一、实验环境与目标
本实验模拟企业网络基础环境,使用单台路由器与终端PC构建最小拓扑。实验目标分为两部分:
- Console口安全加固:将默认无认证的Console登录升级为AAA本地认证模式
- SSH远程管理:配置SSH服务并创建专用管理账户,实现PC通过SSH协议远程登录路由器
二、实验拓扑设计
采用典型直连拓扑结构:
- 设备组成:1台企业级路由器(型号参考行业常见设备) + 1台管理终端PC
- 物理连接:使用网线直连路由器GigabitEthernet0/0/0接口与PC网卡
- 网络规划:
- 路由器接口IP:192.168.1.1/24
- PC终端IP:192.168.1.2/24
- 网关配置:PC默认网关指向192.168.1.1
三、Console口认证配置
3.1 初始登录验证
在未配置认证前,可通过以下方式直接访问设备:
- 启动模拟器并加载设备
- 右键设备选择”CLI”进入控制台
- 观察提示符显示
<Device>表示进入用户视图
3.2 AAA认证实施步骤
# 进入系统配置视图<Device> system-view[Device]# 配置Console接口认证模式[Device] user-interface console 0[Device-ui-console0] authentication-mode aaa # 启用AAA认证[Device-ui-console0] quit# 创建本地认证用户[Device] aaa[Device-aaa] local-user admin password cipher Admin@123 # 加密存储密码[Device-aaa] local-user admin privilege level 3 # 设置权限等级[Device-aaa] local-user admin service-type terminal # 允许Console登录[Device-aaa] quit
关键参数说明:
privilege level:3级权限对应系统管理员权限(1-15可调)service-type:必须包含terminal类型才能支持Console登录cipher:密码加密存储方式(明文存储使用simple)
四、SSH服务部署
4.1 网络层配置
# 配置管理接口IP[Device] interface GigabitEthernet0/0/0[Device-GigabitEthernet0/0/0] ip address 192.168.1.1 24[Device-GigabitEthernet0/0/0] undo shutdown[Device-GigabitEthernet0/0/0] quit
4.2 SSH服务配置
# 生成RSA密钥对(必需步骤)[Device] rsa local-key-pair createKey pair will be generated following length of "2048"....(生成过程提示)...# 启用SSH服务[Device] stelnet server enable # 开启STelnet服务[Device] ssh user admin # 创建SSH专用用户(可复用AAA用户)[Device] ssh user admin authentication-type password # 密码认证[Device] ssh user admin service-type stelnet # 允许SSH登录# 全局SSH参数配置[Device] user-interface vty 0 4[Device-ui-vty0-4] authentication-mode aaa # VTY线路使用AAA认证[Device-ui-vty0-4] protocol inbound ssh # 仅允许SSH协议[Device-ui-vty0-4] quit
配置要点:
- 密钥长度建议2048位以上保证安全性
- VTY线路0-4对应5个并发SSH会话通道
- 生产环境建议禁用Telnet服务(
undo telnet server enable)
五、PC端测试验证
5.1 网络连通性测试
在PC命令行执行:
ping 192.168.1.1
验证基础网络互通性,确保SSH连接前提条件满足。
5.2 SSH登录测试
使用常见SSH客户端(如PuTTY、SecureCRT)配置:
- 主机地址:192.168.1.1
- 端口:22(默认)
- 认证方式:密码认证
- 用户名:admin
- 密码:Admin@123
预期结果:
- 首次连接接受主机密钥
- 成功进入用户视图
<Device> - 执行
display version等命令验证权限
六、配置优化建议
-
安全加固:
- 修改默认SSH端口(需同步修改客户端配置)
- 配置访问控制列表限制SSH源IP
- 启用SSHv2协议(默认兼容v1/v2)
-
管理优化:
# 配置SSH超时时间[Device] user-interface vty 0 4[Device-ui-vty0-4] idle-timeout 15 0 # 15分钟无操作断开[Device-ui-vty0-4] quit# 配置日志记录[Device] info-center enable[Device] info-center loghost 192.168.1.100 # 发送日志到日志服务器
-
高可用性:
- 配置双机热备场景下的SSH管理方案
- 使用VRRP虚拟IP作为管理地址
七、故障排查指南
| 现象 | 可能原因 | 解决方案 |
|---|---|---|
| SSH连接超时 | 防火墙拦截/服务未启动 | 检查display ssh server status确认服务状态 |
| 认证失败 | 用户名错误/密码错误 | 验证AAA本地用户配置display aaa local-user |
| 协议不支持 | 客户端使用Telnet | 确认使用SSH客户端并配置正确端口 |
| 权限不足 | 用户权限等级低 | 调整privilege level参数(建议3级以上) |
八、实验总结
本实验完整演示了从基础网络搭建到安全认证配置的全流程,重点掌握:
- AAA认证体系在企业网络设备中的应用
- SSH协议替代Telnet的必要性及配置方法
- 网络设备基础安全配置的最佳实践
建议后续拓展学习:
- 802.1X端口认证技术
- Radius/Tacacs+集中认证方案
- 基于证书的SSH无密码认证
- 网络设备自动化运维接口(NETCONF/RESTCONF)
通过系统化的安全配置,可显著提升网络设备管理安全性,符合等保2.0对设备访问控制的要求。实际生产环境中,建议结合日志审计系统实现操作行为追溯,构建完整的网络设备安全管理体系。