H3C交换机配置ssh密码验证登录方式

　　一、背景

　　1、由于PC机串口不支持热插拔，请不要在交换机带电的情况下，将串口插入或者拔出PC机。

　　当连接PC和交换机时，请先安装配置电缆的DB-9端到PC机，再连接RJ-45到交换机；在拆下时，先拔出RJ-45端，再拔下DB-9端。

　　2、恢复出厂设置的交换机

　　《H3C》resetsaved-configuration

　　3、重启设备

　　必须重启才能生效

　　二、VLAN配置

　　1、删除vlan

　　系统模式下：undovlanID号

　　2、创建vlan

　　［H3C］vlan100

　　3、把端口添加到vlan里面

　　［H3C-vlan100］portGigabitEthernet1/0/1toGigabitEthernet1/0/16

　　4、同理创建vlan200、vlan300，分别把端口添加到valn里

　　［H3C-vlan200］portGigabitEthernet1/0/17toGigabitEthernet1/0/32

　　［H3C-vlan300］portGigabitEthernet1/0/33toGigabitEthernet1/0/44

　　注意：默认所有的端口都在vlan1，此设备剩余口都在vlan1中。

　　5、给VLAN配置管理地址

　　［H3C］interfaceVlan-interface100

　　［H3C-Vlan-interface100］ipaddress192.168.5.189255.255.255.0

　　三、开启ssh管理

　　系统配置模式下：

　　查看ssh状态信息：

　　［H3C］displaysshserverstatus

　　如果是SSHserver：Disable，那么需要开启ssh服务：

　　［H3C］sshserverenable

　　四、创建ssh用并赋予权限

　　注意：建立不同用户，级别也不同，level3是最高权限，0是最低权限

　　1、在用户使用SSH登录交换机时，交换机对所要登录的用户使用密码对其进行身份验证，生成RSA和DSA密钥对

　　［H3C］public-keylocalcreatersa

　　［H3C］public-keylocalcreatedsa

　　注意：

　　（1）虽然一个客户端只会采用DSA和RSA公共密钥算法中的一种来认证服务器，但是由于不同客户端支持的公共密钥算法不同，为了确保客户端能够成功登录服务器，建议在服务器上生成DSA和RSA两种密钥对。

　　（2）如果创建后，交换机重启后依然存在。

　　2、设置用户接口上的认证模式为AAA，并让用户接口支持SSH协议

　　［H3C］user-interfacevty04

　　［H3C-ui-vty0-4］authentication-modescheme

　　注意：

　　如果在该用户界面上配置支持的协议是SSH，为确保登录成功，请务必配置登录用户界面的认证方式为authentication-modescheme（采用AAA认证）。

　　［H3C-ui-vty0-4］protocolinboundssh

　　3、创建用户

　　系统配置模式下：

　　［H3C］local-usercdc_admin

　　4、创建密码

　　［H3C-luser-cdc_admin］passwordcipher密码//忘记密码，可以通过console端口连接，然后通过该命令来修改密码

　　5、定义登录协议

　　［H3C-luser-cdc_admin］service-typessh

　　6、创建用户级别

　　［H3C-luser-cdc_admin］authorization-attributelevel3

　　7、配置SSH用户client001的服务类型为Stelnet，认证方式为password认证。

　　［H3C］sshusercdc_adminservice-typestelnetauthentication-typepassword

　　8、备份配置信息

　　备份配置信息防止重启后丢失