1 SSH簡介
SSH協議(Secure Shell,安全外殼)是一種需要進行加密和認證的,用于遠程訪問及文件傳輸的網絡安全協議。
SSH功能類似于Telnet服務,但SSH基于加密和認證的特性可以為用戶提供更強大的安全保障機制,在用戶使用不安全的網絡環境登錄設備時,SSH能夠有效保護設備不受IP地址欺詐、明文密碼截取等攻擊。
目前存在SSHv1和SSHv2兩個版本,二者互不兼容。相比SSHv1,SSHv2能夠提供更高的性能和安全性。
2 SSH基本結構
SSH協議基于客戶端/服務器結構,客戶端可以使用SSH協議登錄到服務器,進行遠程訪問或文件傳輸等操作。
圖2-1 SSH基本結構圖
3 SSH基本交互流程
SSH客戶端和SSH服務器交互流程可以分為以下七個階段:建立連接、版本號協商、密鑰交換與算法協商、用戶認證、會話請求、會話交互和會話關閉。
(1) 建立連接階段
a 服務器端監聽TCP 22號端口,等待客戶端的連接。
b 客戶端向服務器的22號端口發起TCP連接請求,與服務器端建立起TCP連接。
(2) 版本號協商階段
a 服務器端向客戶端發送版本協商報文。
b 客戶端接收并處理該報文后,回復服務端決定采用的協議版本號。
c 服務器端處理客戶端回復的信息,確認協商版本成功與否。
(3) 密鑰交換與算法協商階段
若版本號協商成功,進入密鑰交換與算法協商。
a 服務器端與客戶端互相向對端發送算法協商報文,根據本端支持的算法來確定最終使用的算法。
b 服務器端與客戶端利用密鑰交換算法、主機密鑰等相關信息,生成會話密鑰與會話ID,利用它們進行后續的用戶認證以及數據傳輸的加解密。
(4) 用戶認證階段
加密通道建立起來之后,進入用戶認證階段。
a 客戶端向服務器端發送認證請求。
b 服務器端對客戶端進行認證。若認證成功,則進入下一階段;若認證失敗次數達到上限,則服務器端關閉連接。
(5) 會話請求階段
a 認證成功后,客戶端向服務器端發送會話請求。
b 服務器等待并處理客戶端的會話請求,請求被處理成功之后,SSH進入會話交互階段。
(6) 會話交互階段
會話請求成功后,進入會話交互階段,允許加密數據雙向傳送與處理。
a 客戶端將需要執行的命令發送給服務器。
b 服務器接收到命令后進行解密、解析并處理。
c 服務器將處理結果加密后發給客戶端。
d 客戶端收到服務器消息后進行解密與處理。
(7) 會話關閉階段
服務器和客戶端斷開連接并關閉會話。
4 SSH遠程登錄實踐
4.1 配置SSH服務器
大部分銳捷交換機和路由器都支持SSH客戶端和SSH服務器功能,此處以銳捷交換機為例進行服務器配置(SSH端口號為可選配置,通過變更SSH端口號能夠有效提高SSH的安全性)。
Ruijie> enableRuijie# configure terminalRuijie(config)# enable service ssh-server // 開啟SSH服務器功能Ruijie(config)# ip ssh version 2 // 使用SSHv2版本Ruijie(config)# username test password Ruijie123 // 配置本地賬號名test,密碼Ruijie123Ruijie(config)# ip ssh port 2000 //(可選)不配置時,默認SSH端口號為22Ruijie(config)# line vty 0 4 // 配置VTY終端Ruijie(config-line)# login local // 在VTY終端上開啟SSH本地賬號登錄功能4.2 配置SSH客戶端
Linux和Windows系統上都有大量的SSH客戶端可供使用,例如Linux系統可以直接通過Shell下的ssh命令進行登錄,Windows系統上有Putty、SecureCRT等應用軟件。此處以SecureCRT為例,使用SSH協議登錄到上述的銳捷交換機上。
(1) 根據SSH服務器的配置,選擇SSHv2協議,Hostname為SSH服務器IP,Port為SSH端口號,Authentication為支持的認證類型,并點擊“Connect”按鈕進行SSH遠程登錄。
(2) 第一次SSH遠程登錄該設備需要確認秘鑰,點擊“Accept Once”確認。
(3) 輸入賬戶名和密碼。
(4) 成功登錄銳捷交換機設備,可以在設備上執行各種管理操作。
5 SSH安全性
SSH客戶端與SSH服務器的所有交互數據都是經過加密的,即使在不安全的網絡環境下,也可以較好地避免用戶信息和交互數據泄露的風險。以下使用Telnet協議來進行對比,通過Wireshark抓包確認Telnet報文和SSH報文對賬號信息是否有做加密處理。
5.1 Telnet登錄報文
如下圖所示,使用Telnet遠程訪問服務器時(賬號名test,密碼Ruijie123),對Telnet客戶端發往Telnet服務器的報文進行抓包,可以發現Telnet登錄的賬號和密碼在報文中都是明文保存的。如果客戶端處于不安全的環境中,則賬號和密碼信息容易被非法截取。
圖5-1 Telnet登錄報文抓包示意圖
5.2 SSH登錄報文
同Telnet類似(賬號名test,密碼Ruijie123),使用SSH遠程訪問服務器時,對SSH客戶端發往SSH服務器的報文進行抓包,可以發現SSH遠程登錄的賬號和密碼在報文中都是經過加密的。因此,即使客戶端處于不安全的環境中,報文被截取也不會輕易導致賬號和密碼信息泄露。
圖5-2 SSH遠程登錄報文抓包示意圖
6 總結
在網絡安全問題日益嚴重的今天,社會和個人都對信息安全有更高的要求。在選擇遠程登錄協議時,也更加偏向安全性高的SSH協議。尤其在網絡環境復雜,安全性得不到保障的情況下,相比明文傳輸的Telnet等協議,SSH協議能夠帶來更加安全放心的體驗。
更多技術博文
-
解密DeepSeek-V3推理網絡:MoE架構如何重構低時延、高吞吐需求?DeepSeek-V3發布推動分布式推理網絡架構升級,MoE模型引入大規模專家并行通信,推理流量特征顯著變化,Decode階段對網絡時度敏感。網絡需保障低時延與高吞吐,通過端網協同負載均衡與擁塞控制技術優化性能。高效運維實現故障快速定位與業務高可用,單軌雙平面與Shuffle多平面組網方案在低成本下滿足高性能推理需求,為大規模MoE模型部署提供核心網絡支撐。
-
#交換機
-
-
高密場景無線網絡新解法:銳捷Wi-Fi 7 AP 與 龍伯透鏡天線正式成團銳捷網絡在中國國際大學生創新大賽(2025)總決賽推出旗艦Wi-Fi 7無線AP RG-AP9520-RDX及龍伯透鏡天線組合,針對高密場景實現零卡頓、低時延和高并發網絡體驗。該方案通過多檔賦形天線和智能無線技術,有效解決干擾與覆蓋問題,適用于場館、辦公等高密度環境,提供穩定可靠的無線網絡解決方案。
-
#無線網
-
#Wi-Fi 7
-
#無線
-
#放裝式AP
-
-
打造“一云多用”的算力服務平臺:銳捷高職教一朵云2.0解決方案發布銳捷高職教一朵云2.0解決方案幫助學校構建統一云桌面算力平臺,支持教學、實訓、科研和AI等全場景應用,實現一云多用。通過資源池化和智能調度,提升資源利用效率,降低運維成本,覆蓋公共機房、專業實訓、教師辦公及AI教學等多場景需求,助力教育信息化從分散走向融合,推動規模化與個性化培養結合。
-
#云桌面
-
#高職教
-
-
醫院無線升級必看:“全院零漫游”六大謎題全解析銳捷網絡的全院零漫游方案是新一代醫療無線解決方案,專為智慧醫院設計,通過零漫游主機和天線入室技術實現全院覆蓋和移動零漫游體驗。方案支持業務擴展全適配,優化運維管理,確保內外網物理隔離安全,并便捷部署物聯網應用,幫助醫院提升網絡性能,支持舊設備利舊升級,降低成本。
-
#醫療
-
#醫院網絡
-
#無線
-
