1. 为什么需要SSH与ACL联动在企业网络管理中远程登录交换机进行配置是运维人员的日常操作。但直接开放SSH服务就像把家门钥匙插在锁眼里——任何人都可能尝试拧动。去年我负责某金融项目时就遇到过攻击者通过暴力破解弱密码入侵交换机的案例。那次事件让我深刻认识到单纯的SSH加密只是基础必须配合ACL实现精细化访问控制。华为交换机的SSHACL联动方案能解决三个核心问题权限隔离区分管理员可配置设备和审计员仅查看日志避免越权操作访问溯源精确记录特定IP地址的登录行为出现问题时快速定位攻击防御阻断来自非授权网段的连接尝试降低暴力破解风险实际部署中我推荐采用最小权限原则。比如只允许运维区192.168.10.0/24网段访问且管理员账号仅限3个指定IP使用。下面这个拓扑是典型的企业网络架构[互联网] | [防火墙] | [核心交换机]←─[运维PC(192.168.10.10)] | [业务服务器]2. 华为交换机SSH安全配置详解2.1 基础环境准备首先确保设备满足两个前提条件已配置管理IP地址系统时间准确影响证书有效期验证HUAWEI system-view [HUAWEI] sysname SecSwitch [SecSwitch] interface vlanif 1 [SecSwitch-Vlanif1] ip address 192.168.10.1 24 [SecSwitch-Vlanif1] quit2.2 SSH服务关键配置版本选择方面务必禁用老旧的SSHv1[SecSwitch] ssh server version 2 # 强制使用SSHv2 [SecSwitch] ssh server compatible-ssh1x disable # 关闭兼容模式认证加固推荐组合方案密码公钥双因素认证限制失败尝试次数[SecSwitch] aaa [SecSwitch-aaa] local-user admin password irreversible-cipher Admin2023 [SecSwitch-aaa] local-user admin service-type ssh [SecSwitch-aaa] local-user admin privilege level 15 [SecSwitch-aaa] quit [SecSwitch] rsa local-key-pair create # 生成密钥对 [SecSwitch] ssh user admin assign rsa-key admin-key # 绑定密钥 [SecSwitch] ssh server authentication-retries 3 # 最多尝试3次注意irreversible-cipher加密的密码无法通过display命令反查比cipher更安全3. ACL策略设计与实施3.1 基础ACL规则配置针对192.168.10.0/24运维网段建议使用基本ACL2000-2999[SecSwitch] acl 2000 [SecSwitch-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255 [SecSwitch-acl-basic-2000] rule deny source any [SecSwitch-acl-basic-2000] quit3.2 高级ACL应用技巧对于需要区分角色的场景可以结合VTY线路配置[SecSwitch] user-interface vty 0 4 [SecSwitch-ui-vty0-4] acl 2000 inbound [SecSwitch-ui-vty0-4] protocol inbound ssh [SecSwitch-ui-vty0-4] user privilege level 15 [SecSwitch-ui-vty0-4] authentication-mode aaa如果需要更精细的控制如限制特定IP使用特定账号[SecSwitch] acl 3000 [SecSwitch-acl-adv-3000] rule permit tcp source 192.168.10.100 0 destination 192.168.10.1 0 destination-port eq 22 [SecSwitch-acl-adv-3000] rule deny tcp destination-port eq 224. 联动配置与效果验证4.1 服务绑定ACL将ACL绑定到SSH服务是最佳实践[SecSwitch] ssh server acl 2000 [SecSwitch] stelnet server acl 20004.2 全流程测试方法正向测试# 从授权PC测试 ssh admin192.168.10.1反向测试# 从非授权网段测试应被拒绝 ssh admin192.168.10.1 -o ConnectTimeout5日志验证display ssh server status display acl 2000 display ssh user-information常见故障排查点检查ACL规则顺序华为采用自上而下匹配确认时间范围ACL的生效时段验证用户权限级别是否足够5. 生产环境增强建议在金融级网络中我通常会追加这些配置会话超时控制[SecSwitch] ssh server timeout 60 # 60秒无操作自动断开 [SecSwitch] ssh server rekey-interval 3600 # 每小时更换密钥组合ACL策略# 工作日9:00-18:00允许访问 time-range WORKTIME 09:00 to 18:00 working-day acl 2001 rule permit source 192.168.10.0 0.0.0.255 time-range WORKTIME日志增强[SecSwitch] info-center enable [SecSwitch] info-center loghost 192.168.100.100 [SecSwitch] ssh server log enable实际项目中这套配置成功将SSH攻击事件降为零。关键是要定期审计ACL规则我习惯每月用这条命令检查异常登录display ssh server session # 查看活跃会话 display failed-login # 检查失败尝试