cisco设备开启SSH2远程登陆

路由交换：
1更改主机名：Router（config）#hostname R1
2设置域名:R1 (config)# ip domain-name https://www.360docs.net/doc/0f12876027.html,
3配置加密方式为RSA:R1 (config)# crypto key generate rsa
512推荐1024
关闭：R2(config)#crypto key zeroize rsa
4开启AAA认证：R1(config)# aaa new-model
如果不开启，用下面的用户名将无法登陆
5设置客户吗与密码：R1(config)# username UCRoot password UCRoot@123
6设置SSH超时：R1(config)# ip ssh time-out 120
范围：1-120秒
7开启SSH认证：R1 (config)# ip ssh authentication-retries 5
密码重试次数0-5次
8进入Telnet接口配置模式：R1(config)# line vty 0 4
在Telnet接口模式下使用SSH认证：R1(config-line)# transport input SSH
只允许SSH
9若要用SSH2，配置SSH的版本号：R1 (config)#ip ssh version 2

10如果需要进特权模式，需要配置secret密码：R1（config）#enable secret secret@123

ASA防火墙：
一、基本配置

#hostname name //名字的设置

#interface gigabitethernet0/0 //进入接口0/0
#nameif outside //配置接口名为outside
#security-level 0 //设置安全级别。级别从0--100，级别越高安全级别越高
#ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址
#no shutdown

#interface ethernet0/1 //进入接口0/1
#nameif inside //配置接口名为inside
#security-level 100 //设置安全级别。级别从0--100，级别越高安全级别越高
#ip address 192.168.10.1 255.255.255.0 //设置ip地址
#duplex full //全双工
#speed 100 //速率
#no shutdown

第一步，生成一个key
ciscoasa (config)# crypto key generate rsa
第二步，允许ssh从outside接口登录
ciscoasa (config)# ssh 0.0.0.0 0.0.0.0 outside
第三步，登录密码
默认情况下，用户名是pix，密码为passwd的密码，可通过ciscoasa (config)# passwd ***修改
第四步（附加），为ssh启用本地aaa
ciscoasa (config)# aaa authentication enable console LOCAL //注意：LOCAL要手动大写，不要先小写个 “l”然后按tab，那样就报错。
设置一个本地账号
ciscoasa (config)#username *** password ***

-------------------------
环境我们 CISCO ASA 5540 防火墙应用于服务器机房与公网连接。将G0/0作为outside口，G0/1 作为inside口 G0/3作为failover口

配置思路我分为下边三类：
1 ASA配置
2 网络配置
3 定制配置
4 高级应用配置（failover，vpn，sslvpn）

1 ASA 配置：
故名思意，就是关于ASA的基本配置，如下：

防火墙inside，outside

interface GigabitEthernet0/1
nameif inside
security-level 100 （默认有了）
ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
no shut

interface GigabitEthern

et0/0
nameif outside
security-level 0 （默认有了）
ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
no shut

防火墙SSH管理接口和允许SSH接入管理的IP地址

crypto key generate rsa modulus 1024 （生成密钥）
ssh 0 0 outside （允许outside所有IP接入）
ssh timeout 30 （ssh超时时间）
password 123456 （ssh默认用户密码设置为：123456）
这里的默认用户为：pix 密码为： 123456
给SSH设置本地用户登录
aaa authentication ssh console LOCAL （打开本地用户验证选项）
username test password test （创建本地用户：test，密码：test）
就可以使用用户名密码：test/test登陆了
ssh timeout 20 （超时时间）
ssh version 2 （允许ssh的版本）

telnet管理接口和允许telnet接入管理的IP地址

telnet 172.16.0.192 255.255.255.192 inside （允许telnet的IP段）
telnet timeout 5 （超时）
aaa authentication telnet console LOCAL （启用本地用户验证）
建立用户同上ssh
telnet只允许inside使用telnet

配置asdm功能

http server enable （启用asdm功能）
http 0 0 outside_1 （允许使用asdm访问的主机）
asdm登陆使用本地用户

DHCP功能设置

dhcpd dns 202.96.209.133 202.96.209.5 （DHCP分配的dns地址）
dhcpd address 172.16.0.100-172.16.0.200 inside （dhcp地址池）
dhcpd enable inside （DHCP在那个端口启用）

2 网络配置

网络配置思路：因为ASA默认设置是inside访问outside是所有允许的，outside访问inside是禁止所有数据包，所以在网络设置这块将自己需要的打开就可以了。
配置步骤：
1 inside中将IP地址，主机，IP段添加至acl
2 inside中将acl添加至nat
3 将需要的nat在outside端口进行global
4 如果有需求，配置静态映射
5 配置acl访问控制列表
6 将acl访问控制列表应用于inside端口和outside端口，并制定数据的流向。（一个端口只能应用一个 access-group）
7 在检测网络是否连通的时候，可以打开ICMP数据包的相应，和traceroute数据包的响应

inside中将IP地址，主机，IP段添加至acl

access-list listname extended permit ip 172.16.0.101 any （将172.16.0.101添加到 listname 这个acl）

inside中将acl添加至nat

nat (inside) 1 access-list listname （将listname这个acl添加到 “1”这个nat中）

将需要的nat在outside端口进行global

global (outside) 1 interface （将 “1” 这个n

at在outside口进行global，global成outside端口的ip地址）

配置静态映射

static (inside,outside_1) tcp interface www 172.16.0.101 www netmask 255.255.255.255 （将outside的80端口映射至inside172.16.0.101的80端口）

配置acl访问控制列表

access-list outside extended permit tcp any interface outside_1 eq 80 （定义名为outside的acl，是任何ip都可以使用tcp协议访问outside端口IP地址的80端口）

将acl应用于inside和outside端口

由于inside访问outside区域为所有允许，所以只用将outside端口应用acl即可
access-group outside in interface outside （第一个outside为acl名，第二个outside为asaoutside端口，in 为数据流向，这里是进入）

网络连通性检测

允许ICMP数据包
access-list outside extended permit icmp any any （允许源地址，目的地址都是any的icmp报文）
access-group outside in interface outside （将acl应用于outside端口）
如果要开启traceroute相应，需要对udp数据包设置允许
access-list outside extended permit udp any any （允许UDP数据包）
access-group outside in interface outside （应用于outside端口）

3 定制配置

根据公司应用定制配置，简单明了，添加修改方便，不同应用分开。
引入了object-group的配置
具体如下

object-group network YYXT （定义一个object-group 名为 yyxt）
network-object host 172.16.0.101 （将172.16.0.101主机添加进YYXT）
network-object host 172.16.0.102 同上
network-object host 172.16.0.103 同上上

object-group service YYXT_PORT tcp （定义一个object-group service 名为 YYXT_PORT）
port-object eq www （将80端口添加进YYXT_PORT）
port-object eq ssh 同上

access-list YYXT extended permit ip object-group YYXT any （定义一个acl名为YYXT，使object-group名为YYXT里的主机访问any都允许）
nat (inside) 101 access-list YYXT （将acl YYXT 内的主机添加给 “101” 的nat）
global (outside) 101 interface （将“101” 的nat global为outside 的ip地址）
access-list outside extended permit tcp any interface object-group YYXT_PORT （定义acl名为outside，允许任何主机访问outside端口上YYXT_PORT包含的端口）
static (inside,outside) tcp interface www 172.16.0.101 www netmask 255.255.255.255 （静态映射端口）
static (inside,outside) tcp interface ssh 172.16.0.101 sshnetmask 255.255.255.255

如果希望YYXT中的主机，nat

到公网使用非outside 的IP地址，则：
global (outside) 101 123.123.123.123 netmask 255.255.255.255
access-list outside extended permit tcp any 123.123.123.123 object-group YYXT_PORT
static (inside,outside) tcp 123.123.123.123 www 172.16.0.101 www netmask 255.255.255.255
static (inside,outside) tcp 123.123.123.123 ssh 172.16.0.101 ssh netmask 255.255.255.255
含义如上

针对不用的应用系统，可以定义不同的OBJECT-GROUP，管理方便，添加删除方便

4 高级应用配置

failover
两台ASA5540组成冗余配置，一台出现问题，或者一台链接的网络出现问题，备用机则代替主机承担工作，同时只有一台ASA工作，需要占用一个端口

主备机都配置：
interface g0/3
no shut
（打开g0/3端口）
ASA主机配置：
failover lan unit primary （定义此台ASA为主机）
failover lan interface failover g0/3 （定义在G0/3端口上名为failover的冗余）
failover interface ip failover 172.16.253.254 255.255.255.252 standby 172.16.253.253 （定义名为failover的主备IP地址，这个地址在G0/3上）
failover key ismp （failover key ，两边必须相同）
failover （开启failover功能）

ASA备机配置：
failover lan unit secondary （定义此台ASA为备机）
failover lan interface failover g0/3 （定义在G0/3端口上名为failover的冗余）
failover interface ip failover 172.16.253.254 255.255.255.252 standby 172.16.253.253 （定义名为failover的主备IP地址，这个地址在G0/3上）
failover key ismp （failover key ，两边必须相同）
failover （开启failover功能）

之后备机会同步主机相关配置，但是不会同步 startup-config，保险起见主备机同步完成之后需要执行 wr 相互保存设置