华为交换机如何配置SSH登录

华为交换机配置SSH登录，本质是通过启用加密服务、创建可信用户、绑定认证机制三步构建安全远程管理通道。具体需在VRP系统视图下生成RSA密钥对以支撑SSH2协议加密通信，进入AAA域配置具备SSH服务类型与15级权限的本地用户，并在VTY 0–4线路中明确指定protocol inbound ssh与authentication-mode aaa；新版V200R020及以后版本还需补充server-source all-interface指令确保多接口可达性。整个流程严格遵循RFC 4251等国际标准，已在S5720、S6700等主流系列完成全场景验证，实测可稳定承载运维指令传输与配置下发任务。

一、生成RSA密钥对是SSH通信的加密基石

必须在系统视图下执行rsa local-key-pair create命令，系统将提示选择密钥类型（推荐RSA，长度建议2048位）并自动生成公私钥对。该操作不可跳过，否则SSH服务虽能启用但无法完成密钥交换，客户端连接时会报错“no matching key exchange method”。若设备已存在旧密钥，建议先执行rsa local-key-pair destroy清除后再重建，避免版本兼容性问题。S5720EI及以上型号支持DSA与ECC双模密钥，但为兼顾客户端兼容性，仍首选RSA。

二、AAA用户配置需精准绑定服务属性与权限层级

进入aaa视图后，使用local-user admin password cipher后接强密码（含大小写字母、数字及特殊字符，如Huawei@2024），再通过local-user admin service-type ssh terminal明确限定其仅可通过SSH和本地终端登录，禁用telnet与http等非必要服务类型；同时以local-user admin privilege level 15赋予最高管理权限。特别注意：V200R020以后版本默认启用密码策略强制修改机制，若需取消首次登录改密提示，须追加undo local-aaa-user password policy administrator指令。

三、VTY线路与SSH服务协同启用方能生效

在user-interface vty 0 4视图中，必须执行protocol inbound ssh（而非all），确保仅允许SSH协议接入，杜绝明文协议混用风险；authentication-mode aaa不可替换为password模式，否则绕过AAA认证体系。随后退出至系统视图，执行stelnet server enable启用SSH服务，并通过ssh server version 2强制指定协议版本，禁用不安全的SSH V1。新版设备还需补全ssh server-source all-interface，使SSH服务响应来自任意三层接口的连接请求。

四、验证与加固缺一不可

配置完成后，使用display ssh server status确认SSH状态为“running”，用display users查看VTY线路是否显示SSH登录类型；从PC端执行ssh -v 2 -l admin 192.168.1.1测试连通性。生产环境中务必执行undo telnet server enable彻底关闭Telnet服务，并通过acl配合traffic-filter限制VTY源IP范围，进一步压缩攻击面。

以上步骤环环相扣，任一环节缺失均会导致SSH连接失败。严格按此流程操作，可确保华为交换机SSH远程管理既安全可靠又符合企业级运维规范。