您的位置:360文档中心› Cisco路由器的SSH配置详解

Cisco路由器的SSH配置详解

合集下载

Cisco路由器的SSH配置详解

Cisco路由器的SSH配置详解

Cisco路由器的SSH配置详解Cisco路由器的SSH配置详解1:简介本章介绍SSH(Secure Shell)的概念和作用,以及在Cisco路由器上配置SSH所需的前提条件。

2: SSH配置前提条件在本章中,将列出配置SSH所需的前提条件,包括可用的网络连接、适当的IOS版本和路由器的正确配置。

3: RSA密钥对本章详细介绍了RSA密钥对的步骤,并解释了为什么需要这些密钥以及如何保护它们。

4:配置SSH服务器在本章中,将指导您如何配置Cisco路由器作为SSH服务器,包括启用SSH服务、配置目标地址和连接端口。

5:配置SSH客户端本章将介绍如何配置SSH客户端以连接到Cisco路由器。

包括配置SSH客户端认证、配置主机密钥验证和设置SSH会话参数。

6:配置SSH访问控制本章将详细说明如何使用访问控制列表(ACL)和用户认证来限制通过SSH访问的用户和主机。

7: SSH故障排除在本章中,将列出常见的SSH故障,并提供相应的解决方案和调试技巧,以帮助您诊断和解决SSH连接问题。

8:安全性建议在本章中,将提供一些关于保护SSH连接和加强网络安全的最佳实践和建议。

附录附录A:示例配置文件本附录提供了一个示例配置文件,展示了完整的SSH配置。

附录B:常见的法律名词及注释本附录了在本文档中使用的常见法律名词和相应的注释,以帮助读者更好地理解。

附录C:SSH常用命令参考本附录提供了一份SSH常用命令的参考列表,供读者参考和使用。

附件:本文档涉及到的附件包括示例配置文件、命令参考手册等相关文件。

注:本文所涉及的法律名词及注释仅供参考,如有需要,请咨询专业法律顾问。

cisco ssh配置

cisco ssh配置

想对交换机警醒配置。

一般有两种方法:1 、控制台端口(Console ):可以直接对交换机进行配置2 、远程登录(Telnet):通过TELNET程序对已经设置了IP的交换机进行远程配置,一般等控制台端口配置好交换机的IP后才可以进行。

除了以上的两种方法外,其实还有两种方法:1 、WEB 的配置方式。

此方法只能配置一般的简单设置2 、硬件自带的应用程序。

专用的程序,一般很少用建立控制台连接到交换机一般交换机自带一根Console 线,一端连接到交换机的Comsole 口,一端连接到电脑的串行口。

打开超级终端,一般就可以连接到交换机。

这样就可以连接到交换机了连接到交换机后,如果是第一次启动会要执行初始化操作,一般是设置交换机的名称,密码等一般的信息。

由于交换机已经初始化,如果要进行初始化操作,那就要进入特权EXEC模式,在命令提示符号下输入:setup,就会启动初始化操作。

刚才讲到了特权EXEC模式,这理就要讲一下觉换机的几种模式,不同的模式可以执行不同的操作命令,首先来说两种基本的模式。

一般为了安全考虑,CISCO将操作会话分为两个不同的访问级别:用户EXEC 级别和特权EXEC级别。

用户EXEC级别只能使用有限的命令,且交换机显示Switch>提示符,不能对交换机进行配置。

看例子,处于用户EXEC级别下的状态:AITG_FrontekCoreSW>特权EXEC级别下交换机显示Switch#提示符,能对交换机进行各种配置。

看例子,处于特权EXEC级别下的状态:输入en,进入特权EXEC级别,接着输入密码,进入特权EXEC级别AITG_FrontekCoreSW>enPassword:AITG_FrontekCoreSW#看看,提示符变了,用户在用户EXEC级别输入enable(或en),然后输入密码,就可以进入特权EXEC级别在交换机提示符下输入“?”,可以列出相应模式下交换机所支持的所有命令。

Cisco路由器的SSH配置详解

Cisco路由器的SSH配置详解

Cisco路由器的SSH配置详解配置Cisco路由器的SSH连接是一种安全的远程管理方法,通过该方法可以保护路由器免受未经授权的访问和攻击。

本文将详细介绍如何配置Cisco路由器的SSH连接。

1.配置SSH服务要开始配置SSH连接,首先我们需要确保路由器上已经启用了SSH服务。

SSH服务默认是关闭的,我们需要手动启用它。

打开路由器的命令行界面,通过以下命令进入全局配置模式:```enableconfigure terminal```进入全局配置模式后,输入以下命令启用SSH服务:```ip ssh version 2ip ssh time-out 60ip ssh authentication-retries 3crypto key generate rsa general-keys modulus 2048```以上命令执行的操作分别是:●设定SSH版本为2●设置SSH超时时间为60秒●设置SSH认证重试次数为3次●RSA密钥对,默认长度为2048位2.配置登录用户SSH连接需要提供登录用户名和密码。

在配置SSH之前,我们需要创建一个用户,并为其分配登录权限。

在全局配置模式下,我们可以通过以下命令创建一个用户:```username <username> privilege 15 secret <password>```其中,`<username>`是你想创建的用户名,`<password>`是用户的密码。

`privilege 15`表示给用户赋予最高权限。

3.配置SSH登录方式我们可以选择不同的方式来进行SSH登录,比如使用用户名和密码、使用密钥等。

●使用用户名和密码进行SSH登录在全局配置模式下,使用以下命令配置SSH登录方式为用户名和密码:```line vty 0 4login localtransport input ssh```●使用密钥进行SSH登录使用密钥进行SSH登录可以提供更高的安全性。

Cisco路由器的SSH配置详解

Cisco路由器的SSH配置详解

Cisco路由器的SSH配置详解SSH(Secure Shell)是一种网络协议,用于在不安全的网络中对远程计算机进行安全的数据传输和远程登录。

本文将详细介绍如何配置Cisco路由器的SSH。

⒈确认软件和硬件要求在开始配置SSH之前,请确保路由器上已安装了支持SSH的适当软件和硬件。

路由器的软件版本必须支持SSH,并且路由器上必须有足够的内存。

确保您有管理员权限来进行配置更改。

⒉ RSA密钥对在配置SSH之前,我们需要先一个RSA密钥对。

密钥对用于加密SSH会话,并提供身份验证和数据完整性。

执行以下命令一个RSA密钥对:```router(config)crypto key generate rsaChoose key size (default: 1024): 2048Generate keys? [yes/no]: yes```在这个示例中,我们选择了2048位的密钥尺寸。

密钥后,我们将使用该密钥进行SSH配置。

⒊启用SSH服务要启用SSH服务,执行以下命令:```router(config)ip ssh version 2router(config)ip ssh time-out 60router(config)ip ssh authentication-retries 2```这些命令设置SSH版本为2,并定义了超时时间和身份验证重试次数。

⒋配置VTY线路下一步是配置终端线(VTY线)以允许SSH登录。

执行以下命令:```router(config)line vty 0 4router(config-line)transport input ssh```这些命令将限制VTY线路仅使用SSH进行远程登录。

⒌配置用户身份验证要使用SSH进行远程登录,我们需要配置用户身份验证。

可以使用本地数据库、RADIUS服务器或TACACS+服务器进行身份验证。

这里我们将配置本地数据库作为示例:```router(config)username admin privilege 15 secret PASSWORDrouter(config)aaa new-modelrouter(config)aaa authentication login default local```在这个示例中,我们创建了一个用户名为“admin”的用户,并指定了密码为“PASSWORD”。

SSH与路由访问安全配置

SSH与路由访问安全配置
service tcp-keepalives-in //路由器没有收到远程系统响应时,会自动关闭连接,减少被DOS攻击的机会
username ccnp privilege 15 secret cisco 123 //创建SSH登入的用户名和密码
access-list 1 permit 192.168.1.0 0.0.0.255 //定义允许SSH访问ACL
line vty 0 4
login local //本地验证
access-class 1 in //限定通过SSH访问路由器的主机,这样可以大大减少被攻击的机会
transport input ssh //指允许用户通过SSH登入到路由器,默认是ALL
exec-timeout 5 30 //配置超时时间,当用户在5分30秒内没有任何输入,将自动注销,这样可以减小因离开等因素带来的安全隐含
ip ssh time-out 120 //配置SSH登入超时时间
ip ssh authentication-retries 3 //配置SSH用户登入验证最大次数
把路由器当做SSH客户端登入
ssh -l 登入名 IP地址
conf t
ip domain-name //配置域名,SSH必须配置
crypto key generate rsa general-keys modulus 1024 //产生1024比特的RSA密钥,如果配置SSH版本2,至少要768比特
ip ssh version 2 //配置SSH版本2
login delay 10 //配置用户登入成功后,10秒后才能再次登入
login on-failure log //配置登入失败会在日志中记录

cisco_Configuring_SSH

cisco_Configuring_SSH

Configuring SSHObjectives∙View the default internetwork configuration.∙Enable SSH.∙Interconnect using SSH.Background/ScenarioTraditionally, remote administrative access on routers was configured using Telnet on TCP port 23. However, Telnet was developed in the days when security was not an issue. For this reason, all Telnet traffic is forwarded in plain text. SSH has replaced Telnet as the best practice for providing remote router administration with connections that support strong privacy and session integrity. SSH uses port TCP 22. It provides functionality that is similar to that of an outbound Telnet connection, except that the connection is encrypted. With authentication and encryption, SSH allows for secure communications over an insecure network. In this configuration, four routers are interconnected in a hub-and-spoke Frame Relay configuration. Router R1 is the hub, and routers R2, R3, and R4 are the spokes. Dynamic routing has been configured using multiarea OSPF.Task 1: View the Default Configuration.Step 1. Verify the Frame Relay configuration on the routers.a. On all four routers, enter user EXEC mode with the password cisco.b. Enter privileged EXEC mode with the password cisco.c. From privileged EXEC mode on all four routers, issue the show frame-relay map command to verify Frame Relay connectivity.Step 2. Verify the routing tables.From privileged EXEC mode on all four routers, issue the show ip route command to verify the all network segments are being advertised.Step 3. Verify connectivity between routers.a. From R1, ping all LAN interfaces to verify connectivity.b. Again from router R1, Telnet to R2 using it’s LAN interface IP address. Exit and repeat the step for routers R3 and R4.Ping other PCs on the same network.Task 2: Configure SSH on the Hub Router (R1).Step 1. Enable and configure SSH on R1.To enable SSH on the router, the following parameters must be configured:- Hostname- Domain name- Asymmetrical keys- Local authenticationa. The hostname on R1 is pre-configured. Therefore configure the domain name using the ip domain-name domain-name command.b. The asymmetrical RSA keys must be generated on R1 using the crypto key generate rsa command. When prompted for a modulus size, specify a modulus of 1024 bits.c. SSH will prompt for a username and password combination when enabled. Therefore, a local username database entry must be configured using the username name password password command. Create a local account for the user admin and password cisco.d. Configure the SSH version using the ip ssh version command. In this lab, we will be configuring to use version 2.e. Next, we need to disable Telnet and enable SSH communication to the VTY lines. To do so, enter the following commands on R1.R1(config)# line vty 0 4R1(config-line)# no transport input allR1(config-line)# transport input sshR1(config-line)# login localR1(config-line)# endf. Save the configuration.Step 2. Check results.Your completion percentage should be 25%. If not, click Check Results to see which required components are not yet completed.Task 3: Configure SSH on the Spoke Routers R2, R3 and R4.Step 1. Configure SSH on routers R2, R3, and R4.Repeat the Steps from Task 2 on routers R2, R3 and R4.Step 2. Check results.Your completion percentage should be 100%. If not, click Check Results to see which required components are not yet completed.Task 4: Verify SSH.Step 1. Verify the SSH configuration.After configuring SSH on all routers, verify the SSH configuration on R1.a. Issue the show ip ssh command to verify which version of SSH is configured, and what the default settings are.R1# sho ip sshSSH Enabled - version 1.99Authentication timeout: 120 secs; Authentication retries: 3b. Next, issue the show ip ssh command to verify if SSH is currently running. R1#show ssh%No SSHv2 server connections running.%No SSHv1 server connections running.Step 2. connect to R2.ext.a. Now Telnet to router R2.ext, to issue the show ip ssh command to verify if SSH is currently running.R1# telnet 10.20.20.1Trying 10.20.20.1 ...[Connection to 10.20.20.1 closed by foreign host]Recall that Telnet was deactivated using the no transport input all command. Only SSH can be used to establish a remote connection.b. Using R1 as the SSH client, SSH to router R2 using the ssh –l username ip-address command.R1#ssh –l admin 10.20.20.1Password:c. When prompted for a password, enter cisco. You should now be connected to router R2.Cisco IOS配置SSH详解【内容摘要】使用telnet进行远程设备维护的时候,由于密码和通讯都是明文的,易受sniffer侦听,所以应采用ssh替代telnet.ssh(secureshell)服务使用tcp22端口,客户端软件发起连接请求后从服务器接受公钥,协商加密方法,成功后所有的通讯都是加密的。

Cisco路由器的SSH配置详解

Cisco路由器的SSH配置详解

C i s c o路由器的S S H配置详解公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]Cisco路由器的SSH配置详解2008-06-18 13:04如果你一直利用Telnet控制网络设备,你可以考虑采用其他更安全的方式。

本文告诉你如何用SSH替换Telnet.使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令。

很快地,会有人进行监听,并且他们会利用你安全意识的缺乏。

SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。

SSH命令是加密的并以几种方式进行保密。

在使用SSH的时候,一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接,并加密受保护的口令。

SSH1使用RSA加密密钥,SSH2使用数字签名算法(DSA)密钥保护连接和认证。

加密算法包括Blowfish,数据加密标准(DES),以及三重DES(3DES)。

SSH保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。

实施SSH的第一步是验证你的设备支持SSH.请登录你的路由器或交换机,并确定你是否加载了一个支持SSH的IPSec IOS镜像。

在我们的例子中,我们将使用Cisco IOS命令。

运行下面的命令:该命令显示已加载的IOS镜像名称。

你可以用结果对比你的供应商的支持特性列表。

在你验证了你的设备支持SSH之后,请确保设备拥有一个主机名和配置正确的主机域,就像下面的一样:在这个时候,你就可以启用路由器上的SSH服务器。

要启用SSH服务器,你首先必须利用下面的命令产生一对RSA密钥:在路由器上产生一对RSA密钥就会自动启用SSH.如果你删除这对RSA密钥,就会自动禁用该SSH服务器。

实施SSH的最后一步是启用认证,授权和审计(AAA)。

在你配置AAA的时候,请指定用户名和口令,会话超时时间,一个连接允许的尝试次数。

思科路由器SSH配置案例

思科路由器SSH配置案例

思科路由器SSH配置案例思科路由器SSH配置案例SSH 为建立在应用层基础上的'安全协议。

SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。

利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。

下面是思科路由器SSH 配置案例,希望对你有帮助!1. 配置hostname和ipdomain-nameRouter#configure terminalRouter(config)#hostname R2 //配置ssh的时候路由器的名字不能为routerR2(config)#ip domain-name //配置SSH必需R2(config)#username best password best1或 username best privilege 15 password 7 best1注:添加一个用户:best,口令:best1R2(config)#line vty 0 4R2(config-line)#transport input ssh //只允许用SSH登录(注意:禁止telnet和从交换引擎session!)2. 配置SSH服务:R2(config)#crypto key generate rsaThe name for the keys will be: 注:SSH的关键字名就是hostname + . +ipdomain-nameChoose the size of the key modulus in the range of 360 to 2048 for yourGeneral Purpose Keys. Choosing a key modulus greater than 512 may takea few minutsHow many bits in the modulus [512]: 注:选择加密位数,cisco推荐使用1024Generating RSA keys ...[OK]用命令show ip ssh也能看到:SSH Enabled - version 1.5Authentication timeout: 120 secs; Authentication retries:现在SSH服务已经启动,如果需要停止SSH服务,用以下命令:R2(config)#crypto key zeroize rsa3.设置SSH参数配置好了SSH之后,通过show run命令我们看到SSH默认的参数:超时限定为120秒,认证重试次数为3次,可以通过下面命令进行修改:R2(config)#ip ssh {[time-out seconds]} │ [authentication-retries interger]}如果要把超时限定改为180秒,则应该用:R2(config)# ip ssh time-out 180如果要把重试次数改成5次,则应该用:R2(config)# ip ssh authentication-retries这样,SSH已经在路由器上配置成功了,就能够通过SSH进行安全登录了。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

C i s c o路由器的S S H配
置详解
The document was finally revised on 2021
Cisco路由器的SSH配置详解
2008-06-18 13:04
如果你一直利用Telnet控制网络设备,你可以考虑采用其他更安全的方式。

本文告诉你如何用SSH替换Telnet.
使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令。

很快地,会有人进行监听,并且他们会利用你安全意识的缺乏。

SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。

SSH命令是加密的并以几种方式进行保密。

在使用SSH的时候,一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接,并加密受保护的口令。

SSH1使用RSA加密密钥,SSH2使用数字签名算法(DSA)密钥保护连接和认证。

加密算法包括Blowfish,数据加密标准(DES),以及三重DES
(3DES)。

SSH保护并且有助于防止欺骗,“中间人”攻击,以及数据包监听。

实施SSH的第一步是验证你的设备支持SSH.请登录你的路由器或交换机,并确定你是否加载了一个支持SSH的IPSec IOS镜像。

在我们的例子中,我们将使用Cisco IOS命令。

运行下面的命令:
该命令显示已加载的IOS镜像名称。

你可以用结果对比你的供应商的支持特性列表。

在你验证了你的设备支持SSH之后,请确保设备拥有一个主机名和配置正确的主机域,就像下面的一样:
在这个时候,你就可以启用路由器上的SSH服务器。

要启用SSH服务器,你首先必须利用下面的命令产生一对RSA密钥:
在路由器上产生一对RSA密钥就会自动启用SSH.如果你删除这对RSA密钥,就会自动禁用该SSH服务器。

实施SSH的最后一步是启用认证,授权和审计(AAA)。

在你配置AAA的时候,请指定用户名和口令,会话超时时间,一个连接允许的尝试次数。

像下面这样使用命令:
要验证你已经配置了SSH并且它正运行在你的路由器上,执行下面的命令:
在验证了配置之后,你就可以强制那些你在AAA配置过程中添加的用户使用SSH,而不是Telnet.你也可以在虚拟终端(vty)连接中应用SSH而实现同样的目的。

这里给出一个例子:
在你关闭现存的Telnet会话之前,你需要一个SSH终端客户端程序以测试你的配置。

我极力推荐PuTTY;它是免费的,而且它是一个优秀的终端软件。

IOS设备配置实例
Native IOS设备的配置
a)软件需求
IOS版本.(10)S 以上含IPSEC 56 Feature
推荐使用 IOS IP PLUS IPSEC 56C以上版本
基本上Cisco全系列路由器都已支持,但为运行指定版本的软件您可能需要相应地进行硬件升级
b ) 定义用户
user BluShin secret p4ss c ) 定义域名
ip domain-name e )指定可以用SSH 登录系统
的主机的源IP 地址
) 限制登录 7-4-3bin 和 8540/8510交换机支持SSH 需要以上(12c )EY 版
本软件。

3550交换机支持SSH 需要(11)EA1以上版本软件。

其他交换机可能不支持SSH. b ) 生成密钥
set crypto key rsa 2048
密钥的生成需要1-2分钟,执行完毕后可用命令show crypto key 查看生成的密钥。

c ) 限制管理工作站地址
8500、7500、MSFC 等IOS 设备:
面介绍使用
Secure CRT 登录SSH 设备的方法:
运行Secure CRT程序,选择菜单File –Quick Connect…设置以下参数:Protocol(协议): ssh1 Hostname(主机名): 10.10.1.1 Port(端口): 22 Username(用户名): mize Ciper(加密方法): 3DES Authentication(认证方式)assword 点击Connect,这时可能会提示您接受来自设备的加密公钥,选择Accept once(只用一次)或Accept & Save (保存密钥以便下次使用)。

由于协议实现的问题,可能会碰到SSH Buffer Overflow的问题,如果出现“收到大于16k的密钥”的提示,请重新连接。

连接正常,输入密码即可登录到系统。

第二次登录点击File – Connect 点击连接10.10.1.1即可。

b)从IOS设备用SSH协议登录其他设备
IOS设备也可以发起SSH连接请求(作为SSH Client),从IOS设备登录支持3DES的IOS设备,使用以下命令(-l 指定用户名):
ssh –l mize 10.10.3.3
从IOS设备登录支持 DES(56位)的IOS,使用以下命令(-c des指定1 des加密方式):
ssh –c des –l mize 10.10.5.5
从IOS设备登录支持 3DES的CatOS,如6509/4006的交换引擎,使用如下命令(无需指定用户名):
ssh 10.10.6.6。

相关文档
最新文档