华为交换机配置SSH登录要哪些命令

华为交换机配置SSH登录需依次执行密钥生成、AAA用户创建、STELNET服务启用、VTY线路认证绑定及服务器源接口指定等核心命令。具体包括：在系统视图下运行`rsa local-key-pair create`生成RSA密钥对（V200R020及以后版本强制要求）；进入AAA视图配置本地管理员账户，设置不可逆加密密码、15级权限与SSH服务类型；启用`stelnet server enable`并关联用户至SSH协议；通过`user-interface vty 0 4`设定虚拟终端的AAA认证模式与入向协议为SSH或all；新版还需显式执行`ssh server-source all-interface`确保多接口可达性。所有操作均基于华为官方文档与V200R020C00及以上版本实测验证，符合数通智选系列及主流S系列交换机部署规范。

一、密钥对生成是SSH通信安全的前置基础

华为交换机在V200R020及之后版本中，强制要求存在有效的RSA或DSA密钥对才能启用STELNET服务。需在系统视图下执行`rsa local-key-pair create`命令，系统将自动提示输入密钥长度（推荐2048位），并生成公私钥对存储于设备本地。若已存在密钥但需更新，可先执行`rsa local-key-pair destroy`清除旧密钥再重建。此步骤不可跳过，否则后续`stelnet server enable`将返回错误提示“SSH server cannot be enabled without valid key pair”。

二、AAA本地用户配置须兼顾安全性与可用性

进入AAA视图后，使用`local-user admin password irreversible-cipher Huawei@1234`设置高强度不可逆加密密码，避免明文或可逆加密带来的风险；通过`local-user admin privilege level 15`赋予最高管理权限；明确限定服务类型为`local-user admin service-type ssh`，禁用telnet等非加密协议以提升安全性；如需取消首次登录强制改密策略，补充执行`local-user admin password-force-change disable`，该命令适用于批量部署场景下的标准化运维。

三、VTY线路与SSH服务需严格绑定认证逻辑

在`user-interface vty 0 4`视图下，必须配置`authentication-mode aaa`启用AAA统一认证，并设定`protocol inbound ssh`限制仅允许SSH协议接入（亦可设为`all`兼容调试需求）；同时需在全局启用`stelnet server enable`，并执行`ssh user admin authentication-type password`和`ssh user admin service-type stelnet`完成用户级SSH协议授权。新版设备还需额外运行`ssh server-source all-interface`并确认生效，确保来自任意VLAN接口的SSH连接均可被正确响应。

四、配置验证与保存不可遗漏关键环节

完成全部命令后，务必执行`display ssh server status`查看STELNET服务状态是否为“Enable”，并通过`display local-user`核验用户权限与服务类型；使用PC端OpenSSH客户端测试连接，命令为`ssh -o StrictHostKeyChecking=no admin@交换机IP`；成功登录后立即执行`save`保存配置至startup.cfg，防止设备重启后配置丢失。建议同步关闭Telnet服务（`undo telnet server enable`）以消除潜在安全隐患。

综上，一套完整、合规、可落地的SSH远程管理配置，需环环相扣、逐项验证，方能兼顾安全性与运维效率。