Packet Tracer - 配置 SSH

地址分配表

目标
第 1 部分：保护密码

第 2 部分：加密通信

第 3 部分：验证 SSH 实施

背景信息
SSH 应替代 Telnet 来管理连接。Telnet 使用的是不安全的明文通信方式。SSH 则会为设备之间 的所有传输数据提供强加密，确保远程 连接的安全。在这个练习中，您会使用密码 加密和 SSH 来保护远程交换机。

指导
第 1 部分：保护密码
a.     在PC1上使用命令提示符通过 Telnet 访问S1。用户 EXEC 模式和特权 EXEC 模式的密码为cisco。

注：password处输入cisco（以下也是）。

b.     保存当前配置，以便可以 通过切换S1的电源，来修复您可能做出的任何错误操作。

S1#copy running-config startup-config

c.     显示当前配置并注意密码是否采用明 文格式。输入用于加密明文密码的命令：

S1(config)# service password-encryption

S1#
S1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
S1(config)#service password-encryption
S1(config)#

d.     验证密码是否已加密。

第 2 部分：加密通信
步骤 1：设置 IP 域名并 生成安全密钥。
一般来说，使用 Telnet 并不安全，因为数据是以明文形式 传输的。因此，只要 SSH 可用，就应使用 SSH。

a.     把域名配置为 netacad.pka。

S1(config)# ip domain-name netacad.pka

b.     需要使用安全的密钥来加密数据。使用 1024 作为密钥长度生成 RSA 密钥。

S1(config)#crypto key generate rsa
The name for the keys will be: S1.netacad.pka
Choose the size of the key modulus in the range of 360 to 4096 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

步骤 2：创建 SSH 用户并 重新配置 vty 线路，让它只接受 SSH 访问。
a.     使用cisco作为加密 密码创建administrator用户。

S1(config)#username administrator secret cisco
*Mar 1 15:8:27.210: %SSH-5-ENABLED: SSH 1.99 has been enabled
S1(config)#

b.     配置 VTY 线路以检查本地用户名数据库的登录 凭证，并只允许 SSH 进行远程访问。删除现有 vty 线路密码。

S1(config)#line vty 0 15
S1(config-line)#login local
S1(config-line)#transport input ssh
S1(config-line)#no password cisco

第 3 部分：验证 SSH 实施
a.     退出 Telnet 会话并尝试使用 Telnet 重新登录。这次 尝试应该会失败。

b.     尝试使用 SSH 登录。输入ssh，然后按 Enter（回车键） ，不使用任何参数显示命令使用情况说明。提示： -l 选项为 字母“L”，不是数字 1。

c.     在成功登录后，进入特权模式并保存 配置。如果您无法成功访问S1，则切换 电源，然后再次从第 1 部分开始。