cisco SSH配置

1. 配置hostname和ip domain-name

Router#configure terminal

Router(config)#hostname R2 //配置ssh的时候路由器的名字不能为router

R2(config)#ip domain-name cisco.com   //配置SSH必需  
   
R2(config)#username best password best1
或  username best privilege 15 password 7 best1

注:添加一个用户:best,口令:best1

R2(config)#line vty 0 4

R2(config-line)#transport input ssh      //只允许用SSH登录(注意:禁止telnet和从

交换引擎session!)

2. 配置SSH服务:

R2(config)#crypto key generate rsa

The name for the keys will be: R2.cisco.com

注:SSH的关键字名就是hostname + . +ip domain-name

Choose the size of the key modulus in the range of 360 to 2048 for your

General Purpose Keys. Choosing a key modulus greater than 512 may take

a few minuts

How many bits in the modulus [512]: 注:选择加密位数,cisco推荐使用1024

Generating RSA keys ...

[OK]

用命令show ip ssh也能看到:

SSH Enabled - version 1.5

Authentication timeout: 120 secs; Authentication retries:

现在SSH服务已经启动,如果需要停止SSH服务,用以下命令:

R2(config)#crypto key zeroize rsa

3.设置SSH参数

配置好了SSH之后,通过show run命令我们看到SSH默认的参数:超时限定为120秒,认证重试次数为3次,可以通过下面命令进行修改:

R2(config)#ip ssh {[time-out seconds]} │ [authentication-retries interger]}

如果要把超时限定改为180秒,则应该用:

R2(config)# ip ssh time-out 180

如果要把重试次数改成5次,则应该用:

R2(config)# ip ssh authentication-retries

这样,SSH已经在路由器上配置成功了,就能够通过SSH进行安全登录了。

注意:最后如果从别的设备用ssh登录这台路由器会出现以下内容:

R1#ssh -l best 192.168.0.2

Password:

R2>en
% Error in authentication.

为什会出现以上内容?

因为在R2上没有配置enable password/secret xxxx

R2配置上enable secret 5 $1$fJxo$suWiTzmfdj/vkvXfRHBcw/

那么在R1上:

R1#ssh -l best 192.168.0.2

Password:

R2>en
Password:
R2#confi g
         ^
% Invalid input detected at '^' marker.

Ok实验完成!
 
 
启用SSh,禁止Telnet(Net130.com)

  对于一台Cisco设备来说,最明显需要设置的就是口令和启用加密了。如果你让它保持空白的话,你的交换机就等于是在敞开大门,任何人都可以查看并***你的VLAN设置。如果你有多台交换机,以及多位系统管理员时,最好使用AAA认证模式,并使用一个本地用户数据库,集中的TACACS+,或者 RADIUS服务器来管理所有的交换机和系统管理员。使用TACACS+可能是更正确的选择,因为它可以记录下所有的事件,以便你有一个历史记录,可以记录下所有做出的修改,以及是谁在你的交换机和路由器架构中做出了修改。不过要记住,最重要的事情是,不惜任何代价禁止Telnet,并持续的对所有交换机部署SSH.即便你的交换机上并没有一个启用加密的软件镜像,所有的当前镜像也依然可以让你SSH进交换机。为每一个系统管理员都建立一个独一无二的用户名以及口令。然后,你应当启用SSH,并干掉Telnet.

 

在Cisco Native IOS上启用SSH,禁止Telnet
命令描述
username admin1 privilege 15 password 0 Admin-Password建立一个叫做admin1的系统管理员,每一个管理都必须重复。
aaa new-model使用一个本地数据库,设置为AAA模式
aaa authentication login default local
aaa authorization exec default local
aaa authorization network default local
aaa session-id common
ip domain name MyDomain.com建立一个用于认证的名字
crypto key generate rsa建立数字证书。使用至少768位的Diffie-Hellman关键字
line vty 0 4进入vty配置
transport input ssh仅仅允许SSH登录

 

 

在 Cisco Catalyst OS上启用SSH,禁止Telnet
命令描述
set crypto key rsa 1024生成一个1024位的RSA key
set ip permit 10.0.10.0 255.255.255.0 ssh明确仅允许指定IP范围内的地址SSH
set ip enable

 

  要注意,对Cisco Native IOS交换机来说,Native IOS命令同样可以工作在Cisco IOS路由器上。无法使用SSH可能会导致口令被窃,并让***者获得对交换架构完全的控制权。