华三交换机SSH远程登录配置实战:从基础到高级认证
2026/7/18 15:50:58 网站建设 项目流程

1. 华三交换机SSH配置基础篇

第一次接触华三交换机的SSH配置时,我踩过不少坑。记得有次凌晨两点还在机房折腾,就因为漏了一个简单的命令导致整个配置失败。现在把这些经验总结出来,帮你避开我走过的弯路。

1.1 管理地址配置

先给交换机配个管理地址,这是远程连接的基础。我习惯用VLAN 1作为管理VLAN,当然你也可以用其他VLAN。具体操作:

<H3C>system-view [H3C]interface Vlan-interface 1 [H3C-Vlan-interface1]ip address 192.168.1.1 255.255.255.0

配置完记得用display ip interface brief检查下:

[H3C-Vlan-interface1]display ip interface brief *down: administratively down Interface IP Address/Mask Physical Protocol Vlan1 192.168.1.1/24 up up

注意:如果物理端口没起来,检查下端口是否被shutdown了。我有次就因为这个傻傻排查了半小时。

1.2 创建管理用户

接下来创建登录用户,这里有个细节要注意:class manage参数不能少,否则用户创建不成功:

[H3C]local-user admin class manage [H3C-luser-manage-admin]password simple Admin@123 [H3C-luser-manage-admin]service-type ssh [H3C-luser-manage-admin]authorization-attribute user-role level-15

密码复杂度建议至少包含大小写字母和数字。有次我图省事用了全数字密码,结果被安全扫描扫出漏洞,被运维主管一顿批。

1.3 开启SSH服务

关键步骤来了,开启SSH服务并配置认证方式:

[H3C]ssh server enable [H3C]user-interface vty 0 4 [H3C-line-vty0-4]authentication-mode scheme [H3C-line-vty0-4]protocol inbound ssh

这里有个坑:vty线路数量要根据实际需求设置。有次我只开了0-4,结果第五个运维同事连不上,被投诉惨了。

2. 密码认证实战测试

2.1 Windows连接测试

在电脑上用PowerShell测试(Win10及以上版本自带):

ssh admin@192.168.1.1

第一次连接会提示密钥验证:

The authenticity of host '192.168.1.1' can't be established. RSA key fingerprint is SHA256:xxxxxxxx Are you sure you want to continue (yes/no)?

输入yes后,输入密码就能登录了。如果遇到连接超时,八成是防火墙拦了,记得放行22端口。

2.2 常见问题排查

问题1:连接被拒绝

  • 检查ssh server enable是否执行
  • 确认protocol inbound ssh已配置

问题2:密码错误但确定密码正确

  • 检查用户service-type是否包含ssh
  • 确认用户角色权限足够(level-15)

有次我遇到个诡异情况:密码明明正确却登录失败。最后发现是键盘大写锁定开了,尴尬...

3. 高级密钥认证配置

密码认证虽然简单,但安全性不够。生产环境我强烈推荐用密钥认证,彻底告别暴力破解风险。

3.1 生成密钥对

先在客户端生成密钥(以Windows为例):

  1. 打开PowerShell
  2. 执行:ssh-keygen -t rsa
  3. 默认保存在C:\Users\你的用户名\.ssh\id_rsa.pub

3.2 上传公钥到交换机

[H3C]public-key peer admin import sshkey id_rsa.pub

这里有个小技巧:可以用TFTP/FTP上传文件。我有次直接粘贴公钥内容,结果格式错误,建议还是用文件导入靠谱。

3.3 绑定密钥对用户

[H3C]ssh user admin authentication-type publickey assign publickey admin

3.4 密钥登录测试

ssh -i C:\Users\你的用户名\.ssh\id_rsa admin@192.168.1.1

如果提示"Permission denied",检查:

  1. 公钥是否完整上传
  2. 用户名和密钥是否绑定正确

4. 安全加固与高级配置

4.1 限制登录IP

增加安全防护:

[H3C]acl number 2000 [H3C-acl-basic-2000]rule permit source 192.168.1.100 0 [H3C-line-vty0-4]acl 2000 inbound

4.2 修改SSH端口

默认22端口容易被扫描:

[H3C]ssh server port 2222

记得防火墙也要同步修改哦!

4.3 会话超时设置

防止忘记退出:

[H3C-line-vty0-4]idle-timeout 10 0

5. 配置保存与维护

5.1 保存配置

血的教训:一定要保存!

<H3C>save

有次我配完忘保存,交换机重启后配置全丢,只能半夜跑机房重配...

5.2 配置备份

建议定期备份:

<H3C>display current-configuration > config.txt

可以用TFTP传到服务器,我设置了个每周自动备份的定时任务,省心不少。

5.3 日志监控

查看SSH登录记录:

<H3C>display ssh server session

这对排查未授权访问特别有用。

需要专业的网站建设服务?

联系我们获取免费的网站建设咨询和方案报价,让我们帮助您实现业务目标

立即咨询