华三交换机SSH远程登录配置实战：从基础到高级认证

1. 华三交换机SSH配置基础篇

第一次接触华三交换机的SSH配置时，我踩过不少坑。记得有次凌晨两点还在机房折腾，就因为漏了一个简单的命令导致整个配置失败。现在把这些经验总结出来，帮你避开我走过的弯路。

1.1 管理地址配置

先给交换机配个管理地址，这是远程连接的基础。我习惯用VLAN 1作为管理VLAN，当然你也可以用其他VLAN。具体操作：

<H3C>system-view [H3C]interface Vlan-interface 1 [H3C-Vlan-interface1]ip address 192.168.1.1 255.255.255.0

配置完记得用display ip interface brief检查下：

[H3C-Vlan-interface1]display ip interface brief *down: administratively down Interface IP Address/Mask Physical Protocol Vlan1 192.168.1.1/24 up up

注意：如果物理端口没起来，检查下端口是否被shutdown了。我有次就因为这个傻傻排查了半小时。

1.2 创建管理用户

接下来创建登录用户，这里有个细节要注意：class manage参数不能少，否则用户创建不成功：

[H3C]local-user admin class manage [H3C-luser-manage-admin]password simple Admin@123 [H3C-luser-manage-admin]service-type ssh [H3C-luser-manage-admin]authorization-attribute user-role level-15

密码复杂度建议至少包含大小写字母和数字。有次我图省事用了全数字密码，结果被安全扫描扫出漏洞，被运维主管一顿批。

1.3 开启SSH服务

关键步骤来了，开启SSH服务并配置认证方式：

[H3C]ssh server enable [H3C]user-interface vty 0 4 [H3C-line-vty0-4]authentication-mode scheme [H3C-line-vty0-4]protocol inbound ssh

这里有个坑：vty线路数量要根据实际需求设置。有次我只开了0-4，结果第五个运维同事连不上，被投诉惨了。

2. 密码认证实战测试

2.1 Windows连接测试

在电脑上用PowerShell测试（Win10及以上版本自带）：

ssh admin@192.168.1.1

第一次连接会提示密钥验证：

The authenticity of host '192.168.1.1' can't be established. RSA key fingerprint is SHA256:xxxxxxxx Are you sure you want to continue (yes/no)?

输入yes后，输入密码就能登录了。如果遇到连接超时，八成是防火墙拦了，记得放行22端口。

2.2 常见问题排查

问题1：连接被拒绝

• 检查ssh server enable是否执行
• 确认protocol inbound ssh已配置

问题2：密码错误但确定密码正确

• 检查用户service-type是否包含ssh
• 确认用户角色权限足够（level-15）

有次我遇到个诡异情况：密码明明正确却登录失败。最后发现是键盘大写锁定开了，尴尬...

3. 高级密钥认证配置

密码认证虽然简单，但安全性不够。生产环境我强烈推荐用密钥认证，彻底告别暴力破解风险。

3.1 生成密钥对

先在客户端生成密钥（以Windows为例）：

1. 打开PowerShell
2. 执行：ssh-keygen -t rsa
3. 默认保存在C:\Users\你的用户名\.ssh\id_rsa.pub

3.2 上传公钥到交换机

[H3C]public-key peer admin import sshkey id_rsa.pub

这里有个小技巧：可以用TFTP/FTP上传文件。我有次直接粘贴公钥内容，结果格式错误，建议还是用文件导入靠谱。

3.3 绑定密钥对用户

[H3C]ssh user admin authentication-type publickey assign publickey admin

3.4 密钥登录测试

ssh -i C:\Users\你的用户名\.ssh\id_rsa admin@192.168.1.1

如果提示"Permission denied"，检查：

1. 公钥是否完整上传
2. 用户名和密钥是否绑定正确

4. 安全加固与高级配置

4.1 限制登录IP

增加安全防护：

[H3C]acl number 2000 [H3C-acl-basic-2000]rule permit source 192.168.1.100 0 [H3C-line-vty0-4]acl 2000 inbound

4.2 修改SSH端口

默认22端口容易被扫描：

[H3C]ssh server port 2222

记得防火墙也要同步修改哦！

4.3 会话超时设置

防止忘记退出：

[H3C-line-vty0-4]idle-timeout 10 0

5. 配置保存与维护

5.1 保存配置

血的教训：一定要保存！

<H3C>save

有次我配完忘保存，交换机重启后配置全丢，只能半夜跑机房重配...

5.2 配置备份

建议定期备份：

<H3C>display current-configuration > config.txt

可以用TFTP传到服务器，我设置了个每周自动备份的定时任务，省心不少。

5.3 日志监控

查看SSH登录记录：

<H3C>display ssh server session

这对排查未授权访问特别有用。