轉載來源 :https://mp.weixin.qq.com/s/jMsQrE6gHEfpD2vN6V–Ow
組網及說明
終端通過防火牆F1000-AK135設備1/0/1接口連接到防火牆。
配置步驟
**1.首先製作密鑰對:**密鑰對可以在Conware V7系統網絡設備上生成後下載到客戶端,也可以在客戶端上通過工具軟件,如security CRT等進行製作後,通過FTP,TFTP上傳至Comware V7網絡設備上。我們以security CRT爲例,進行祕鑰對的製作。
- 在CRT的tools欄目下,選擇Creat Public Key:
- 這裏我們選擇RSA方式的祕鑰:
- 這裏輸入的是用來加密私鑰和解密私鑰的密碼,內容爲xumeng:
- 最後生成一個公鑰和一個私鑰文件:
2.設備側配置:
(2)設備配置如下(需要首先將Identity.pub這個文件導入到設備上。)
interface GigabitEthernet1/0/1
port link-mode route
combo enable copper
ip address 192.168.56.10 255.255.255.0
line vty 0 4
authentication-mode scheme //指定認證模式爲AAA認證
user-role network-operator
protocol inbound ssh //指定虛擬終端接入允許的協議爲SSH
#public-key peer test import sshkey identity.pub //其中test爲自定義的設備上公鑰名。Identity.pub爲tftp導入到設備上的公鑰文件。
#ssh server enable
ssh user xumeng service-type all authentication-type password-publickey assign publickey test
//這裏選密碼+公鑰認證方式,同時爲用戶xumeng分配一個已生成的公鑰test
#local-user xumeng class manage
password simple admin
service-type ssh
authorization-attribute user-role network-operator
3.登陸認證操作:
- 從電腦上登陸設備時注意:只能勾選pulickey選項和Password選項:
- 這裏需要注意:在這裏輸入的是做私鑰解密的密碼,即之前配置的xumeng這個密碼:
- 需要注意:這裏配置的是設備創建的本地local-user的用戶名xumeng和密碼admin:
- 正確操作後,最後登陸成功了:
配置關鍵點
在配置完成後,使用終端進行登陸時,有兩次輸入密碼的地方,第一次要求輸入的是加解密祕鑰的密碼,第二次輸入的是設備上的創建的local-user的賬號名和密碼,這裏比較容易混淆。使用的時候,可以看下security CRT的輸入框上面的英文提示內容。正確輸入後即可。該密碼+祕鑰的方式比較少見,也很少用。有需要的同學建議收藏。