上一个台阶6.1 登录失败锁定防止暴力破解[H3C]ssh server authentication-retries 3 [H3C]ssh server rekey-interval 120意思是3次失败就断开连接每120分钟更换一次会话密钥。6.2 访问控制列表只允许运维终端IP登录[H3C]acl number 2000 [H3C-acl-basic-2000]rule permit source 192.168.100.100 0 [H3C-acl-basic-2000]quit [H3C]line vty 0 4 [H3C-line-vty0-4]acl 2000 inbound6.3 会话超时设置避免忘记退出导致会话长期挂起[H3C-line-vty0-4]idle-timeout 15 015分钟无操作自动断开最后的0表示不提醒直接断开。7. 排错与日常维护即使配置正确实际使用中还是会遇到各种问题。分享几个常见故障的排查方法7.1 连接被拒绝先检查基础四要素SSH服务是否启用display ssh server status端口是否监听display tcp | grep 22防火墙是否放行线路协议是否正确display line vty 07.2 认证失败重点检查display ssh user-information zhangsan001 display local-user zhangsan001看看服务类型是否包含SSH账户是否被锁定。7.3 日志监控建议开启SSH日志功能[H3C]info-center enable [H3C]info-center loghost 192.168.100.100 [H3C]ssh server log enable这样所有登录尝试都会记录到日志服务器方便事后审计。有次发现凌晨3点有登录尝试顺藤摸瓜找出了内网中毒的主机。配置完成后建议先用另一台电脑测试登录确认无误再保存配置[H3C]save force记得定期备份配置文件我习惯用TFTP传到服务器[H3C]tftp 192.168.100.100 put config.cfg