企业官网建设流程全解析

5 网站建设进度表,wordpress判断是否是子分类,公司网站怎么免费建,石家庄文章目录华为AR6121-eS路由器SSH远程连接配置详解一、配置前准备与规划1. 网络拓扑与IP规划2. 配置前检查二、基础网络配置1. 进入系统视图与设备命名2. 配置管理接口#xff08;以GE0/0/0为例#xff09;3. 配置路由#xff08;如需远程跨网段访问#xff09;三、SSH服务器…文章目录华为AR6121-eS路由器SSH远程连接配置详解一、配置前准备与规划1. 网络拓扑与IP规划2. 配置前检查二、基础网络配置1. 进入系统视图与设备命名2. 配置管理接口以GE0/0/0为例3. 配置路由如需远程跨网段访问三、SSH服务器配置完整步骤1. 生成SSH密钥对2. 创建SSH用户3. 配置本地用户数据库4. 配置VTY用户界面5. 启用SSH服务四、SSH安全增强配置1. 配置SSH算法与参数2. 配置访问控制列表ACL3. 修改SSH端口可选增强4. 配置登录安全五、验证与测试配置1. 验证命令2. 保存配置六、客户端连接测试1. Windows客户端PuTTY/Xshell2. Linux/macOS客户端3. SFTP文件传输七、排错指南1. 连接问题排查步骤2. 常见错误与解决方案3. 调试命令八、自动化配置脚本九、维护与监控1. 日常监控命令2. 定期维护任务3. 备份配置十、注意事项华为AR6121-eS路由器SSH远程连接配置详解一、配置前准备与规划1. 网络拓扑与IP规划网络拓扑 PC/管理主机 (192.168.1.100/24) --- GE0/0/0 --- AR6121 (192.168.1.1/24) | Internet 配置目标 - SSH管理接口GE0/0/0IP: 192.168.1.1/24 - SSH端口默认22可改为非标端口增强安全 - 用户名admin建议自定义 - 用户权限Level-15最高权限 - 认证方式密码认证可选密钥认证2. 配置前检查# 查看设备当前状态Huaweidisplay versionHuaweidisplay deviceHuaweidisplay interface briefHuaweidisplay current-configuration# 确认设备型号和VRP版本Huaweidisplay version Huawei Versatile Routing Platform Software VRP(R)software, Version8.x(AR6121-eS)二、基础网络配置1. 进入系统视图与设备命名Huaweisystem-view[Huawei]sysname AR6121-eS[AR6121-eS]2. 配置管理接口以GE0/0/0为例# 配置接口IP地址[AR6121-eS]interface GigabitEthernet0/0/0[AR6121-eS-GigabitEthernet0/0/0]description Management-Interface[AR6121-eS-GigabitEthernet0/0/0]ipaddress192.168.1.1255.255.255.0[AR6121-eS-GigabitEthernet0/0/0]undoshutdown[AR6121-eS-GigabitEthernet0/0/0]quit# 可选配置管理VLAN如需[AR6121-eS]vlan100[AR6121-eS-vlan100]description Management-VLAN[AR6121-eS-vlan100]quit[AR6121-eS]interface Vlanif100[AR6121-eS-Vlanif100]ipaddress192.168.1.124[AR6121-eS-Vlanif100]quit3. 配置路由如需远程跨网段访问# 如果管理主机与路由器直连无需配置路由# 如需跨网段访问配置默认路由[AR6121-eS]iproute-static0.0.0.00.0.0.0192.168.1.254# 或配置到管理网段的路由[AR6121-eS]iproute-static10.1.1.0255.255.255.0192.168.1.254三、SSH服务器配置完整步骤1. 生成SSH密钥对# 1.1 生成RSA密钥对推荐长度3072位[AR6121-eS]rsa local-key-pair create The key name will be: AR6121-eS_Host The range of public key size is(2048,3072,4096). Input the bitsinthe modulus[default3072]:3072Generating keys................................................................................[AR6121-eS]# 1.2 查看生成的密钥对[AR6121-eS]display rsa local-key-pair public Host public keyforrsa:Time of Key pair created:2024-12-2410:30:00 Key name: AR6121-eS_Host Key type: RSA Key length:3072Key code: 3082018A...省略具体密钥内容2. 创建SSH用户# 2.1 创建SSH用户[AR6121-eS]sshuser admin[AR6121-eS]sshuser admin authentication-type password[AR6121-eS]sshuser admin service-type stelnet[AR6121-eS]sshuser adminsftp# 2.2 可选创建密钥认证用户[AR6121-eS]sshuser admin2[AR6121-eS]sshuser admin2 authentication-type rsa[AR6121-eS]sshuser admin2 assign rsa-key admin2_key[AR6121-eS]sshuser admin2 service-type stelnet3. 配置本地用户数据库# 3.1 进入AAA视图[AR6121-eS]aaa# 3.2 创建本地用户使用不可逆加密[AR6121-eS-aaa]local-user admin password irreversible-cipher Huawei2024!Info: Theirreversible-ciphercipher is highly secure, and it is recommended.# 3.3 配置用户权限级别[AR6121-eS-aaa]local-user admin privilege level15[AR6121-eS-aaa]local-user admin service-typesshterminal# 3.4 配置用户参数[AR6121-eS-aaa]local-user admin ftp-directory flash:/[AR6121-eS-aaa]local-user admin state active[AR6121-eS-aaa]quit# 3.5 可选创建多个用户分级权限[AR6121-eS]aaa[AR6121-eS-aaa]local-user operator password irreversible-cipher Operator123[AR6121-eS-aaa]local-user operator privilege level3[AR6121-eS-aaa]local-user operator service-typessh[AR6121-eS-aaa]local-user operator state active[AR6121-eS-aaa]quit4. 配置VTY用户界面# 4.1 进入VTY视图[AR6121-eS]user-interface vty04[AR6121-eS-ui-vty0-4]authentication-mode aaa# 4.2 配置支持的协议只允许SSH[AR6121-eS-ui-vty0-4]protocol inboundssh# 注意禁用telnet只允许SSH连接[AR6121-eS-ui-vty0-4]undo protocol inbound telnet[AR6121-eS-ui-vty0-4]undo protocol inbound all# 4.3 配置会话参数[AR6121-eS-ui-vty0-4]idle-timeout50# 空闲超时5分钟[AR6121-eS-ui-vty0-4]screen-length0# 不分屏显示[AR6121-eS-ui-vty0-4]history-command max-size256[AR6121-eS-ui-vty0-4]quit# 4.4 可选配置额外的VTY线路[AR6121-eS]user-interface vty514[AR6121-eS-ui-vty5-14]authentication-mode aaa[AR6121-eS-ui-vty5-14]protocol inboundssh[AR6121-eS-ui-vty5-14]idle-timeout50[AR6121-eS-ui-vty5-14]quit5. 启用SSH服务# 5.1 启用STelnet服务[AR6121-eS]stelnet serverenableInfo: Succeededinstarting the STelnet server.# 5.2 启用SFTP服务可选用于文件传输[AR6121-eS]sftpserverenableInfo: Succeededinstarting the SFTP server.# 5.3 启用SCP服务可选[AR6121-eS]scpserverenableInfo: Succeededinstarting the SCP server.# 5.4 启用NETCONF over SSH用于自动化[AR6121-eS]netconfsshserverenable四、SSH安全增强配置1. 配置SSH算法与参数# 1.1 配置支持的加密算法只允许强加密[AR6121-eS]sshserver cipher aes256_gcm aes128_gcm aes256_ctr aes192_ctr aes128_ctr[AR6121-eS]sshserver hmac sha2_512 sha2_256[AR6121-eS]sshserver key-exchange dh_group16_sha512 dh_group15_sha512 dh_group14_sha256# 1.2 配置密钥交换参数[AR6121-eS]sshserver dh-group minimum2048[AR6121-eS]sshserver rekeytime60# 60分钟重新协商密钥[AR6121-eS]sshservertimeout120# 连接超时120秒[AR6121-eS]sshserver compatible-ssh1x disable# 禁用不安全的SSH1.x# 1.3 配置SSH版本只允许SSHv2[AR6121-eS]sshserver assign rsa-key default[AR6121-eS]sshserver compatible-ssh1x disable2. 配置访问控制列表ACL# 2.1 创建基本ACL[AR6121-eS]acl2001[AR6121-eS-acl-basic-2001]description SSH-Access-Control[AR6121-eS-acl-basic-2001]rule5permitsource192.168.1.00.0.0.255[AR6121-eS-acl-basic-2001]rule10permitsource10.1.1.00.0.0.255[AR6121-eS-acl-basic-2001]rule100denysourceany[AR6121-eS-acl-basic-2001]quit# 2.2 在VTY应用ACL[AR6121-eS]user-interface vty014[AR6121-eS-ui-vty0-14]acl2001inbound[AR6121-eS-ui-vty0-14]quit3. 修改SSH端口可选增强# 3.1 修改SSH服务端口[AR6121-eS]sshserver port2022Warning: Changing the port will disconnect current SSH sessions. Continue?[Y/N]: y# 3.2 配置ACL允许新端口[AR6121-eS]acl3001[AR6121-eS-acl-adv-3001]rule permit tcpsource192.168.1.00.0.0.255 destination192.168.1.10destination-port eq2022[AR6121-eS-acl-adv-3001]quit# 3.3 在接口应用ACL[AR6121-eS]interface GigabitEthernet0/0/0[AR6121-eS-GigabitEthernet0/0/0]traffic-filter inbound acl3001[AR6121-eS-GigabitEthernet0/0/0]quit4. 配置登录安全# 4.1 配置登录失败锁定[AR6121-eS]aaa[AR6121-eS-aaa]local-aaa-user wrong-password retry-interval300retry-time3lock-time300[AR6121-eS-aaa]quit# 4.2 配置会话数量限制[AR6121-eS]user-interface vty014[AR6121-eS-ui-vty0-14]acl2001inbound[AR6121-eS-ui-vty0-14]session-limit5[AR6121-eS-ui-vty0-14]quit五、验证与测试配置1. 验证命令# 1.1 查看SSH服务器状态[AR6121-eS]displaysshserver status SSH version :2.0 SSH connectiontimeout:120 seconds SSH server key generating interval :0 hours SSH Authentication retries :3timesSSH Authenticationtimeout:60 seconds SFTP server :Enable STelnet server :Enable SCP server :Enable SSH server port :22 ACL number :-# 1.2 查看SSH用户信息[AR6121-eS]displaysshuser User Name Auth-type User-group admin password root admin2 rsa root# 1.3 查看密钥对信息[AR6121-eS]display rsa local-key-pair public[AR6121-eS]display rsa local-key-pair brief# 1.4 查看VTY配置[AR6121-eS]display current-configuration|include user-interface[AR6121-eS]display user-interface vty0# 1.5 查看本地用户[AR6121-eS]display local-user2. 保存配置[AR6121-eS]save The current configuration will be written to the device. Are you sure to continue?(y/n)[n]: y It will take several minutes to save configuration file, please wait......Configurationfilehad been saved successfully Note: Saving configurationfilecan bedoneinthe background.The device will restart automatically tomakethe configuration take effect after the save operation is completedinthe background.# 可选保存为指定文件名[AR6121-eS]save ssh-configuration.cfg六、客户端连接测试1. Windows客户端PuTTY/XshellPuTTY配置主机名或IP地址192.168.1.1 端口22 连接类型SSH Saved SessionsAR6121-eS - 在Connection中设置空闲超时0 - 在Connection SSH中设置Preferred SSH protocol version2Xshell配置名称AR6121-eS 协议SSH 主机192.168.1.1 端口22 用户身份验证 方法Password 用户名admin 密码Huawei2024!2. Linux/macOS客户端# 2.1 基本连接sshadmin192.168.1.1# 2.2 指定端口连接如修改了端口ssh-p2022admin192.168.1.1# 2.3 使用密钥连接ssh-i ~/.ssh/admin2_key admin2192.168.1.1# 2.4 带详细调试信息ssh-v admin192.168.1.1ssh-vvv admin192.168.1.1# 最详细调试3. SFTP文件传输# 3.1 Linux/macOS SFTP连接sftpadmin192.168.1.1# 3.2 常用SFTP命令sftplssftpput local_file.txt sftpget remote_file.txt sftpcdflash: sftppwdsftpquit七、排错指南1. 连接问题排查步骤# 步骤1检查网络连通性Huaweiping192.168.1.1# 步骤2检查SSH服务状态Huaweidisplaysshserver status# 步骤3检查接口状态Huaweidisplayipinterface brief GigabitEthernet0/0/0# 步骤4检查VTY配置Huaweidisplay current-configuration|include vtyHuaweidisplay user-interface vty0# 步骤5检查ACL配置Huaweidisplay acl2001Huaweidisplay acl3001# 步骤6查看日志Huaweidisplay logbufferHuaweiterminal monitorHuaweiterminal debuggingHuaweidebuggingsshserver all2. 常见错误与解决方案错误信息可能原因解决方案Connection refusedSSH服务未启动/端口被防火墙阻止执行stelnet server enable检查防火墙规则Connection timeout网络不通/ACL拒绝检查物理连接和IP配置检查ACL规则No supported authentication methods用户认证配置错误检查ssh user配置检查AAA本地用户配置Permission denied用户名密码错误/用户被锁定重置密码检查用户状态是否为activeSSH protocol version mismatch客户端/服务端版本不匹配配置ssh server compatible-ssh1x disable客户端使用SSHv23. 调试命令# 启用SSH调试[AR6121-eS]debuggingsshserver all[AR6121-eS]terminal monitor[AR6121-eS]terminal debugging# 查看实时日志Huaweidisplay logbufferHuaweidisplay trapbuffer# 捕获数据包诊断工具Huaweitcpdump packet八、自动化配置脚本# 保存以下内容为脚本文件 ssh_config.txtsystem-view sysname AR6121-eS# 配置接口interface GigabitEthernet0/0/0 description Management-Interfaceipaddress192.168.1.1255.255.255.0 undoshutdownquit# 生成密钥rsa local-key-pair createsshserver assign rsa-key default# SSH配置stelnet serverenablesftpserverenablesshserver cipher aes256_gcm aes128_gcm aes256_ctrsshserver hmac sha2_512 sha2_256sshserver rekeytime60sshservertimeout120# 创建用户sshuser adminsshuser admin authentication-type passwordsshuser admin service-type stelnetsftpaaa local-user admin password irreversible-cipher Huawei2024!local-user admin privilege level15local-user admin service-typesshterminal local-user admin state active quit# VTY配置user-interface vty014authentication-mode aaa protocol inboundsshidle-timeout50acl2001inbound quit# ACL配置acl2001rule5permitsource192.168.1.00.0.0.255 rule10permitsource10.1.1.00.0.0.255 rule100denysourceany quit# 保存配置save y# 通过console口导入配置# Huawei tftp 192.168.1.100 get ssh_config.txt# Huawei startup saved-configuration ssh_config.txt九、维护与监控1. 日常监控命令# 查看SSH连接状态Huaweidisplaysshserver sessionHuaweidisplayusers# 查看系统资源Huaweidisplay cpu-usageHuaweidisplay memory-usage# 查看安全日志Huaweidisplay logbuffer level62. 定期维护任务每月更改SSH用户密码每季度更新RSA密钥对定期检查SSH访问日志更新ACL规则以适应网络变化3. 备份配置# 备份当前配置Huaweisave backup-config.cfg# 或通过SFTP备份Huaweisftp192.168.1.100 sftpput flash:/backup-config.cfg十、注意事项首次配置建议通过Console口进行初始配置备份配置配置变更前务必备份当前配置安全建议使用复杂密码大小写字母数字特殊字符长度≥12位定期更换密码和密钥限制可访问的IP地址范围启用日志记录并定期审计版本兼容不同VRP版本命令可能有差异使用前确认版本测试验证生产环境变更前在测试环境验证配置此配置文档已根据华为AR6121-eS型号的最佳实践进行优化适用于大多数企业级部署场景。