华为交换机SSH配置怎么开启？

华为交换机开启SSH服务需依次完成密钥生成、用户认证配置、VTY接口协议绑定及STelnet服务启用等核心步骤，方可实现安全可靠的远程管理。具体而言，必须先通过`rsa local-key-pair create`命令生成不低于1024位的RSA密钥对，再在AAA域中创建具备SSH服务权限与高权限等级的本地用户，并严格将VTY 0–4界面的认证模式设为AAA、入站协议限定为SSH；最后执行`stelnet server enable`激活服务。整个流程已在华为S系列交换机多版本（如V200R022）中经官方文档验证，符合RFC 4251/4252安全规范，支持SSH v2协议优先协商，兼顾兼容性与加密强度。

一、生成高强度RSA密钥对

执行`rsa local-key-pair create`命令后，系统将提示输入密钥长度，默认512位不满足安全基线要求，必须手动输入1024或2048位；推荐选择2048位以兼顾性能与安全性。键入数值后需等待数秒至数十秒（取决于设备CPU负载），期间屏幕会显示“+”符号组成的进度条，直至提示“keys generated successfully”。该密钥对用于SSH服务端身份认证，是防止中间人攻击的关键基础，不可跳过或使用默认弱密钥。

二、构建AAA认证体系与SSH用户绑定

进入AAA视图后，使用`local-user`命令创建用户名（如admin），密码须采用`cipher`方式加密存储，禁止使用`simple`明文方式；同时指定`service-type ssh`并赋予`privilege level 15`最高管理权限。随后在全局配置下执行`ssh user admin authentication-type password`明确认证方式，并补充`ssh user admin service-type stelnet`确保允许交互式远程登录，否则客户端连接成功后将因无shell权限而立即断开。

三、VTY接口精细化协议控制

在`user-interface vty 0 4`视图中，必须双重要求：一是`authentication-mode aaa`启用集中认证，二是`protocol inbound ssh`禁用Telnet等不安全协议。若遗漏后者，即便SSH服务已启用，VTY仍可能响应Telnet请求，造成安全隐患。部分型号还需通过`idle-timeout`设置超时时间（建议10分钟），避免会话长期驻留。

四、激活服务并验证连通性

执行`stelnet server enable`后，可通过`display stelnet server status`确认状态为“running”，再用PC端Xshell或PuTTY以用户名、密码及交换机管理IP（如192.168.1.1）发起SSH连接。首次连接时需接受服务器公钥指纹，成功登录即表明配置完整生效。

以上步骤环环相扣，任一环节缺失均会导致SSH连接失败或认证绕过，务必按序操作并逐项核查。