相关知识
远程访问 Cisco 交换机上的 vty接口有两种选择:telnet与SSH。老式交换机可能不支持使用安全外壳 (SSH) 的安全通信。
Telnet 是早期型号的 Cisco 交换机上支持的最初方法。Telnet 是用于终端访问的常用协议,因为大部分最新的操作系统都附带内置的 Telnet 客户端。但是 Telnet 不是访问网络设备的安全方法,因为它在网络上以明文发送所有通信。攻击者使用网络监视软件可以读取在 Telnet 客户端和 Cisco 交换机的 Telnet 服务之间发送的每一个击键。由于 Telnet 协议存在安全性问题,因此 SSH 成为用于远程访问 Cisco 设备虚拟终端线路的首选协议。
SSH 提供与 Telnet 相同类型的访问,但是增加了安全性。SSH 客户端和 SSH 服务器之间的通信是加密的。SSH 已经经历了多个版本,Cisco 设备目前支持 SSHv1 和 SSHv2。建议尽可能实施 SSHv2,因为它使用比 SSHv1 更强的安全加密算法。
1.配置交换机为SSH服务器
SSH 功能有 SSH 服务器和 SSH 集成客户端,后者是在交换机上运行的应用程序。可以使用 PC 上运行的任何 SSH 客户端或交换机上运行的 Cisco SSH 客户端来连接运行 SSH 服务器的交换机。
对于服务器组件,交换机支持 SSHv1 或 SSHv2。对于客户端组件,交换机只支持 SSHv1。
所需设备:
(1)Cisco Catalyst 2960交换机1台。
(2)带超级终端应用程序的PC机1台
(3)Vonsole配置线1条。
(4)直通线1根。
实验拓扑,如图2-1-22所示。
图2-1-22 交换机的SSH配置
配置如表2-1-3所示。
表2-1-3 交换机和PC机IP地址网络参数设置
| 设备 | 端口 | IP | Mask |
| Switch-A | Vlan1 | 192.168.1.1 | 255.255.255.0 |
| PC1 | 192.168.1.10 | 255.255.255.0 |
步骤实现:
步骤1:按照如图2-1-22所示,连接网络拓扑结构图。
步骤2:按照如表2-1-3所示,配置计算机的IP地址、子网掩码和网关。
步骤3:配置交换机的主机名和域名。
Switch>en
Switch#conf t
Switch(config)#hostname Switch-A
Switch-A(config)#ip domain-name abc.com ! 配置当前交换机所在的域名为abc.com
Switch-A(config)#步骤4:设置特权模式密码。
Switch-A#
Switch-A#conf t
Switch-A(config)#enable secret 123456 !设定特权模式密码
Switch-A(config)#步骤5:配置SSH服务器。
Switch-A(config)#username zwk password cisco !定义telnet用户名为zwk,密码为cisco
Switch-A(config)#line vty 0 15 !设定终端连接数为16
Switch-A(config-line)#login local !设定要求登录
Switch-A(config-line)#exit步骤6:生成RSA密钥。在交换机上启用 SSH 服务器以进行本地和远程身份验证,然后使用 crypto key generate rsa 命令生成 RSA 密钥对。
Switch-A(config)#crypto key generate rsa
The name for the keys will be: SA.abc.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]生成 RSA 密钥时,系统提示您输入模数长度。Cisco 建议使用 1024 位的模数长度。模数长度越长越安全,但是生成和使用模数的时间也越长。
步骤7:配置 SSH 服务器的版本。全局模式下使用 ipssh version [1 | 2] 命令将交换机配置为运行 SSHv1 或 SSHv2。
Switch-A(config)#ip ssh ver 2
Switch-A(config)#步骤8:限制非SSH连接。
如果要阻止非 SSH 连接,请在线路配置模式下添加 transport input ssh 命令以将交换机限制为仅允许 SSH 连接。直接(非 SSH)Telnet 连接将被拒绝。
Switch-A(config)#line vty 0 15
Switch-A(config-line)#transport input ssh !限制只允许SSH登录
Switch-A(config-line)#end
Switch-A#步骤9:保存设置。
Router-A#write !保存配置
Saving current configuration...
OK! 附:配置
交换机SWA配置:
Switch-A(config)#ip domain-name abc.com ! 配置当前交换机所在的域名为abc.com
Switch-A(config)#enable secret 123456 !设定特权模式密码(加密非加密都可以)
配置SSH服务器
Switch-A(config)#username zwk password cisco !定义telnet用户名为zwk,密码为cisco
Switch-A(config)#line vty 0 15 !设定终端连接数为16
Switch-A(config-line)#login local !设定要求登录
生成RSA密钥
SW1(config)#crypto key generate rsa 生成RSA密钥
The name for the keys will be: SW1.abc.com 密钥的名称为刚开始设置的交换机的域名
How many bits in the modulus [512]: 1024 生成密钥的模块长度,选择使用1024的,模块越长安全性越高
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
选择版本
SW1(config)#ip ssh version 2 选择SSH版本 v2
若要求仅限SSH链接的话
Switch-A(config)#line vty 0 15 进入线路配置模式
Switch-A(config-line)#transport input ssh !限制只允许SSH登录,vty登录则不成功
SW1#write 保存配置
C:\>SSH -l zwk 192.168.1.1 终端验证 注意 中间那个不是1,下面有对比。
SSH -1 zwk 192.168.1.1本任务讲述了交换机的telnet和ssh的基本配置,需要注意的是交换机进行telnet连接的前提条件是需要配置IP地址使网络联通,访问交换机vty接口有两种选择:telnet和SSH,但telnet属于明文传送的信息,不够安全,而SSH使用密钥加密后传送,是我们推荐使用的带内管理方式。 40
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
