好消息，超酷的在线虚拟网络实验室上线了！点击开始实验

 

7.1.3  设备作为客户端publickey认证配置举例

 

组网需求

路由器Router A作为客户端，路由器Router B作为服务器端，设备之间通过千兆以太网相连。

图1  publickey认证方式组网图

配置思路

l           在客户端生成密钥对，并将公钥通过FTP上传到设备

l           在服务器端生成RSA及DSA密钥对，并启动SSH服务器

l           配置允许SSH登录

l           将客户端公钥导入

l           配置用户使用publickey认证并邦定导入的公钥

 

配置步骤

设备RouterB的配置

1、配置步骤

# 生成RSA及DSA密钥对，并启动SSH服务器。

<RouterB> system-view

[RouterB] public-key local create rsa

[RouterB] public-key local create dsa

[RouterB] ssh server enable

 

# 配置接口GigabitEthernet3/1/1的IP地址，客户端将通过该地址连接SSH服务器。

[RouterB] interface GigabitEthernet3/1/1

[RouterB-GigabitEthernet3/1/1] ip address 10.165.87.136 255.255.255.0

[RouterB-GigabitEthernet3/1/1] quit

 

# 设置SSH客户端登录用户界面的认证方式为AAA认证。

[RouterB] user-interface vty 0 4

[RouterB-ui-vty0-4] authentication-mode scheme

 

# 设置上远程用户登录协议为SSH。

[RouterB-ui-vty0-4] protocol inbound ssh

 

# 设置用户能访问的命令级别为3。

[RouterB-ui-vty0-4] user privilege level 3

[RouterB-ui-vty0-4] quit

 

 

&  说明：

这时需要先在SSH客户端生成DSA密钥对，将生成的DSA公钥保存到指定文件中，并将此公钥文件通过FTP/TFTP方式上传到服务器端，文件名为key.pub。相关配置请参见客户端的配置。

 

 

# 从文件key.pub中导入远端的公钥。

[RouterB] public-key peer Router001 import sshkey key.pub

 

# 设置SSH用户client002的认证方式为publickey，并指定公钥为Router001。

[RouterB] ssh user client002 service-type stelnet authentication-type publickey assign publickey Router001

 

2、配置文件

#

 public-key peer Router001

  public-key-code begin

   30819D300D06092A864886F70D010101050003818B003081870281810098BCB14DDF081C92

   67D489C15967AB4A1605884833979F735E77C59AAB11343EB7614FF2AD74BACA3A20C2411F

   2099E0E12BCF6E38C8C15E717C5FCF6287DBA41743DD904500A58D20C3D3D200746FB3D427

   448259222450C572827D373A8F2D6DFA8BC14DDD7C32E88876B67DD610EBAFBBEA8F61ADF5

   D6A73BE0E07A6CCBC7020125

  public-key-code end

 peer-public-key end

#        

interface GigabitEthernet3/1/1

 port link-mode route

 ip address 10.165.87.136 255.255.255.0

#

ssh server enable

 ssh user client002 service-type stelnet authentication-type publickey assign pu

blickey Router001

#

user-interface vty 0 4

 authentication-mode scheme

 protocol inbound ssh

#       

 

 

设备RouterA的配置

1、配置步骤

# 配置接口GE3/1/1的IP地址。

<RouterA> system-view

[RouterA] interface GE3/1/1

[RouterA-GE3/1/1] ip address 10.165.87.137 255.255.255.0

[RouterA-GE3/1/1] quit

 

# 生成DSA密钥对。

[RouterA] public-key local create dsa

 

# 将生成的DSA主机公钥导出到指定文件key.pub中。

[RouterA] public-key local export dsa ssh2 key.pub

[RouterA] quit

 

 

# 建立到服务器10.165.87.136的SSH连接。

<RouterA> ssh2 10.165.87.136

Username: client002

Trying 10.165.87.136 ...

Press CTRL+K to abort

Connected to 10.165.87.136 ...

 

The Server is not authenticated. Continue? [Y/N]:y

Do you want to save the server public key? [Y/N]:n

 

******************************************************************************

* All rights reserved (2004-2006)                                            *

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<RouterB>

 

 

2、配置文件

#

interface GigabitEthernet3/1/1

 port link-mode route

 ip address 10.165.87.137 255.255.255.0

#

 

 

验证结果

可通过以下方式验证上述配置：

 

通过display users查看用户登录成功

The user application information of the user interface(s):

  Idx UI      Delay    Type Userlevel

+ 0   CON 0   00:00:00      3

  2   VTY 0   00:00:13 SSH  3

 

Following are more details.

VTY 0   :

        User name: client002

        Location: 10.165.87.137

 +    : Current operation user.

 F    : Current operation user work in async mode.