API Guide

ManualsBrandsDell ManualsAccess PlatformsPowerSwitch S3048-ON

961

962

963

964

965

966

967

968

969

970

• 默认情况下，质询响应身份验证已禁用。要启用，请使用 ip ssh server challenge-response-authentication 命

令。

• 默认情况下，基于主机的身份验证已禁用。要启用，请使用 ip ssh server hostbased-authentication 命令。

• 默认情况下，密码身份验证已启用。要禁用，请使用 no ip ssh server password-authentication 命令。

• 默认情况下，公钥身份验证已启用。要禁用，请使用 no ip ssh server pubkey-authentication 命令。

• 默认情况下，不使用密码的登录已禁用。要启用，请使用 username sshkey 或 username sshkey filename 命令。

• 使用 ip ssh server cipher cipher-list 命令配置加密算法的列表。

• 使用 ip ssh server kex key-exchange-algorithm 命令配置密钥交换算法。

• 使用 ip ssh server mac hmac-algorithm 命令配置哈希消息身份验证代码 (HMAC) 算法。

• 使用 ip ssh server port port-number 命令配置 SSH 服务器侦听端口。

• 使用 ip ssh server vrf 命令将 SSH 服务器配置为可在管理 VRF 上访问。

• 使用 ip ssh server login-grace-time seconds 命令配置 SSH 登录超时，从 0 到 300；默认值为 60。要重设默认 SSH

提示计时器，请使用 no ip ssh server login-grace-time 命令。

• 使用 ip ssh server max-auth-tries number 命令配置身份验证尝试的最大数量，从 0 到 10；默认值为 6。要重置默认

值，请使用 no ip ssh server max-auth-tries 命令。

max-auth-tries 值包括所有身份验证尝试，包括公钥和密码。如果同时启用了基于公钥的身份验证和密码身份验证，则公钥

身份验证为默认设置，并首先尝试。如果失败，max-auth-tries 的数量将减少 1。在此情况下，如果您配置了 ip ssh

server max-auth-tries 1，则不会显示密码提示。

重新生成公钥

启用时，默认情况下，SSH 服务器会生成公钥并将其用于客户端身份验证：

• Rivest、Shamir 和 Adelman (RSA) 密钥（使用 2048 位）。

• 椭圆曲线数字签名算法 (ECDSA) 密钥（使用 256 位）

• Ed25519 密钥（使用 256 位）

注: OS10 SSH 服务器不支持 RSA1 和 DSA 密钥。

SSH 客户端必须交换相同公钥才能建立与 OS10 交换机的安全 SSH 连接。如有必要，您可以使用自定义的位大小重新生成 SSH 服务

器使用的密钥。您不能更改 Ed25519 密钥的默认大小。crypto key generate 命令仅适用于 sysadmin 和 secadmin 角色。

1. 在 EXEC 模式下重新生成 SSH 服务器的密钥。

crypto ssh-key generate {rsa {2048|3072|4096} | ecdsa {256|384|521} | ed25519}

2. 在提示符处输入 yes 以覆盖现有密钥。

Host key already exists. Overwrite [confirm yes/no]:yes

Generated 2048-bit RSA key

3. 在 EXEC 模式下显示 SSH 公钥。

show crypto ssh-key

重新生成 SSH 服务器密钥后，禁用并重新启用 SSH 服务器以使用新密钥。重新启动 SSH 服务器不会影响当前 OS10 会话。

Identifier

GUID-8A50F3AA-C758-4448-9F2B-8DE4926858B2

Version 3

Status Translation approved

虚拟终端行 ACL

要限制 Telnet 和 SSH 到交换机的连接，请在虚拟终端线路上应用访问列表 (VTY)。

1. 使用 permit 或 deny 筛选器创建 IPv4 或 IPv6 访问列表；例如：

OS10(config)# ip access-list permit10

OS10(config-ipv4-acl)# permit ip 172.16.0.0 255.255.0.0 any

OS10(config-ipv4-acl)# exit

OS10(config)#

安全性

965