提示文章写完后目录可以自动生成如何生成可参考右边的帮助文档文章目录前言一、拓扑图二、实验内容1.配置Console登录为非aaa模式并且修改密码2.通过浏览器访问防火墙登录3.网络设备上通过SSH或者Telenet登录另一台网络设备。4.在防火墙上配置FTP服务或者TFTP服务利用PC更新防火墙的文件。5.在PC上配置ftp服务或者sftp服务在网络设备上访问PC设备的服务下载更新文件并且升级网络设备系统。6.显示登录用户和TCP连接。7.比较配置文件。三、常见问题1.ssh登录报出Host key verification failed错误的时候附件前言博客文章1.网络设备登录与管理的基础知识和实验案例干货一中讲述了利用PC端软件Putty通过SSH或者Telnet登录网络设备的方式本文实验主要包括1.配置Console为非aaa模式并且修改登录密码。2.通过浏览器访问防火墙。3.网络设备上通过SSH或者Telenet登录另一台网络设备。4.在网络设备上配置FTP服务或者SFTP服务利用PC更新网络设备的文件5.在PC上配置ftp服务或者SFTP服务在网络设备上访问PC设备的服务下载更新文件并且升级网络设备系统。6.显示登录用户和TCP连接。7.比较配置文件。一、拓扑图ensp中的拓扑图和配置与博客文章1.网络设备登录与管理的基础知识和实验案例干货一中的拓扑图和配置相同拓扑图如下各设备基础互联配置详见之前博文。二、实验内容1.配置Console登录为非aaa模式并且修改密码USG6000V防火墙配置如下这里我们先修改为非aaa模式再重新设置密码。注意如果之前的设置中有protocol inbound则要先取消protocal inbound才能修改为非aaa模式。user-interface con0authentication-mode password set authentication password cipher csdn12342.通过浏览器访问防火墙登录通过浏览器访问防火墙需要访问防火墙内置的web服务这只能通过防火墙的G0/0/0接口访问而不能通过别的接口访问。此时需要修改ensp拓扑图为如下主要配置interface GigabitEthernet0/0/0ip address192.168.101.4255.255.255.0service-manage http permit service-manage https permit service-manage ping permit此时查看aaa配置manager-user adminpassword cipher %%~wnXG_9SFN#B4G5c8\hJsf-W!KaTeX parse error: Expected EOF, got # at position 1: #̲m^g!luFc8_5%%service-type web terminallevel 15里面有一条关键的就是service-type web即支持web方式。此时打开浏览器输入ip地址192.168.101.4再输入aaa中配置的密码即可登录进入防火墙。3.网络设备上通过SSH或者Telenet登录另一台网络设备。之前博文讲述了通过putty软件和ssh或者telnet方式访问网络设备。这里在路由器设备上通过ssh或者telnet访问防火墙。首先对防火墙进行ssh配置user-interface vty04authentication-mode aaa protocol inbound ssh aaa manager-user admin service-type ssh password cipher csdn1234level15将接口加入安全区域以及放行ssh 由于防火墙G0接口默认加入trust安全区域这里不用再配置[USG6000V1]dis zone2026-04-0702:48:01.710local priority is100interface of the zoneis(0):#trustpriority is85interface of the zoneis(1):GigabitEthernet0/0/0#untrustpriority is5interface of the zoneis(1):GigabitEthernet1/0/0#dmzpriority is50interface of the zoneis(0):# 在G0接口下允许ssh通过[USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit 在防火墙上还要开启ssh服务[USG6000V1]stelnet server enable 同时添加ssh用户admin并且配置密码验证方式。[USG6000V1]ssh user admin service-type all ssh user admin authentication-type password在路由器上ssh登录的时候会发现无法登录。但是使用putty或者在pc上使用ssh命令均可以登录防火墙。这是什么原因呢主要原因是防火墙usg6000v和ar201路由器以及交换机上的ssh版本不一致。防火墙上ssh版本路由器和交换机上的ssh版本此时在ensp中即使将防火墙的版本兼容性打开即兼容1.99版本。这个时候经过实验路由器和交换机仍然无法通过ssh访问防火墙这可能是ensp模拟器的原因。此时我们在路由器上配置ssh服务aaa local-user csdn password cipher csdn1234local-user csdn privilege level3local-user csdn service-type ssh[AR201]ssh user csdn authentication-type password此时在交换机上就可以通过stelnet访问路由器。因为两者的ssh版本是一致的。在防火墙上配置telnet服务然后交换机和路由器通过telnet登录防火墙。主要配置user-interface vty04authentication-mode aaa protocol inbound telnet aaa manager-user csdn service-type telnet[USG6000V1-GigabitEthernet0/0/0]service-manage telnet permit[USG6000V1]telnet server enable这个时候在路由器或者交换机上用telnet即可登录防火墙。但是要注意telnet命令在用户视图中使用。4.在防火墙上配置FTP服务或者TFTP服务利用PC更新防火墙的文件。防火墙主要配置1.开启ftp服务[USG6000V1]ftp server enable2.配置远程虚拟接口 user-interface vty04authentication-mode aaa 这里不需要指定protocol。配置ssh或者telnet登录的时候需要指定protocol3.aaa中配置ftp服务具体内容 aaa manager-user admin service-type ftp ftp-directory hda1:/注意根目录的名称hda1:/需要在用户视图中用dir命令查看。不同设备的根目录名称是不一样的USG6000V1dir Directory of hda1:/Idx AttrSize(Byte)Date Time FileName0drw--Apr07202604:40:06hidesshpubkey1drw--Apr07202604:39:28backup4.防火墙接口要放行ftp流量 这里查看接口下的放行规则发现没有ftp选项所以不用放行。之前在配置防火墙ssh和telnet登录的时候需要在这里放行。[USG6000V1-GigabitEthernet0/0/0]service-manage?all ALL service enable Service manageswitchon/off http HTTP service https HTTPS service ping Ping service snmp SNMP service ssh SSH service telnet Telnet service5.由于防火墙的安全区域特性还需要放行源区域到目的区域的流量。 注意之前配置防火墙ssh和telnet登录的时候不需要考虑安全区域特性只需要将防火墙的接口加入安全区域。但是ftp服务不太相同。ftp服务属于防火墙的local区域。在本实验案例中防火墙的G0接口加入了trust区域。因此需要放行trust到local的流量。 security-policy rule name permit_trust_local source-zone trust destination-zone local service ftp action permit此时通过pc上的ftp命令即可访问防火墙的相关文件。ftp常用文件操作命令‌binary设置为二进制模式传输软件、配置文件等非文本文件时必须使用‌ 6 get remote-file [local-file]下载文件 put local-file [remote-file]上传文件 dir / ls列出目录内容 cd dir切换远程目录 lcd dir查看本地目录路径 bye 或 quit退出并断开连接此时用ftp下载防火墙的配置文件1.防火墙中将配置保存为一个文件名USG6000V1save csdn.cfg The current configuration will be written to the device.Are you sure tocontinue?[Y/N]y Now saving the current configuration to the slot0.Save the configuration successfully.USG6000V1Apr8202600:39:50USG6000V1%%01CFM/4/SAVE(s)[1]:The user chose Y when decidi ng whether to save the configuration to the device.Apr8202600:39:50USG6000V1%%01CFM/4/SAVE_FILE(s)[2]:When deciding whether t o save the configuration to the file hda1:/csdn.cfg,the user chose Y.2.使用ftp下载配置文件 ftpget csdn.cfg csdn.cfg200Port command okay.150Opening ASCII mode data connectionfordirectory list.226Transfer complete.ftp:收到4913字节用时0.08秒59.19千字节/秒。此时在本地目录中同样将本地文件上传至防火墙ftpput csdn.cfg csdn2.cfg200Port command okay.150Opening ASCII mode data connectionfordirectory list.226Transfer complete.ftp:发送4913字节用时0.04秒125.97千字节/秒。防火墙中可以看到上传的文件也可以‌使用图形化客户端如 FileZilla‌对ftp服务器上文件进行更方便的管理**直接拖拽文件**。打开 FileZilla。在顶部地址栏输入ftp://设备IP。填写用户名、密码端口默认 21。点击“快速连接”成功后可在左右面板间拖拽文件传输 ‌由于ftp不包含加密因此sftp基于ssh提供服务。这里在防火墙上配置sftp服务器。防火墙主要配置1.远程接口配置 user-interface vty04authentication-mode aaa protocol inbound ssh2.aaa配置 aaa manager-user csdn service-type ssh level153.ssh配置 stelnet是基于ssh的远程登录服务可以关闭只需要单独启用sftp服务即可并且要配置sftp服务目录 undo stelnet server enable sftp server enable ssh user csdn authentication-type password ssh user csdn service-type sftp ssh user csdn sftp-directory hda1:4.接口的安全区域配置 G0接口已经默认加入trust安全区域[USG6000V1]dis zone2026-04-0801:23:46.170local priority is100interface of the zoneis(0):#trustpriority is85interface of the zoneis(1):GigabitEthernet0/0/05.接口流量放行配置[USG6000V1-GigabitEthernet0/0/0]service-manage ssh permit6.防火墙安全规则配置。 不同于ftp需要放行不同安全区域的ftp流量。sftp基于ssh也类似于ssh也类似于telnet不需要放行不同安全区域之间的sftp流量。因此安全规则不用配置。 之前ftp服务需要放行的规则如下 security-policy rule name permit_trust_local source-zone trust destination-zone local service ftp action permit 这里我们直接取消放行规则 security-policy undo rule name permit_trust_local最后命令行通过sftp访问服务器。或者使用filezilla。注意sftp基于ssh端口号是22。5.在PC上配置ftp服务或者sftp服务在网络设备上访问PC设备的服务下载更新文件并且升级网络设备系统。如果在网络设备上配置ftp或者sftp服务那么当需要操作许多网络设备的时候则每台设备都要配置然后通过PC访问网络设备的ftp或者sftp服务进行文件交互显然太过麻烦。因此可以在PC上配置ftp服务或者TFTP服务在网络设备上访问PC设备的服务。由于sftp服务是filezilla pro enterprise server版本提供的付费功能本文只演示filezilla server普通版本提供的免费功能即配置ftp服务。具体操作1.启动filezilla server2.管理filezilla server同时配置本地服务器的管理密码和端口。即配置PC对本地服务器的管理方式。3.ftp的主动模式和被动模式。主动模式和被动模式的区别在于服务器是主动访问客户端的端口进行数据传输还是被动的由客户端访问服务器的端口进行数据传输。FTP主动模式Active Mode在主动模式下客户端通过随机端口N连接到服务器的21端口控制端口。当需要传输数据时客户端会告知服务器自己的另一个随机端口N1服务器主动从20端口数据端口连接到客户端的N1端口。特点服务器主动连接客户端的数据端口。可能因客户端的防火墙或NAT设置导致连接失败。适用于客户端无防火墙限制的环境。端口使用控制连接客户端随机端口→ 服务器21端口。数据连接服务器20端口→ 客户端随机端口N1。FTP被动模式Passive Mode在被动模式下客户端通过随机端口M连接到服务器的21端口控制端口。当需要传输数据时服务器会告知客户端自己的随机端口P客户端主动连接到服务器的P端口传输数据。特点客户端主动连接服务器的数据端口。适用于客户端位于防火墙或NAT后的环境。服务器需开放随机数据端口可能增加安全风险。端口使用控制连接客户端随机端口→ 服务器21端口。数据连接客户端随机端口M1→ 服务器随机端口P。4.ftp服务器推荐配置这里我们使用pc通过ensp cloud桥接至模拟局域网网络设备的vmnet8网卡的ip地址。这里测试是使用公网的工具进行测试。由于我们配置服务器在私网的192.168.101.x网段因此测试失败。但是不影响本文实验。5.添加ftp用户设置密码设置共享目录为C:\。6.先在本地PC上测试能否访问该FTP服务。7.在本机PC的防火墙上新建入站规则允许远程网络设备访问本机此时在ensp拓扑中的网络设备上便可以访问pc上的ftp服务在交换机上访问。在路由器上访问在ensp中的防火墙上访问。由于防火墙的特殊性访问ftp服务的时候需要放行local区域到G0接口所在trust区域的流量rule name permit_local_trust source-zone local destination-zone trust service ftp service icmp action permit并且由于USG6000V的G0接口默认绑定在vpn实例default中使用ftp命令的时候要指明vpn实例。具体如下升级网络设备系统可以直接下载ftp服务器共享目录中的系统文件或者补丁文件然后执行如下命令。注意是在用户视图中执行命令而不是在系统视图中。startup system-software newvrp.cc # 指定新版本文件 startup saved-configuration xxx.cfg 指定下次启动的配置文件 startup patch xxx.pat 指定下次启动时加载的补丁文件 dis startup 查看下次启动信息 reboot # 重启生效对于不同厂家的网络设备升级命令不同。比如对于H3C华三的S5130S-28P-EI交换机其升级命令为boot-loader file flash:/S5130S_EI-CMW710-R6320.ipe slot1main6.显示登录用户和TCP连接。如果是从PC登录防火墙的ftp服务可以在防火墙上查看tcp连接。首先PC上ftp登录防火墙。在防火墙上查看tcp连接可以看到防火墙20和21两个端口的连接建立。21端口是控制连接。20连接则是用于传递数据的数据端口。并且防火墙的ftp服务使用的是主动模式。即在主动模式下客户端通过随机端口N连接到服务器的21端口控制端口。当需要传输数据时客户端会告知服务器自己的另一个随机端口N1服务器主动从20端口数据端口连接到客户端的N1端口。其次在防火墙上访问PC上通过filezilla配置的ftp服务。在PC上查看tcp连接一方面可以在filezilla中查看。另外一方面则可以在windows命令中查看。netstat -ano -p tcp这里没有使用20端口说明采用的是FTP的被动模式。在被动模式下客户端通过随机端口M连接到服务器的21端口控制端口。当需要传输数据时服务器会告知客户端自己的随机端口P客户端主动连接到服务器的P端口传输数据。7.比较配置文件。compare命令用于对比当前运行配置running-config与存储的配置文件是否一致。对于不同网络设备compare的解读不同具体看说明书有的设备可能解读compare命令为比较当前运行配置与下一次启动的配置文件是否一致。1.首先我们保存防火墙的配置文件为csdn.cfg再进行新的配置配置一个环回接口的ip地址。USG6000V1save csdn.cfg The current configuration will be written to the device.Are you sure tocontinue?[Y/N]y Now saving the current configuration to the slot0.Save the configuration successfully.[USG6000V1]intLoopBack1[USG6000V1-LoopBack1]ip address9.9.9.92.比较配置差异存在差异性。3.再次保存当前配置到csdn.cfg中然后发现差异性消失。三、常见问题1.ssh登录报出Host key verification failed错误的时候说明客户端和服务器之间的公钥交换出现问题这个时候需要重新交换公钥可采用如下方法如下图即可重新登录。附件1.本文ensp拓扑文件2.filezilla客户端和服务器端软件具体见文章开头上传资源。