作为网络从业者或学习者，用 eNSP 仿真实验时，远程登录设备是高频操作。但 Telnet 明文传输的安全隐患让人揪心，而 SSH 协议的加密特性完美解决了这个问题。今天就带大家手把手搞定 eNSP 中 SSH 登录的配置，附完整命令示例，新手也能一次成功！

一、先搞懂：eNSP 与 SSH 为啥要 “绑定”？

华为 eNSP（Enterprise Network Simulation Platform）是咱们练手的 “神器”，能模拟真实网络设备的配置与运行。而 SSH（Secure Shell）是目前最主流的远程登录协议，通过数据加密和身份认证，避免了 Telnet 明文传输带来的密码泄露风险。

在 eNSP 中配置 SSH 登录，不仅能还原真实网络的安全管理场景，还能帮我们避开实验中 “本地登录只能用控制台” 的限制，实操价值拉满！

二、核心步骤：SSH 配置 7 步走（附命令详解）

第 1 步：进入系统编辑视图

所有配置都要从系统视图开始，先给 eNSP 中的设备配置 IP 地址，确保与本地主机能互通，否则后续配置全白搭。以 AR2220 路由器为例，基础 IP 配置命令：

<Huawei>system-view  //进入系统视图
[Huawei]sysname R1  //修改设备名称为R1（方便区分）
[R1]interface GigabitEthernet 0/0/0  //进入千兆以太网接口
[R1-GigabitEthernet0/0/0]ip address 192.168.1.1 24  //配置IP地址和子网掩码
[R1-GigabitEthernet0/0/0]undo shutdown  //激活接口
[R1-GigabitEthernet0/0/0]quit  //退出接口视图

配置完成后，在本地主机 CMD 中执行ping 192.168.1.1，出现 “Reply from 192.168.1.1” 说明连通成功。

第 2 步：生成 RSA 密钥对（SSH 加密的 “钥匙”）

SSH 依赖非对称加密，必须先创建 RSA 密钥对，命令如下：

[Huawei]rsa local-key-pair create  //生成本地RSA密钥对
The key name will be: Huawei_Host
The range of public key size is (512 ~ 2048). 
NOTES: If the key modulus is greater than 512, 
       it will take a few minutes.
Input the bits in the modulus[default = 512]: 1024  //推荐输入1024位（安全性更高）
Generating keys...
..++++++++++++
........++++++++++++
....++++++++
........++++++++

出现 “Generating keys…” 并完成后，说明密钥对创建成功。

第 3 步：配置 VTY 界面（远程登录的 “入口”）

VTY 是虚拟终端接口，需要限制仅允许 SSH 接入，拒绝 Telnet：

[Huawei]user-interface vty 0 4  //进入0-4号VTY接口（支持5个同时登录）
[Huawei-ui-vty0-4]authentication-mode aaa  //设置认证模式为AAA（需配合用户配置）
[Huawei-ui-vty0-4]protocol inbound ssh  //仅允许SSH协议接入（禁用Telnet）
[Huawei-ui-vty0-4]quit  //退出VTY视图

⚠️ 重点：protocol inbound ssh必须加，否则可能默认允许 Telnet，失去 SSH 的安全意义。

第 4 步：创建 SSH 用户（绑定登录身份）

在系统视图下创建 SSH 专用用户，指定认证方式：

[Huawei]ssh user admin  //创建SSH用户，用户名设为“admin”
[Huawei]ssh user admin authentication-type password  //指定该用户用密码认证（新手推荐）

如果需要更安全的 “密钥认证”，后续可进阶配置，本文先讲最通用的密码认证。

第 5 步：配置 AAA 本地用户（与 SSH 用户绑定）

AAA 是用户认证框架，必须创建与 SSH 同名的本地用户，设置密码和权限：

[Huawei]aaa  //进入AAA视图
[Huawei-aaa]local-user admin password cipher 123456  //创建本地用户“admin”，密码“123456”（cipher表明加密存储）
[Huawei-aaa]local-user admin service-type ssh  //限制该用户仅用于SSH服务
[Huawei-aaa]local-user admin privilege level 3  //设置用户级别为3（可执行大部分配置命令）
[Huawei-aaa]quit  //退出AAA视图

⚠️ 坑点：service-type ssh不能漏，否则用户无法通过 SSH 登录。

第 6 步：使能 SSH 服务（启动功能开关）

前面的配置都是 “准备工作”，这步才是真正启动 SSH 服务：

[Huawei]stelnet server enable  //启动SSH服务（华为设备用stelnet表明SSH）

输入后无报错，说明服务启动成功。

第 7 步：保存配置（防止重启丢失）

配置完成后必定要保存，否则设备重启后所有设置清零：

[Huawei]save  //保存配置
The current configuration will be written to the device.
Are you sure to continue?[Y/N]:y  //输入“y”确认
Info: Saving the configuration succeeded.

三、验证登录：30 秒测试是否成功

以 Xshell 为例，教大家验证配置：

1. 打开 Xshell，点击 “新建”，在 “主机” 栏输入设备 IP（如 192.168.1.1），端口默认 22；

2. 点击 “连接”，弹出登录框，输入用户名 “admin”、密码 “123456”；

3. 若成功进入设备用户视图（显示<Huawei>），说明配置生效！

也可以用 eNSP 自带的 “远程登录” 工具验证，命令：

# 本地主机CMD中执行（需先安装OpenSSH客户端）
ssh admin@192.168.1.1  //输入后按提示输密码，成功登录即正常

四、踩坑自救：3 个常见问题解决方法

1. 无法建立 SSH 连接（连不上）

排查 1：IP 是否互通？重新ping 192.168.1.1，若不通检查接口是否激活（undo shutdown）；

排查 2：密钥对是否创建？输入display rsa local-key-pair public，无输出则重新创建；

排查 3：SSH 服务是否启动？输入display stelnet server status，若为 “Disabled” 则重新执行stelnet server enable。

2. 密码正确但认证失败

缘由：AAA 用户配置错了！重新检查：

[Huawei]display aaa local-user admin  //查看用户配置

确保service-type是 ssh，password和输入的一致。

3. 登录后提示 “shell request failed on channel 0”

解决：漏配用户级别或服务类型！补充命令：

[Huawei]aaa
[Huawei-aaa]local-user admin privilege level 3
[Huawei-aaa]local-user admin service-type ssh

五、SSH综合实验应用

实验内容

使用路由器R1模拟PC，作为SSH的Client；路由器R2作为SSH的Server，模拟远程用户端R1通过SSH协议远程登录到路由器R2上进行各种配置。本实验将通过Password认证方式来实现。

实验拓扑

配置通过STelnet登录系统的拓扑如图所示

实验编址

实验步骤

1.基本配置

由于eNSP模拟软件自带PC没有SSH用户端，本实验采用两台路由器模拟实验， 路由器R1作为SSH的Client，路由器R2作为SSH的Server。 根据实验编址表进行相应的基本配置，并使用ping命令检测各直连链路的连通性。

R1

<R1>system-view 
[R1]interface GigabitEthernet 0/0/0//进入端口
[R1-GigabitEthernet0/0/0]ip address 10.1.1.1 255.255.255.0 //配置端口地址
[R1-GigabitEthernet0/0/0]quit

R2

<R2>system-view 
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip address 10.1.1.2 255.255.255.0 
[R2-GigabitEthernet0/0/0]quit

R2 ping R1

2.配置SSHServer

相比于Telnet协议，SSH协议支持对报文加密传输，而非明文传送。因此，在跨越 互联网的远程登录管理中，提议使用SSH协议。 由于SSH用户使用Password方式验证，需要在SSH服务器端生成本地RSA密钥， 因此生成本地RSA密钥对是完成SSH登录配置的首要操作。 在R2上使用rsalocal-key-paircreate命令来生成本地RSA主机密钥对。

R2(服务器)

[R2]rsa local-key-pair create //生成本地RSA密钥
The key name will be: Host
% RSA keys defined for Host already exist.
Confirm to replace them? (y/n)[n]:y
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
       It will take a few minutes.
Input the bits in the modulus[default = 512]:1024//推荐输入1024位（安全性更高）
Generating keys...
..............................++++++
....++++++
............++++++++
.........................++++++++

配置完成后，使用
displayrsalocal-key-pairpublic命令查看本地密钥对中的公钥部分信息。

R2

[R2]display rsa local-key-pair public //查看本地密钥对中的公钥部分信息

可以观察到，此时已经生成了本地RSA主机密钥对。“Time of Key paircreated”描述公钥生成的时间，“Keyname”描述公钥的名称，“Keytype”描述公钥的类型。

在R2上配置VTY用户界面，设置用户的验证方式为AAA授权验证方式。

在R2上配置用户界面设置用户的授权验证方式。指定VTY类型用户界面只支持SSH协议，设备将自动禁止Telnet功能。使用local-user命令创建本地用户和用户口令，并以密文方式显示用户口令，指定用户名为huaweil，密码为huaweil。配置本地用户的接入类型为SSH。使用ssh user命令新建SSH用户，用户名为huaweil，指定SSH用户的认证方式为Password，即密码认证方式。

此处还可以继续使用local-user huawei privilege level命令配置本地用户的优先级。

其取值范围为0～15，取值越大，代表用户的优先级越高。不同级别的用户登录后，只能使用等于或低于自身级别的命令，默认值为3，代表管理级。

默认情况下，设备的SSH服务器功能为关闭状态，只有开启了此功能后，用户端才能以SSH方式与设备建立连接。在R2上开启设备的SSH功能。

R2

[R2]user-interface vty 0 4//配置VTY用户界面
[R2-ui-vty0-4]authentication-mode aaa//验证方式为AAA授权验证方式
[R2-ui-vty0-4]protocol inbound ssh//指定VTY类型用户界面只支持SSH协议
[R2-ui-vty0-4]quit
[R2]aaa
[R2-aaa]local-user huawei password cipher huawei	//创建本地用户和用户口令，以密文方式显示用户口令
[R2-aaa]local-user huawei service-type ssh//本地用户的接入类型为SSH
[R2-aaa]quit
[R2]ssh user huawei authentication-type password//新建SSH用户
[R2]stelnet server enable //开启设备的SSH功能

配置完成后，使用display ssh user-information huawei命令在SSH服务器端查看SSH用户的配置信息。如果不在命令末尾指定SSH用户，则可以查看SSH服务器端所有的SSH用户配置信息。

R2

[R2]display ssh user-information huawei//查看SSH用户的配置信息

可以观察到，此时R2上STelnetServer服务器状态为启用状态。

3.配置SSHClient

当SSH用户端第一次登录SSH服务器时，用户端还没有保存SSH服务器的RSA公钥，会对服务器的RSA有效性公钥检查失败，从而导致登录服务器失败。因此当用户端R1首次登录时，需开启SSH用户端首次认证功能，不对SSH服务器的RSA公钥进行有效性检查。

第一次登录时，由于开启了SSH用户端首次认证功能，在STelnet用户端第一次登录SSH服务器时，将不对SSH服务器的RSA公钥进行有效性检查。登录后，系统将自动分配并保存RSA公钥，为下次登录时认证。

输入用户huaweil1的密码huaweil。

R1

[R1]ssh client first-time enable //开启SSH用户端首次认证功能
[R1]stelnet 10.1.1.2

输入密码后，远程登录R2成功，使用display ssh server session命令查看SSH服务 器端的当前会话连接信息。

可以观察到，用户huawei已经成功通过VTY线路0远程登录上来，用户端已经成功连接到SSH服务器，可以进行各种配置。如果要退出登录，使用quit命令即可。

六、总结：SSH 配置核心要点

密钥对是基础，必须先创建；

VTY 接口要限制SSH 接入，禁用 Telnet；

SSH 用户与 AAA 用户必须 “同名同权限”；

配置后必定要保存，验证连通性！

掌握 SSH 配置，不仅能应对 eNSP 实验，更是真实网络管理的必备技能。下次再做远程登录实验，别再用不安全的 Telnet 啦～