思科网络配置:交换机的基础安全知识(1):SSH

本文参考<<路由和交换基础>>5.2交换机的安全性

为什么要注意交换机的安全?

网络总是受到攻击的,尽管在三层路由器配置的安全策略可以帮助我们免受外部网络的威胁,但是总有一些不法分子通过二层的内网对网络展开攻击,这使得交换机的安全也非常重要.

安全外壳(SSH)

ssh是一种安全管理连接的协议,telnet是一种较早的远程连接的协议,但是telnet的报文传输使用的都是明文传输,这样的话当使用wireshark等软件监控数据包,就可以轻松的获得账户密码与发送的消息.而ssh在传输的时候会对明文进行加密(rsa算法),所以为了安全,尽量使用ssh替代telnet.

SSH的基本配置流程:

拓扑以及基础配置

我们使用如下拓扑:

首先我们要配置交换机的ip地址,这里我们在vlan1中配置默认的SVI接口(SVI与vlan在接下来配置vlan的文章后会提到,这里先知道如何配置就行),如果掌握了vlan与SVI的配置方法,此处建议使用其他的vlan来配置IP地址

这样,我们就配置好了交换机的IP地址与默认网关,接下来配置好主机的ip地址就可以着手配置ssh了

配置ssh的流程

1.首先,要验证是否支持ssh,使用show ip ssh来检查,显然,我们这台交换机支持ssh

如果不支持ssh的话,上述命令无法被识别,同时version显示了ssh的版本号

2.配置网络IP域名

Switch(config)#ip domain-name cisco.com

3.接下来呢,为了保证ssh的正常运行,我们最好给它一个独一无二的名字,假设命名为S1

4.接下来布置RSA,因为在SSH中,明文要用RSA加密方式进行加密,这里主要是给定RSA算法的模数,这里我们使用1024.

5.从上面的带有version的图片中,我们可以看到,SSH目前的版本是1.99,我们此处激活SSHv2

S1(config)#ip ssh version 2

6.下一步,配置用户身份验证,也就是给定ssh的账户名和密码

S1(config)#username admin secret 123456

7.最后一步,就是配置vty线路.vty是虚拟终端,是当远程连接(telnet,ssh)连接到交换机的时候建立的一个逻辑连接.vty0-4代表的意思是同时可以有5个虚拟连接,vty0-15代表同时有16个虚拟连接.

第一个语句代表我们要配置虚拟终端

transport input ssh代表我们令vty只接受ssh,此时会拒绝其他的telnet连接.

login local代表用户如果要建立虚拟连接需要登陆

验证SSH:

现在我们用PC以ssh连接一下交换机

在PC的SSH功能中,输入IP地址和用户名访问(访问之前别忘了给PC配置IP地址与子网掩码)

可以看到,连接后我们输入密码登录之后,就可以通过PC来配置交换机了.

总结:

在本文我们进行了SSH的一些基础知识以及在交换机上布置SSH,并且通过主机访问SSH来操作交换机.