USG 6000-登录管理

一、登录管理概述

USG防火墙具备专用的MGMT接口，接口名为MEth0/0/0。USG的管理方式有很多种，分为console、ssh、web，其中华为中的terminal表示console，stelnet表示ssh。如果有建立OOB，那么建议采用MGMT接口，如果没有则建议走带内，如果墙是三层的，那就trust接口开启ssh、http、https，如果墙是二层的，那就起SVI接口开启ssh、http、https，不要用Loopback接口作为管理接口。

二、HTTP/HTTPS登录

配置Web登录，必要的配置就是管理接口允许http、https服务、AAA认证下面的用户允许Web访问。

Step 1. Console配置HTTP/HTTPS登录命令。

int Meth0/0/0
 description For_Management
 ip binding vpn-instance default
 ip address 192.168.1.1 24
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 undo shutdown 

aaa
 manager-user admin
 password cipher Admin@123
 service-type terminal web
 level 15
 manager-user audituser
 password cipher Admin@124
 service-type terminal web
 level 3

Step 2. 通过web登录并管理USG（https://192.168.1.1:8443）

三、SSH登录

配置SSH登录，必要的配置就是SSH接口允许SSH服务、SSH服务启用、AAA认证下面的用户允许SSH。

Step 1. Console配置SSH登录命令。

int Meth0/0/0
 description For_Management
 ip binding vpn-instance default
 ip address 10.10.10.2 24
 service-manage ping permit
 service-manage ssh permit
 undo shutdown

stelnet server enable

aaa
 manager-user admin
 password cipher Admin@123
 service-type terminal ssh
 level 15
 manager-user audituser
 password cipher Admin@124
 service-type terminal ssh
 level 3

Step 2. 通过Xshell、SecureCRT、Putty登录并管理USG。

SSH除了以上必要的配置之外，还有一些可选配置。包括ssh acl、认证尝试次数、密钥、端口、超时时间等选配配置。如果客户端使用的是SSHv1版本的，那么服务器就需要设置兼容配置ssh server compatible-ssh1x enable。客户端第一次登录服务器时，会对RSA公钥进行检查，如果检查失败则就会导致登录失败，使用配置ssh client first-time enable不对RSA公钥进行检查。