华为AR6121-eS路由器SSH远程连接配置详解【20251224】002篇

华为路由器AR6121-ES配置SSH（STelnet）完整指南

AR6121-ES基于华为VRP 8.x操作系统，SSH（华为官方称STelnet）是远程管理的安全方式（替代明文Telnet）。以下分密码认证（最常用）和RSA密钥认证（免密/高安全）两种方式，提供「步骤+说明+验证+排错」全流程，适配AR6121-ES的特性（如默认VTY 0-4、STelnet=SSH2.0等）。

一、前置准备

1. 环境要求

2. 核心概念说明

• STelnet：华为VRP中SSH的官方名称，本质是SSH2.0，配置stelnet server enable即开启SSH服务；
• ip domain-name：生成RSA密钥对的必选前提（仅作为本地密钥标识，无需真实可解析的域名）；
• VTY 0-4：AR6121-ES默认5条虚拟终端线路，远程登录依赖此线路，需绑定SSH规则。

二、方式1：密码认证SSH（STelnet）（推荐入门）

步骤1：登录设备并进入系统视图

<Huawei>system-view# 从用户视图进入系统视图（提示符变为[Huawei]）[Huawei]sysname AR6121-ES# 可选：修改设备名，便于识别

步骤2：配置本地域名（生成RSA密钥的必选前提）

[AR6121-ES]ipdomain-name ar6121.local# 任意域名格式（含.即可），如192.168.1.local

若跳过此步，后续生成RSA密钥会提示「Failed to generate RSA key pair (no domain name configured)」。

步骤3：生成RSA本地密钥对（SSH加密的核心）

[AR6121-ES]rsa local-key-pair create# 系统交互提示（按以下步骤回应）：The key name will be: AR6121-ES_Host# 自动生成密钥名，无需修改Confirm to generate the key pair?[y/n]: y# 确认生成Enter the bitsinthe modulus[512~4096]:2048# 密钥长度推荐2048位（兼顾安全与性能）

成功提示：Info: The key pair has been generated successfully.

步骤4：配置AAA本地用户（SSH登录账号）

创建用于SSH登录的本地用户，指定密码、权限、服务类型：

[AR6121-ES]aaa# 进入AAA认证视图[AR6121-ES-aaa]local-user sshadmin password cipher Huawei@123# 设置密码（不可逆加密）# 密码要求：建议大小写+数字+特殊符号（AR6121-ES默认开启密码复杂度检查，弱密码会告警）[AR6121-ES-aaa]local-user sshadmin privilege level15# 赋予管理员级别（Level 15，最高权限）[AR6121-ES-aaa]local-user sshadmin service-typessh# 限定该用户仅用于SSH登录（安全加固）[AR6121-ES-aaa]quit# 退出AAA视图

步骤5：开启STelnet（SSH）服务

[AR6121-ES]stelnet serverenable# 开启SSH服务（AR6121-ES部分版本默认开启，执行无报错即可）# 可选：指定SSH版本为2.0（禁用不安全的SSH1.0）[AR6121-ES]sshserver version2

步骤6：配置SSH用户参数（绑定账号与服务）

[AR6121-ES]sshuser sshadmin service-type stelnet# 绑定用户到STelnet服务[AR6121-ES]sshuser sshadmin authentication-type password# 配置认证方式为密码

步骤7：配置VTY虚拟终端（远程登录通道）

限制VTY仅允许SSH登录，指定AAA认证：

[AR6121-ES]user-interface vty04# 进入VTY 0-4线路视图（默认5条线路）[AR6121-ES-ui-vty0-4]authentication-mode aaa# 认证方式为AAA（对应步骤4的本地用户）[AR6121-ES-ui-vty0-4]protocol inboundssh# 仅允许SSH登录（禁用Telnet，核心安全配置）# 可选：配置VTY超时（闲置5分钟断开，避免僵尸连接）[AR6121-ES-ui-vty0-4]idle-timeout50# 可选：关闭终端行数限制（避免长输出截断）[AR6121-ES-ui-vty0-4]screen-length0[AR6121-ES-ui-vty0-4]quit# 退出VTY视图

步骤8：保存配置（避免重启失效）

[AR6121-ES]save The current configuration will be written to the device. Are you sure to continue?[y/n]: y# 输入y确认保存

步骤9：客户端验证SSH登录

验证1：系统自带SSH客户端（Windows/macOS终端）

# 格式：ssh 用户名@路由器管理IPsshsshadmin@192.168.1.1# 替换为路由器实际管理IP

• 首次登录提示：The authenticity of host '192.168.1.1 (192.168.1.1)' can't be established.，输入yes信任密钥；
• 输入密码Huawei@123，成功登录后提示符为<AR6121-ES>。

验证2：Putty客户端（图形化）

1. 打开Putty，「Session」页签：
   • Host Name (or IP address)：输入路由器管理IP（如192.168.1.1）；
   • Port：默认22；
   • Connection type：选择SSH；
2. 点击「Open」，弹出密钥信任提示框，点击「是」；
3. 输入用户名sshadmin、密码Huawei@123，登录成功。

三、方式2：RSA密钥认证SSH（免密/高安全）

适用于对安全性要求高的场景（杜绝密码泄露风险），核心是「客户端生成密钥对→设备导入公钥→客户端用私钥登录」。

步骤1：客户端生成RSA密钥对（以Puttygen为例）

1. 打开Puttygen（Putty配套工具）：
   • 密钥类型：选择RSA；
   • 密钥长度：输入2048（与设备端一致）；
   • 点击「Generate」，移动鼠标生成随机密钥；
2. 生成后：
   • 复制「Public key for pasting into OpenSSH authorized_keys file」后的公钥字符串（全选复制，备用）；
   • 点击「Save private key」，保存私钥为.ppk文件（如ar6121_rsa.ppk，需妥善保管）。

步骤2：设备端基础配置（复用/补充）

<Huawei>system-view[Huawei]sysname AR6121-ES[AR6121-ES]ipdomain-name rsa.ar6121.local# 配置域名（必选）[AR6121-ES]rsa local-key-pair create# 生成设备端RSA密钥对（步骤同方式1，输入y+2048）[AR6121-ES]stelnet serverenable# 开启STelnet服务[AR6121-ES]sshserver version2# 限定SSH2.0

步骤3：创建SSH用户并配置RSA认证

# 创建SSH用户（无需AAA，直接基于SSH模块创建）[AR6121-ES]sshuser rsauser service-type stelnet[AR6121-ES]sshuser rsauser authentication-type rsa# 认证方式为RSA密钥

步骤4：导入客户端公钥到设备（核心步骤）

[AR6121-ES]sshuser rsauser authorized-key0importssh-key# 粘贴步骤1复制的客户端公钥字符串（仅粘贴一行，回车结束）# 成功提示：Info: Succeeded in importing the authorized key.

步骤5：配置VTY线路（复用方式1的配置）

[AR6121-ES]user-interface vty04[AR6121-ES-ui-vty0-4]authentication-mode aaa# 注：RSA认证仍需AAA模式（仅认证源为密钥）[AR6121-ES-ui-vty0-4]protocol inboundssh[AR6121-ES-ui-vty0-4]quit[AR6121-ES]save# 保存配置

步骤6：客户端密钥登录（Putty示例）

1. 打开Putty，「Session」页签：
   • 输入路由器IP，端口22，连接类型选SSH；
2. 左侧「Connection」→「SSH」→「Auth」：
   • 点击「Browse」，选择保存的私钥文件ar6121_rsa.ppk；
3. 点击「Open」，登录界面输入用户名rsauser，无需输入密码，直接登录成功。

四、安全加固配置（可选，推荐生产环境）

1. 修改SSH默认端口（避免暴力破解）

[AR6121-ES]sshserver port2222# 修改为非默认端口（如2222）# 客户端登录需指定端口：ssh sshadmin@192.168.1.1 -p 2222（终端）/ Putty中Port填2222

2. ACL限制SSH登录IP（仅允许指定网段）

# 1. 创建ACL，允许192.168.1.0/24网段登录[AR6121-ES]acl number2000[AR6121-ES-acl-basic-2000]rule permitsource192.168.1.00.0.0.255[AR6121-ES-acl-basic-2000]rule denysourceany[AR6121-ES-acl-basic-2000]quit# 2. 绑定ACL到VTY线路[AR6121-ES]user-interface vty04[AR6121-ES-ui-vty0-4]acl2000inbound[AR6121-ES-ui-vty0-4]quit

3. 限制SSH最大连接数

[AR6121-ES]sshserver max-sessions3# 限制最大SSH连接数为3（默认5）

五、关键验证命令（配置后/排错用）

六、常见问题排查（报错+原因+解决）

六、总结

AR6121-ES的SSH配置核心是「域名→密钥→用户→VTY」四步：

1. 配置域名是生成RSA密钥的前提；
2. 密码认证依赖AAA本地用户，RSA认证依赖客户端公钥导入；
3. VTY线路必须限定protocol inbound ssh，否则默认允许Telnet（不安全）；
4. 生产环境建议结合「非默认端口+ACL限制+RSA密钥认证」，最大化远程管理安全性。