Telnet 到Cisco路由器进行远程管理是很多网管的选择,但是通过Telnet传输的数据都是明文,因此这种登录方式存在很大的安全隐患。一个恶意用户完全可能通过类似Sniffer这样的嗅探工具,在管理员主机或者适当的接口进行本地监听获取管理员登录Cisoc路由器的密码..这时ssh是种不错的选择。

Cisco配置

  下面是在Cisco上配置ssh的相关命令和说明:

  R2(config)#ip domain-name Cisco.com     配置一个域名

  R2(config)#crypto key generate rsa general-keys modulus 1024    //生成一个rsa算法的密钥,密钥为1024位

  (提示:在Cisoc中rsa支持360-2048位,该算法的原理是:主机将自己的公用密钥分发给相关的客户机,客户机在访问主机时则使用该主机的公开密钥来加密数据,主机则使用自己的私有的密钥来解密数据,从而实现主机密钥认证,确定客户机的可靠身份。)

  The name for the keys will be: R2.Cisco.com

  % The key modulus size is 1024 bits

  % Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

  R2(config)#

  *Mar  1 00:09:46.607: %ssh-5-ENABLED: ssh 1.99 has been enabled

  R2(config)#ip ssh time 120     设置ssh时间为120秒

  R2(config)#ip ssh authentication 4   设置ssh认证重复次数为4,可以在0-5之间选择

  R2(config)#line vty 0 4

  R2(config-line)#transport input ssh  设置vty的登录模式为ssh,默认情况下是all即允许所有登录

  R2(config-line)#login

  R2(config-line)#

  这样设置完成后,就不能telnet到Cisoc路由器了。

  设置登录方式,然后点击“Open”。

  而这里就是颁发给我们的证书。

  R2(config)#aaa new-model 启用AAA

  R2(config)#aaa authentication login default local   启用aaa认证,设置在本地服务器上进行认证

  R2(config)#username Cisco pass Cisco 创建一个用户Cisco并设置其密码为Cisco用于ssh客户端登录

  R2(config)#line vty 0 4

  R2(config-line)#login authentication default  设置使用AAA的default来进行认证

  R2(config-line)#exit

  R2(config)#

  好了现在就可以使用ssh登录了。