USG配置远程登陆

1. 配置允许远程接入设备的用户IP地址。不在ACL范围内的网段将不能对设备进行Telnet和SSH方式的远程访问。

    

   <sysname>system-view
   [sysname] acl 2000
   [sysname-acl-basic-2000] rule permit source x.x.x.x x.x.x.x
   [sysname-acl-basic-2000] quit
   

   x.x.x.x x.x.x.x为允许远程接入设备的IP地址范围。

    

2. 配置VTY管理员界面连接数限制。对同时远程登录到设备上的会话数进行限制，可以防止大量的会话数连接占用过多系统资源，同时便于集中运维，保证故障期间的正常处理。

    

   <sysname>system-view
   [sysname] user-interface maximum-vty 5
   

    

3. 配置Telnet/SSH登录。
   • 设置Telnet方式登陆设备的管理员的账号和密码，管理员级别为3级，该账号的最大允许接入数为1个。并应用ACL2000，配置允许远程接入设备的用户IP地址。

     <sysname>system-view
     [sysname] user-interface vty 0 4
     [sysname-ui-vty0-4] authentication-mode aaa
     [sysname-ui-vty0-4] protocol inbound telnet
     [sysname-ui-vty0-4] acl 2000 inbound
     [sysname-ui-vty0-4] quit
     [sysname] aaa
     [sysname-aaa] local-user admin1 password irreversible-cipher *********
     [sysname-aaa] local-user admin1 service-type telnet
     [sysname-aaa] local-user admin1 level 3
     [sysname-aaa] local-user admin1 access-limit 1

   • 设置SSH方式登陆设备的管理员的账号和密码。使用SSH方式登录可以提高信息传输的安全性，建议使用SSH方式登录设备。

     # 创建SSH方式登陆设备的管理员的账号和密码，管理员级别为3级，该账号的最大允许接入数为1个。

     <sysname> system-view
     [sysname] user-interface vty 0 4
     [sysname-ui-vty0-4] authentication-mode aaa
     [sysname-ui-vty0-4] protocol inbound ssh
     [sysname-ui-vty0-4] quit
     [sysname] ssh user admin1
     [sysname] ssh user admin1 authentication-type password
     [sysname] aaa
     [sysname-aaa] local-user admin1 password cipher *********
     [sysname-aaa] local-user admin1 service-type ssh
     [sysname-aaa] local-user admin1 level 3
     [sysname-aaa] local-user admin1 access-limit 1
     

     # 启用设备上的STelnet服务。

     <sysname> system-view
     [sysname] stelnet server enable
     

     # 配置SSH用户admin1客户端服务方式STelnet/SFTP。

     [sysname] ssh user admin1 service-type stelnet
     

父主题：设备登录安全