原理概述

由于Telnet缺少安全的认证方式，而且传输过程采用TCP进行明文传输，存在很大的安全隐患，单纯提供Telnet服务容易招致主机IP地址欺骗、路由欺骗等恶意攻击。传统的Telnet和FTP等通过明文传送密码和数据的方式，已经慢慢不被接受。

STelnet是Secure Telnet的简称。在一个传统不安全的网络环境中，服务器通过对用户端的认证及双向的数据加密，为网络终端访问提供安全的Telnet服务。

SSH（Secure Shell）是一个网络安全协议，通过对网络数据加密，使其能够在一个不安全的网络环境中，提供安全的远程登陆和其他安全的网络服务。SSH特性可以提供安全的信息保障和强大的认证功能，以保护路由器不受诸如IP地址欺诈、明文密码截取等攻击。SSH数据加密传输，认证机制更加安全，而且可以替代Telnet，已经被广泛使用，成为了当前重要的网络协议之一。

SSH基于TCP协议22端口传输数据，支持Password认证。用户端向服务器发出Password认证请求，将用户名和密码加密后发送给服务器；服务器将该信息解密后得到用户名和密码的明文，与设备上保存的用户名和密码进行比较，并返回认证成功或失败的消息。

SFTP是SSH File Transfer Protocol的简称，在一个传统不安全的网络环境中，服务器通过对用户端的认证及双向的数据加密，为网络文件传输提供了安全的服务。

实验步骤

由于eNSP模拟软件自带PC没有SSH用户端，本实验采用两台路由器模拟实验，路由器R1作为SSH的Client，路由器R2作为SSH的Server。

在 R2 上使用 rsa local-key-pair create 命令来生成本地RSA主机密钥对。

配置完成后，使用 display rsa local-ley-pair pibilc 命令查看本地密钥对公钥的部分信息。

在 R2 上配置 VTY（虚拟终端连接） 用户界面，设置用户验证的方式为 AAA 授权验证方式。

                user-interface vty 0 4

                authentication(身份验证)-mode aaa

                指定 VTY 类型用户界面只支持 SSH 协议，设备将自动禁止 Telnet 功能。

                protocol inbound ssh

使用 locoal-user 命令创建本地用户和用户口令，并以密文方式显示用户口令，指定用户名为huawei1，密码为huawei1。

                aaa

                local-user huawei1 password cipher huawei1

                配置本地用户的接入类型为 SSH。

                local-user huawei1 service-type ssh

使用 ssh user 命令创建 SSH 用户，用户名为 huawei1，指定 SSH 用户的认证方式为 Password，即密码验证方式。

                ssh user huawei1 authentication-type password

                此处还可以继续使用 local-user huawei1 privilege level （进不了系统视图输入此命                   令分配管理级为3）命 令配置本地用户优先级。其取值范围为 0~15，其取值越大，代表                 用户的优先级越高。不同级别的用户的用户 登录后，只能使用等于或低于自身级别的命                  令，默认值为3，代表管理级。

默认情况下，设备的 SSH 服务器功能为关闭状态，只有开启了此功能后，用户端才能以 SSH 方式与设备建立连接。在R2上开启设备的 SSH 功能。

                stelnet server enable

                配置完成后，使用 display ssh user-information huawei1 命令在 SSH 服务器查看端                  查看 SSH 用户的配置 信息。如果不在命令末尾指定 SSH 用户，则可以查看 SSH 服务                  器端所有的 SSH 用户配置信息。

                可以观察到所有配置的 SSH 用户名及认证方式。

                运行 display ssh server status 命令，可以查看 SSH 服务器全局配置信息。

                可以观察到，此时 R2 上 STelnet Sever 服务器状态为启用状态。

当 SSH 用户端第一次登录 SSH 服务器时，用户端还没有保存 SSH 服务器的 RSA 公钥，会对服务器的 RSA 有效性公钥检查失败，从而导致登录服务器失败。因此当用户端 R1 首次登陆时，需要开启 SSH 用户端首次认证功能，不对 SSH 服务器的 RSA 公钥进行有效性检查。

                ssh client first-time enable

在 SSH 用户端 R1 上使用 stelnet 命令连接 SSH 服务器。

                stelnet 10.1.1.2

                第一次登陆时，由于开启了 SSH 用户端首次认证功能，在 STelnet 用户端第一次登                        录  SSH 服务器时，将不对 SSH 服务器的 RSA 公钥进行有效性检查。登陆后，系统将                  自动分配并保存 RSA 公钥，为下次登陆时认证。

                登录成功后输入用户名 huawei1，密码 huawei1。

                输入密码后远程登录 R2 成功，使用 display ssh server session 命令查看 SSH 服务                   器端的当前会话连接信 息。

                可以观察到，用户 huawei1 已经通过 VTY 线路 0 远程登陆上来，用户端已近成功连接                  到 SSH 服务器，可以 进行各种配置。

在 R2 上进入 AAA 视图，创建一个名称为 huawei2 的用户，并配置密码为 huawei2，以密文方式显示。

                aaa

                local-user huawei2 password cipher huawei2

                配置本地接入型为 SSH 。

                local-user huawei2 service-type ssh

                配置用户的优先级，不同级别的用户登录后，只能使用等于或低于自身级别的命令。

                local-user huawei2 privilege level 3

                指定 FTP 用户的可访问目录。默认为空，如果不配置，FTP 用户将无法登录。

                local-user huawei2 ftp-directory flash:

使用 ssh user 命令新建 SSH 用户，用户名为 huawei2 ，指定 SSH 用户的认证方式为 Password，即密码验证方式

                ssh user huawei2 authencation-type password

                使用 sftp server enable 命令开启 SFTP 服务器功能。

                sftp server enable

                配置完成后，查看 SSH 服务器配置信息。

                display ssh server status

                可以观察到，此时 SFTP 服务已经开启。

                在 R1 上使用 sftp 命令连接 SSH 服务器，并输入用户名和密码，即可成功登入。