Cisco实现 SSH的目的在于提供较安全的设备管理连接,不适用于主机到主机的通讯加密。Cisco推荐使用IPSEC作为端对端的通讯加密解决方案。 1.IOS设备(如6500 MSFC、8500、7500)的配置: a) 软件需求 IOS版本12.0.(10)S 以上 含IPSEC 56 Feature 推荐使用 IOS 12.2 IP PLUS IPSEC 56C以上版本 基本上Cisco全系列路由器都已支持,但为运行指定版本的软件您可能需要相应地进行硬件升级 b) 定义用户 user mize pass nnwh@163.net d) 定义域名 ip domain-name mize.myrice.com //配置SSH必需 e) 生成密钥 crypto key generate rsa modulus 2048 执行结果: The name for the keys will be: 6509-mize.myrice.com % The key modulus size is 2048 bits Generating RSA keys ... [OK] f)指定可以用SSH登录系统的主机的源IP地址 access-list 90 remark Hosts allowed to SSH in //低版本可能不支持remark关键字 access-list 90 permit 10.10.1.100 access-list 90 permit 10.10.1.101 g) 限制登录 line con 0 login local line vty 0 4 login local //使用本地定义的用户名和密码登录 transport input SSH //只允许用SSH登录(注意:禁止telnet和从交换引擎session!) access-class 90 in //只允许指定源主机登录 2.CatOS(如6500/4000交换引擎)的配置: a) 软件需求 运行CatOS的6500/4000交换引擎提供SSH服务需要一个6.1以上“k9”版本的软件,如: cat6000-sup2cvk9.7-4-3.bin 和 cat4000-k9.6-3-3a.bin. 8540/8510交换机支持SSH需要以上12.1(12c)EY版本软件。 3550交换机支持SSH需要12.1(11)EA1以上版本软件。 其他交换机可能不支持SSH。 b) 生成密钥 set crypto key rsa 2048 密钥的生成需要1-2分钟,执行完毕后可用命令show crypto key查看生成的密钥。 c) 限制管理工作站地址 set ip permit 10.10.1.100 ssh //只允许使用SSH登录的工作站 set ip permit 10.10.1.101 ssh set ip permit enable ssh //检查SSH连接的源地址 set ip permit enable telnet //检查telnet连接的源地址 set ip permit enable snmp //检查snmp请求的源地址 ; 如果服务的ip permit 处于disable状态,所有的连接将被允许(当然服务如telnet本身可能包含用户认证机制)。如果指定服务的ip permit 处于enable状态,则管理工作站的地址必须事先用set ip permit <管理工作站IP地址> [可选的子网掩码] [允许使用的服务类型(ssh/telnet/snmp)]来定义 可用命令 show ip permit 来检查ip permit 的配置 某些服务可能存在安全漏洞(如http)或协议本身设计就是比较不安全的(如snmp、telnet)。如果服务不是必要的,可以将之关闭;如果服务是必须的,应采取措施保证这些服务仅向合法用户提供:
6500/4000交换引擎: set ip http server disable //关闭http服务 set ip permit enable snmp //限制SNMP源地址 set snmp comm. read-only //清空预设的SNMP COMM字 set snmp comm. read-write set snmp comm. read-write-all
8500、7500、MSFC等IOS设备: no ip http server //关闭http服务 no snmp //关闭snmp服务 no service dhcp //关闭 dhcp 服务 no ip finger //关闭 finger 服务 no service tcp-small-server //关闭tcp基本服务 no service udp-small-server //关闭 udp基本服务 service password-encryption //启用明文密码加密服务
设置中继设备: inter lo 0 ip address 10.10.1.100 255.255.255.255 ip telnet source-interface Loopback0 //发起telnet的源地址 设置受控设备: access-list 91 remark Hosts allowed to TELNET in access-list 91 permit 10.10.1.100 access-list 91 permit 10.10.1.101 line con 0 password xxxxxxxx line vty 0 4 R> password xxxxxxxx access-class 91 in