当前位置:首页 >> 信息与通信 >>

路由器SSH配置详解


Cisco 路由器的 SSH 配置详解

Cisco 路由器的 SSH 配置详解 如果你一直利用 Telnet 控制网络设备,你可以考虑采 用其他更安全的方式。本文告诉你如何用 SSH 替换 Telnet. 使用 Telnet 这个用来访问远程计算机的 TCP/IP 协议以控制你的网络设备相当于在 离开某个建筑时大喊你的用户名和口令。很快地,会有人进行监听,并

且他们会利用你安全 意识的缺乏。 SSH 是替代 Telnet 和其他远程控制台管理应用程序的行业标准。SSH 命令是加密 的并以几种方式进行保密。 在使用 SSH 的时候,一个数字证书将认证客户端(你的工作站)和服务器(你的 网络设备)之间的连接,并加密受保护的口令。SSH1 使用 RSA 加密密钥,SSH2 使用数字 签名算法(DSA)密钥保护连接和认证。 加密算法包括 Blowfish,数据加密标准(DES) ,以及三重 DES(3DES) 。SSH 保 护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。 实施 SSH 的第一步是验证你的设备支持 SSH.请登录你的路由器或交换机,并确定 你是否加载了一个支持 SSH 的 IPSec IOS 镜像。 在我们的例子中,我们将使用 Cisco IOS 命令。运行下面的命令: Router> Show flash 该命令显示已加载的 IOS 镜像名称。你可以用结果对比你的供应商的支持特性列 表。 在你验证了你的设备支持 SSH 之后,请确保设备拥有一个主机名和配置正确的主 机域,就像下面的一样: Router> config terminal Router (config)# hostname Router Router (config)# ip domain-name BluShin.cn 在这个时候,你就可以启用路由器上的 SSH 服务器。要启用 SSH 服务器,你首先 必须利用下面的命令产生一对 RSA 密钥: Router (config)# crypto key generate rsa 在路由器上产生一对 RSA 密钥就会自动启用 SSH.如果你删除这对 RSA 密钥,就 会自动禁用该 SSH 服务器。 实施 SSH 的最后一步是启用认证,授权和审计(AAA) 。在你配置 AAA 的时候, 请指定用户名和口令,会话超时时间,一个连接允许的尝试次数。像下面这样使用命令: Router (config)# aaa new-model Router (config)# username BluShin password p4ssw0rd Router (config)# ip ssh time-out Router (config)# ip ssh authentication-retries 要验证你已经配置了 SSH 并且它正运行在你的路由器上,执行下面的命令: Router# show ip ssh 在验证了配置之后, 你就可以强制那些你在 AAA 配置过程中添加的用户使用 SSH, 而不是 Telnet.你也可以在虚拟终端(vty)连接中应用 SSH 而实现同样的目的。这里给出一 个例子:

Router (config)# line vty 0 4 Router (config-line)# transport input SSH 在你关闭现存的 Telnet 会话之前,你需要一个 SSH 终端客户端程序以测试你的配 置。我极力推荐 PuTTY;它是免费的,而且它是一个优秀的终端软件。

IOS 设备配置实例 ________________________________________ Native IOS 设备的配置 a) 软件需求 IOS 版本 12.0.(10)S 以上 含 IPSEC 56 Feature 推荐使用 IOS 12.2 IP PLUS IPSEC 56C 以上版本 基本上 Cisco 全系列路由器都已支持, 但为运行指定版本的软件您可能需要相应地 进行硬件升级 b) 定义用户 user BluShin secret p4ss c) 定义域名 ip domain-name BluShin.cn //配置 SSH 必需 d) 生成密钥 crypto key generate rsa modulus 2048 执行结果: The name for the keys will be: 6509-mize.myrice.com % The key modulus size is 2048 bits Generating RSA keys ... [OK]

e)指定可以用 SSH 登录系统的主机的源 IP 地址 access-list 90 remark Hosts allowed to SSH in //低版本可能不支持 remark 关键字 access-list 90 permit 10.10.1.100 access-list 90 permit 10.10.1.101

f) 限制登录 line con 0 login local line vty 0 4 login local //使用本地定义的用户名和密码登录

transport input SSH //只允许用 SSH 登录(注意:禁止 telnet 和从交换引擎 session!) access-class 90 in //只允许指定源主机登录

2.CatOS CatOS 设备的配置 a) 软件需求 运行 CatOS 的 6500/4000 交换引擎提供 SSH 服务需要一个 6.1 以上“k9”版本的软件, 如: cat6000-sup2cvk9.7-4-3.bin 和 cat4000-k9.6-3-3a.bin. 8540/8510 交换机支持 SSH 需要以上 12.1(12c)EY 版本软件。 3550 交换机支持 SSH 需要 12.1(11)EA1 以上版本软件。 其他交换机可能不支持 SSH. b) 生成密钥 set crypto key rsa 2048 密钥的生成需要 1-2 分钟,执行完毕后可用命令 show crypto key 查看生成的密钥。 c) 限制管理工作站地址 set ip permit 10.10.1.100 ssh //只允许使用 SSH 登录的工作站 set ip permit 10.10.1.101 ssh set ip permit enable ssh //检查 SSH 连接的源地址 set ip permit enable telnet //检查 telnet 连接的源地址 set ip permit enable snmp //检查 snmp 请求的源地址

如果服务的 ip permit 处于 disable 状态,所有的连接将被允许(当然服务如 telnet 本身可能包含用户认证机制) 如果指定服务的 ip permit 处于 enable 状态, 。 则管理工作站的 地址必须事先用 set ip permit <管理工作站 IP 地址> [可选的子网掩码] [允许使用的服务类型 (ssh/telnet/snmp)]来定义 可用命令 show ip permit 来检查 ip permit 的配置 某些服务可能存在安全漏洞 (如 http) 或协议本身设计就是比较不安全的 (如 snmp、 telnet) 。如果服务不是必要的,可以将之关闭;如果服务是必须的,应采取措施保证这些服 务仅向合法用户提供: 6500/4000 交换引擎: set ip http server disable //关闭 http 服务 set ip permit enable snmp //限制 SNMP 源地址 set snmp comm. read-only //清空预设的 SNMP COMM 字 set snmp comm. read-write set snmp comm. read-write-all

8500、7500、MSFC 等 IOS 设备: no ip http server //关闭 http 服务 no snmp //关闭 snmp 服务 no service dhcp //关闭 dhcp 服务 no ip finger //关闭 finger 服务 no service tcp-small-server //关闭 tcp 基本服务 no service udp-small-server //关闭 udp 基本服务 service password-encryption //启用明文密码加密服务

SSH 客户端 a) 从管理工作站登录 必须使用支持 SSH v1 协议的终端仿真程序才能使用 SSH 协议管理设备, 推荐使用 Secure CRT 3.3,也可以使用免费软件 putty.下面介绍使用 Secure CRT 登录 SSH 设备的方法: 运行 Secure CRT 程序, 选择菜单 File – Quick Connect…设置以下参数: Protocol 协 ( 议) ssh1 Hostname : (主机名) 10.10.1.1 Port 端口) 22 Username : ( : (用户名) mize Ciper : (加密方法) 3DES Authentication(认证方式)assword 点击 Connect,这时可能会提示您 : 接受来自设备的加密公钥,选择 Accept once(只用一次)或 Accept & Save (保存密钥以便 下次使用) 。由于协议实现的问题,可能会碰到 SSH Buffer Overflow 的问题,如果出现“收 到大于 16k 的密钥”的提示,请重新连接。连接正常,输入密码即可登录到系统。 第二次登录点击 File – Connect 点击连接 10.10.1.1 即可。 b) 从 IOS 设备用 SSH 协议登录其他设备 IOS 设备也可以发起 SSH 连接请求 (作为 SSH Client) 从 IOS 设备登录支持 3DES , 的 IOS 设备,使用以下命令(-l 指定用户名) : ssh –l mize 10.10.3.3 从 IOS 设备登录支持 DES(56 位)的 IOS,使用以下命令(-c des 指定 1 des 加密 方式) : ssh –c des –l mize 10.10.5.5 从 IOS 设备登录支持 3DES 的 CatOS, 如 6509/4006 的交换引擎,使用如下命令 (无需指定用户名) : ssh 10.10.6.6


相关文章:
H3C 路由器、交换机 SSH配置步骤
H3C 路由器、交换机 SSH配置步骤_计算机硬件及网络_IT/计算机_专业资料。1.1 ...说明: SSH 客户端软件有很多,例如 PuTTY、OpenSSH 等。本文中仅以客户端软件 ...
配置H3C路由器交换机SSH登录
配置H3C 路由器交换机 SSH 登录现在有一些局点的客户在远程登录方面的安全性要求逐步加强, 一般情况下我们 都是配置 telnet 这样的方式来进行远程登录,下面是给出...
在华为路由器上启用ssh
在华为路由器上启用ssh_计算机硬件及网络_IT/计算机_专业资料。项目 SSH 用户名 SSH 用户密码 数据 client001 huawei 备注 若没有配置SSH 用户级别”, 则用户...
验证路由器SSH功能正常
路由器 SSH 功能正常 测试目的:路由器 SSh 功能正常 测试步骤: 1、 搭好网络拓扑图; 2、 给路由器配置好命令; 3、 检查网络的连通性; 4、 验证SSH功能正常...
路由器SSH登录配合Password认证功能的配置
路由器SSH登录配合Password认证功能的配置_计算机硬件及网络_IT/计算机_专业资料。主要讲述如何在路由器启用和配置SSH路由器 SSH 登录配合 Password 认证功能的配置配置...
Cisco设置SSH登陆_图文
SSH 部署 基于上面的测试和 SSH 的安全特性,要实现 Cisco 路由器的安全管理用...(1).Cisco 配置 下面是在 Cisco 上配置 SSH 的相关命令和说明: ra#config ...
MSR系列路由器SSH登录 + Password认证功能的配置
MSR系列路由器SSH登录 + Password认证功能的配置_计算机硬件及网络_IT/计算机_专业资料。H3CMSR 系列路由器 SSH 登录 + Password 认证功能的配置关键词:MSR;SSH;St...
神州数码路由器及交换机配置命令
要是发现有这样的提示信息时,那就 说明局域网中...基本配置: 开启 SSH 服务:debugssh-server 设置特权...路由器 A(router-id: 200.200.200.1)上的配置:...
...log-dhcp中继-路由器配置寄存器-启动过程详解-管理...
ccna笔记 03day-system log-dhcp中继-路由器配置寄存器-启动过程详解-管理配置和ios文件-cdp-ssh_计算机硬件及网络_IT/计算机_专业资料。第一讲: 系统 log SYSTEM...
实验2.9 SSH访问交换机或路由器
实验2.9 SSH 访问交换机/路由器 1.实验目的通过本实验可以掌握: ①SSH 的配置。 ②SSH 的访问方式。 2.实验拓扑 SSH 配置实验拓扑如图 2-1 所示。 图 2-...
更多相关标签:
ssh web.xml配置详解 | ssh配置文件详解 | ssh框架配置图文详解 | ssh框架配置详解 | jenkins ssh配置详解 | ssh框架配置文件详解 | ssh配置详解 | ssh中web.xml配置详解 |