适用设备:新华三(H3C)5800 系列交换机
适用系统:Comware V7
目的:配置本地 SSH 账户,实现安全的远程登录管理
一、应用场景说明
通过本教程配置后,可以实现:
使用 SSH 协议 远程登录 H3C 5800 设备
使用 本地账户认证(AAA) 进行登录控制
禁用 Telnet,仅保留 SSH,提升设备安全性
(可选)限制 SSH 登录源 IP
二、配置前准备
在开始配置前,请确认以下信息:
设备型号:H3C 5800
系统版本:Comware V7
管理 IP:
XX.XX.XX.XXSSH 登录用户名:
admin(示例)登录密码:自行规划(建议使用强密码)
三、SSH 配置步骤
1️⃣ 创建本地 SSH 管理用户
local-user admin
password irreversible-cipher XXXXXXXX
service-type ssh
authorization-attribute user-role network-admin
说明:
admin:本地登录用户名irreversible-cipher:不可逆加密方式存储密码(生产环境推荐)service-type ssh:仅允许 SSH 登录network-admin:设备最高管理权限
2️⃣ 生成本地 SSH 密钥(RSA)
public-key local create rsa
说明:
SSH Server 必须依赖本地密钥
首次配置 SSH 时必须执行
3️⃣ 启用 SSH Server 功能
ssh server enable
说明:
启用设备 SSH 服务
默认监听 TCP 22 端口
4️⃣ 配置 VTY 线路仅允许 SSH 登录
line vty 0 4
authentication-mode scheme
protocol inbound ssh
user-role network-admin
说明:
使用本地 AAA 账户进行认证
禁止 Telnet,仅允许 SSH 协议接入
提高远程管理安全性
四、(可选)限制 SSH 登录源 IP
建议在生产环境或核心设备上启用
1️⃣ 创建访问控制列表(ACL)
acl number 2000
rule permit source XX.XX.XX.XX 0
quit
说明:
XX.XX.XX.XX为允许登录的管理主机 IP
2️⃣ 在 VTY 线路上应用 ACL
line vty 0 4
acl 2000 inbound
作用:
仅允许 ACL 中匹配的 IP 地址进行 SSH 登录
五、SSH 登录验证
在运维主机(Windows / Linux)上执行:
ssh admin@XX.XX.XX.XX
验证点:
能正常输入用户名和密码
登录后权限为
network-admin
六、完整 SSH 示例配置(脱敏)
local-user admin
password irreversible-cipher XXXXXXXX
service-type ssh
authorization-attribute user-role network-admin
public-key local create rsa
ssh server enable
line vty 0 4
authentication-mode scheme
protocol inbound ssh
user-role network-admin
acl number 2000
rule permit source XX.XX.XX.XX 0
line vty 0 4
acl 2000 inbound
七、注意事项
建议删除或禁用 Telnet 相关配置
SSH 端口如需修改,可单独调整(默认 22)
管理口建议放在管理 VLAN 或独立 VRF 中
生产环境务必使用强密码策略
📘 本文档可直接用于运维交付、等保整改或内部培训
评论区