SSH 是受到导出限制的一种加密安全功能。要使用此功能,交换机上必须安装加密映像。SSH 功能有 SSH 服务器和 SSH 集成客户端,对于服务器组件,交换机支持 SSHv1 SSHv2。对于客户端组件,交换机只支持 SSHv1SSH 支持数据加密标准 (DES) 算法、三重 DES (3DES) 算法和基于密码的用户身份验证。DES 提供 56 位加密,而 3DES 提供 168 位加密。加密需要时间,但是 DES 加密文本的时间比 3DES 少。要实施 SSH,需要生成 RSA 密钥。RSA 涉及公钥和私钥,公钥保留在公共 RSA 服务器上,而私钥仅由发送方和接收方保留。公钥可对所有人公开,并用于加密消息。用公钥加密的消息只能使用私钥解密。这称为非对称加密。

您需要使用 crypto key generate rsa 命令来生成加密的 RSA 密钥。

如果要将交换机配置为 SSH 服务器,则需要执行此过程:

步骤 1. 使用 configure terminal 命令进入全局配置模式。

步骤 2. 使用 host name 命令配置交换机的主机名。

步骤 3. 使用 ip domain-name  domain_name 命令配置交换机的主机域。

步骤 4. 在交换机上启用 SSH 服务器以进行本地和远程身份验证,

然后使用 crypto key generate rsa 命令生成 RSA 密钥对。

生成 RSA 密钥时,系统提示您输入模数长度。Cisco 建议使用 1024 位的模数长度。模数长度越长越安全,但是生成和使用模数的时间也越长。

步骤 5. 使用 end 命令返回到特权执行模式。

步骤 6. 使用 show ip ssh show ssh 命令显示交换机上的 SSH 服务器的状态。

    要删除 RSA 密钥对,请使用 crypto key zeroize rsa 全局配置命令。删除 RSA 密钥对之后,SSH 服务器将自动禁用。

    步骤 2. (可选)使用 ip ssh version [1 | 2] 命令将交换机配置为运行 SSHv1 SSHv2

步骤 3. 配置 SSH 控制参数:

l  以秒为单位指定超时值;默认值为 120 秒。该值的范围为 0 120 秒。为了建立 SSH 连接,必须完成很多阶段,例如连接、协议协商和参数协商。超时值规定了交换机为建立连接而留出的时间量。

默认情况下,最高可以有 5 个并存的加密 SSH 连接用于多个基于 CLI 的网络会话(会话 0 到会话 4)。在执行外壳启动后,基于 CLI 的会话的超时值将恢复为默认的 10 分钟。

l  指定客户端可向服务器重新验证身份的次数。默认值为 3;取值范围为 0 5。例如,用户可以允许 SSH 会话在终止之前连续 3 次持续 10 分钟以上。

当配置这两个参数时,请重复执行本步骤。要配置这两个参数,请使用 ip ssh {timeoutseconds | authentication-retriesnumber} 命令。

如果要阻止非 SSH 连接,在虚拟终端配置模式下添加 transport input ssh 命令以将交换机限制为仅允许 SSH 连接。(默认是transport input all允许所有)