Cisco路由器的SSH配置详解

1、Cisco路由器的SSH配置详解公司标准化编码QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9NCisco路由器的SSH配置详解2008-06-18 13:04如果你一直利用Telnet控制网络设备，你可以考虑采用其他更安全的方式。本文告诉你如何用SSH替换Telnet.使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备 相当于在离开某个建筑时大喊你的用户名和口令。很快地，会有人进行监听， 并且他们会利用你安全意识的缺乏。SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令 是加密的并以儿种方式进行保密。在使用SSH的时候，一个数字证书将

2、认证客户端(你的工作站)和服务器 (你的网络设备)之间的连接，并加密受保护的口令。SSH1使用RSA加密密 钥，SSH2使用数字签名算法(DSA)密钥保护连接和认证。加密算法包括Blowfish,数据加密标准(DES),以及三重DES(3DES)。SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监 听。实施SSH的第一步是验证你的设备支持SSH.请登录你的路由器或交换 机，并确定你是否加载了一个支持SSH的IPSec IOS镜像。在我们的例子中，我们将使用Cisco IOS命令。运行下面的命令：Router> Show flash该命令显示已加载的IOS镜像名称。你可以用结果对比

3、你的供应商的支持 特性列表。在你验证了你的设备支持SSH之后，请确保设备拥有一个主机名和配置正 确的主机域，就像下面的一样：Router> config terminalRouter (config)# hostname RouterRouter (config)# ip domain-name在这个时候，你就可以启用路山器上的SSH服务器。要启用SSH服务器, 你首先必须利用下面的命令产生一对RSA密钥：Router (config)# crypto key generate rsa在路山器上产生一对RSA密钥就会自动启用SSH.如果你删除这对RSA密 钥，就会自动禁用该SSH服务器。

4、实施SSH的最后一步是启用认证，授权和审计（AAA） o在你配置AAA的 时候，请指定用户名和口令，会话超时时间，一个连接允许的尝试次数。像下 面这样使用命令：Router (config)# aaa new-modelRouter (config)# username BluShin password p4sswOrdRouter (config)# ip ssh time-outRouter (config)# ip ssh authentication-retries要验证你已经配置了 SSH并且它正运行在你的路山器上，执行下面的命 令：Router# show ip ssh在验证了配置

5、之后，你就可以强制那些你在AAA配置过程中添加的用户使 用SSH,而不是Telnet.你也可以在虚拟终端（vty）连接中应用SSH而实现同 样的目的。这里给出一个例子：Router （config）# line vty 0 4Router （config-line）# transport input SSH在你关闭现存的Telnet会话之前，你需要一个SSH终端客户端程序以测 试你的配置。我极力推荐Putty；它是免费的，而且它是一个优秀的终端软 件。I0S设备配置实例Native IOS设备的配置a）软件需求I0S 版本.（10） S 以上含 IPSEC 56 Feature推荐使用IOS

6、IP PLUS IPSEC 56C以上版本基本上Cisco全系列路山器都已支持，但为运行指定版本的软件您可能需 要相应地进行硕件升级b）定义用户user BluShin secret p4ssc）定义域名ip domain-namee）指定可以用OKSSH登录系统f）限制登录7-4-3bin 和 8540/8510 交 换机支持SSH 需要以上（12c） EY 版 本软件。的主机的源IP 地址access-list 90 remark Hosts allowed to SSH in10. 10. 100access-list 90 permitline con 0login localline

7、 vty 0 4login local 90 in3550交换机支持SSH需要（11） EA1以上版本软件。其他交换机可能不支持SSH.b）生成密钥set crypto key rsa 2048密钥的生成需要1-2分钟，执行完毕后可用命令show crypto key查看生 成的密钥。C）限制管理工作站地址 set ip permit 10. 10. 1. 100 ssh read-only read-write set snmp comm read-write-all8500. 7500.MSFC等IOS设备:no ip http server面介绍使用Secure CRT 登 录SSH设备

8、的方法：运行Secure CRT程序，选择菜单File - Quick Connect设置以下参 数：Protocol （协议）:sshl Hostname （主机名）:10. 10. 1. 1 Port （端 口）：22 Username （用户名）:mize Ciper （加密方法）:3DESAuthentication （认证方式）assword点击Connect,这时可能会提示您接受 来自设备的加密公钥，选择Accept once （只用一次）或Accept & Save （保 存密钥以便下次使用）。由于协议实现的问题，可能会碰到SSH Buffer Overflow的问题，如果出现''收到大于16k的密钥”的提示，请重新连接。 连接正常，输入密码即可登录到系统。第二次登录点击F订e - Connect点击连接10. 10. 1. 1即可。b）从IOS设备用SSH协议登录其他设备I0S设备也可以发起SSH连接请求（作为SSH Client）,从IOS设备登录 支持3DES的I0S设备，使用以下命令（-1指定用户名）：ssh - 1 mize 10. 10. 3. 3从IOS设备登录支持DES （5