姜维博客
欢迎来访~

思科交换机SSH登录配置

思科交换机SSH配置非常基础,简单,官网也比较容易查询,但还是记录一下吧。

SSH的优势

在现在这个信息时代,网络安全变得越来越重要,当然路由器交换机作为数据传输的环节,安全性更为重要。

现在的网络设备一般都是支持SSH和Telnet远程登录的,新设备一般默认建议SSH登录。

Telnet是明文传送,SSH是密文传送,这是最主要的区别。

SSH替代Telnet是趋势也是现实。在使用SSH的时候,一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接,并加密受保护的口令。SSH1使用RSA加密密钥,SSH2使用数字签名算法(DSA)密钥保护连接和认证。加密算法包括Blowfish,数据加密标准(DES),以及三重DES(3DES)。SSH保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。
通过使用SSH把所有传输的数据进行加密,这样“中间人”这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替telnet,又可以为ftp、pop、甚至ppp提供一个安全的“通道”。

SSH配置

1.配置设备名称,domain名称,生成RSA 密钥对

Switch#configure terminal
Switch(config)#hostname test
test(config)#ip domain-name hello2099.com
test(config)#crypto key generate rsa
The name for the keys will be: test.hello2099.com
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]:
% Generating 512 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 0 seconds)

要删除 RSA 密钥对,请使用 crypto key zeroize rsa 全局配置模式命令。删除 RSA 密钥对之后,SSH 服务将自动禁用。

2.配置SSH版本,超时时间,重认证次数

test(config)#ip ssh version 2
test(config)#ip ssh time-out 90
test(config)#ip ssh authentication-retries 2

以上参数可根据实际情况自行选择。对于比较新的iso,可以直接敲入 ip ssh time-out 90 authentication-retries 2

3.配置用户身份验证和vty线路。

SSH登陆需要用户名和密码,所以必须要配置用户。我这里使用的是本地认证,实际环境中AAA认证同理。

test(config)#username cisco secret cisco
test(config)#enable secret cisco
test(config)#line vty 0 4
test(config-line)#login local
test(config-line)#transport input ssh

如需关闭Telnet,只开启SSH,敲入transport input ssh

如需同时支持SSH和Telnet,敲入transport input all

test(config-line)#transport input ?
all All protocols
none No protocols
ssh TCP/IP SSH protocol
telnet TCP/IP Telnet protocol

一般情况下line vty 0 4配置完成后,建议将vty 5 15关闭,因为如果vty 0 4启用了SSH登录而vty 5 15没有,远程Telnet会绕过vty 0 4而使用vty 5 15。如下面的情况:

 

因此建议将vty 5 15关闭。
test(config-line)#line vty 5 15
test(config-line)#transport input none

再次登录,就完全关闭了Telnet,只能使用SSH。

4.检查SSH登录

test#show ssh
Connection Version Mode Encryption Hmac State Username
0 2.0 IN aes256-ctr hmac-sha1 Session started cisco
0 2.0 OUT aes256-ctr hmac-sha1 Session started cisco
%No SSHv1 server connections running.

test#show ip ssh
SSH Enabled - version 2.0
Authentication methods:publickey,keyboard-interactive,password
Encryption Algorithms:aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
MAC Algorithms:hmac-sha1,hmac-sha1-96
Authentication timeout: 90 secs; Authentication retries: 2
Minimum expected Diffie Hellman key size : 1024 bits
IOS Keys in SECSH format(ssh-rsa, base64 encoded):
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDNYkHIP4uyK+jxLV6n3AlBtUaa6O53K9u2qrtQQu+v
jdmW9vhhsiFaDUDf4fROkczE+6FskpgeqEdP6MtqxCO8CNAPIxqDIYR/bBGtWBhhEsPmrgpQBGWCKSyJ
aRBLdeCRJXmYLEDZXCcEtmJQf6Iu7zCV9ZMxO0A1/2B4Si9Dgw==

配置范例

Switch(config)# hostname test
test(config)# ip domain-name hello2099.com
test(config)# crypto key generate rsa
test(config)# ip ssh version 2
test(config)# ip ssh time-out 90
test(config)# ip ssh authentication-retries 2
test(config)# username cisco secret cisco
test(config)# enable secret cisco
test(config)# line vty 0 4
test(config-line)# login local
test(config-line)# transport input ssh
test(config)# line vty 5 15
test(config-line)# transport input none

 

可附来源转载:姜维博客 » 思科交换机SSH登录配置

评论 5

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #5

    各行如隔山,我也想了解了解

    旋转门2个月前 (04-01)回复
  2. #4

    写的很好,很喜欢

    文娱帝国2个月前 (03-30)回复
  3. #3

    文章不错,非常喜欢

    丘八2个月前 (03-17)回复
  4. #2

    很熟悉的命令,好久没折腾交换路由了

    程志辉2个月前 (03-14)回复
  5. #1

    来看看

    短域名3个月前 (02-27)回复

待添加阿里云优惠