H3C S5130 交换机 SSH 远程开局配置指南

一、概述本文档适用于 H3C S5130 系列交换机通过 SSH 远程完成开局配置。需先通过 Console 口完成基础网络配置IP 地址、路由再使用 SSH 远程管理。二、准备工作项目说明Console 配置线RJ-45 转 DB9 或 USB 转串口终端软件PuTTY、Xshell、SecureCRT、macOS 终端等串口参数波特率 9600 / 数据位 8 / 停止位 1 / 无校验 / 无流控电脑 IP与交换机管理 IP 同网段三、第一阶段Console 口基础配置让 SSH 可达3.1 Console 登录Console 线连接电脑与交换机 Console 口打开终端软件设置串口参数9600-8-1-无-无交换机上电按 Enter 进入命令行3.2 基础网络配置H3C system-view [H3C] sysname Switch-01 ​ # 配置管理 IPVLAN 1 [H3C] interface Vlan-interface 1 [H3C-Vlan-interface1] ip address 192.168.1.100 255.255.255.0 [H3C-Vlan-interface1] quit ​ # 配置默认路由根据实际网关调整 [H3C] ip route-static 0.0.0.0 0.0.0.0 192.168.1.13.3 开启 SSH 服务[H3C] ssh server enable ​ # 生成 RSA 密钥如未自动生成 [H3C] public-key local create rsa3.4 创建/配置 SSH 用户[H3C] local-user admin class manage [H3C-luser-manage-admin] password cipher YourPassword123 [H3C-luser-manage-admin] service-type ssh [H3C-luser-manage-admin] authorization-attribute user-role network-admin [H3C-luser-manage-admin] quit3.5 配置 VTY 线路[H3C] user-interface vty 0 4 [H3C-ui-vty0-4] authentication-mode scheme # 本地用户认证 [H3C-ui-vty0-4] protocol inbound ssh # 仅允许 SSH [H3C-ui-vty0-4] quit3.6 保存配置[H3C] save force四、第二阶段SSH 远程登录4.1 客户端连接macOS / Linux 终端ssh admin192.168.1.100WindowsPuTTY / XshellHost: 192.168.1.100 Port: 22 连接类型: SSH 用户名: admin首次连接会提示保存主机指纹输入yes即可。4.2 登录后界面Switch-01 # 用户视图 Switch-01 system-view [Switch-01] # 系统视图[]五、第三阶段SSH 远程开局配置5.1 修改设备名称[Switch-01] sysname Core-Switch5.2 VLAN 划分# 创建 VLAN [Core-Switch] vlan 10 [Core-Switch-vlan10] name Office [Core-Switch-vlan10] quit [Core-Switch] vlan 20 [Core-Switch-vlan20] name Server [Core-Switch-vlan20] quit [Core-Switch] vlan 30 [Core-Switch-vlan30] name Guest [Core-Switch-vlan30] quit5.3 Access 端口配置连接终端设备[Core-Switch] interface GigabitEthernet1/0/1 [Core-Switch-GigabitEthernet1/0/1] port link-type access [Core-Switch-GigabitEthernet1/0/1] port access vlan 10 [Core-Switch-GigabitEthernet1/0/1] stp edged-port enable # 边缘端口快速转发 [Core-Switch-GigabitEthernet1/0/1] quit5.4 Trunk 端口配置级联/上联[Core-Switch] interface GigabitEthernet1/0/24 [Core-Switch-GigabitEthernet1/0/24] port link-type trunk [Core-Switch-GigabitEthernet1/0/24] port trunk permit vlan all [Core-Switch-GigabitEthernet1/0/24] quit5.5 生成树协议防环[Core-Switch] stp global enable [Core-Switch] stp mode rstp # 推荐 RSTP收敛更快5.6 保存配置[Core-Switch] save force六、密码认证详解6.1 密码格式对比命令说明安全性password simple 密码明文存储display current-config可见低password cipher 密码密文存储配置显示为加密字符串中password hash 哈希值直接设置哈希高推荐使用 cipher[H3C-luser-manage-admin] password cipher MySecret20246.2 VTY 认证模式模式命令说明scheme推荐authentication-mode scheme使用本地用户认证需配用户名密码passwordauthentication-mode password仅密码认证无用户名noneauthentication-mode none无认证不推荐6.3 已有用户添加/修改密码如果交换机已有用户只需修改密码[H3C] local-user 已有用户名 class manage [H3C-luser-manage-已有用户名] password cipher 新密码 [H3C-luser-manage-已有用户名] service-type ssh [H3C-luser-manage-已有用户名] authorization-attribute user-role network-admin [H3C-luser-manage-已有用户名] quit # 确保 VTY 认证方式正确 [H3C] user-interface vty 0 4 [H3C-ui-vty0-4] authentication-mode scheme [H3C-ui-vty0-4] protocol inbound ssh [H3C-ui-vty0-4] quit [H3C] save七、SSH 安全加固# 1. SSH 超时时间秒 [H3C] ssh server authentication-timeout 30 # 2. SSH 最大重试次数 [H3C] ssh server authentication-retries 3 # 3. 限制 SSH 来源 IPACL [H3C] acl basic 2000 [H3C-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [H3C-acl-ipv4-basic-2000] quit [H3C] user-interface vty 0 4 [H3C-ui-vty0-4] acl 2000 inbound [H3C-ui-vty0-4] quit # 4. 关闭 Telnet仅保留 SSH [H3C] undo telnet server enable # 5. 限制 VTY 空闲超时 [H3C] user-interface vty 0 4 [H3C-ui-vty0-4] idle-timeout 5 # 5分钟无操作自动断开 [H3C-ui-vty0-4] quit八、常用验证命令# 查看 SSH 服务状态 display ssh server status # 查看当前在线用户 display users # 查看本地用户列表及权限 display local-user # 查看 VTY 线路配置 display user-interface vty 0 # 查看当前运行配置 display current-configuration # 查看 VLAN 信息 display vlan brief # 查看端口状态 display interface brief # 查看生成树状态 display stp brief # 查看路由表 display ip routing-table # 查看保存的配置 display saved-configuration九、常见问题排查故障现象可能原因解决方法SSH 连接被拒绝SSH 服务未开启ssh server enable认证失败用户名/密码错误display local-user检查权限被拒绝VTY 未配 scheme 认证authentication-mode schemeConnection refusedprotocol inbound非 sshprotocol inbound ssh无支持的认证方式service-type不含 sshservice-type ssh密码不过密码强度不够包含字母数字特殊字符网络不通IP 或路由配置错误ping测试连通性十、配置清单速查表序号配置项目关键命令1设备命名sysname 名称2管理 IPinterface Vlan-interface 1→ip address3默认路由ip route-static 0.0.0.0 0.0.0.0 网关4开启 SSHssh server enable5创建用户local-user 用户名 class manage6设置密码password cipher 密码7授权角色authorization-attribute user-role network-admin8服务类型service-type ssh9VTY 认证authentication-mode scheme10VTY 协议protocol inbound ssh11VLAN 创建vlan ID→name 名称12Access 口port link-type access→port access vlan ID13Trunk 口port link-type trunk→port trunk permit vlan all14生成树stp global enable15保存配置save force核心三要素VTYauthentication-mode scheme 用户service-type sshpassword密码缺一不可 文档版本v1.0 | 适用设备H3C S5130 系列Comware V7