Cisco路由器的SSH配置详解

Cisco路由器的SSH配置详解Cisco路由器的SSH配置详解1：简介本章介绍SSH（Secure Shell）的概念和作用，以及在Cisco路由器上配置SSH所需的前提条件。

2： SSH配置前提条件在本章中，将列出配置SSH所需的前提条件，包括可用的网络连接、适当的IOS版本和路由器的正确配置。

3： RSA密钥对本章详细介绍了RSA密钥对的步骤，并解释了为什么需要这些密钥以及如何保护它们。

4：配置SSH服务器在本章中，将指导您如何配置Cisco路由器作为SSH服务器，包括启用SSH服务、配置目标地址和连接端口。

5：配置SSH客户端本章将介绍如何配置SSH客户端以连接到Cisco路由器。

包括配置SSH客户端认证、配置主机密钥验证和设置SSH会话参数。

6：配置SSH访问控制本章将详细说明如何使用访问控制列表（ACL）和用户认证来限制通过SSH访问的用户和主机。

7： SSH故障排除在本章中，将列出常见的SSH故障，并提供相应的解决方案和调试技巧，以帮助您诊断和解决SSH连接问题。

8：安全性建议在本章中，将提供一些关于保护SSH连接和加强网络安全的最佳实践和建议。

附录附录A：示例配置文件本附录提供了一个示例配置文件，展示了完整的SSH配置。

附录B：常见的法律名词及注释本附录了在本文档中使用的常见法律名词和相应的注释，以帮助读者更好地理解。

附录C：SSH常用命令参考本附录提供了一份SSH常用命令的参考列表，供读者参考和使用。

附件：本文档涉及到的附件包括示例配置文件、命令参考手册等相关文件。

注：本文所涉及的法律名词及注释仅供参考，如有需要，请咨询专业法律顾问。

想对交换机警醒配置。

一般有两种方法：1 、控制台端口（Console ）：可以直接对交换机进行配置2 、远程登录（Telnet）：通过TELNET程序对已经设置了IP的交换机进行远程配置，一般等控制台端口配置好交换机的IP后才可以进行。

除了以上的两种方法外，其实还有两种方法：1 、WEB 的配置方式。

此方法只能配置一般的简单设置2 、硬件自带的应用程序。

专用的程序，一般很少用建立控制台连接到交换机一般交换机自带一根Console 线，一端连接到交换机的Comsole 口，一端连接到电脑的串行口。

打开超级终端，一般就可以连接到交换机。

这样就可以连接到交换机了连接到交换机后，如果是第一次启动会要执行初始化操作，一般是设置交换机的名称，密码等一般的信息。

由于交换机已经初始化，如果要进行初始化操作，那就要进入特权EXEC模式，在命令提示符号下输入：setup，就会启动初始化操作。

刚才讲到了特权EXEC模式，这理就要讲一下觉换机的几种模式，不同的模式可以执行不同的操作命令，首先来说两种基本的模式。

一般为了安全考虑，CISCO将操作会话分为两个不同的访问级别：用户EXEC 级别和特权EXEC级别。

用户EXEC级别只能使用有限的命令，且交换机显示Switch>提示符，不能对交换机进行配置。

看例子，处于用户EXEC级别下的状态：AITG_FrontekCoreSW>特权EXEC级别下交换机显示Switch＃提示符，能对交换机进行各种配置。

看例子，处于特权EXEC级别下的状态：输入en,进入特权EXEC级别，接着输入密码，进入特权EXEC级别AITG_FrontekCoreSW>enPassword:AITG_FrontekCoreSW#看看，提示符变了，用户在用户EXEC级别输入enable(或en),然后输入密码，就可以进入特权EXEC级别在交换机提示符下输入“?”，可以列出相应模式下交换机所支持的所有命令。

Cisco路由器的SSH配置详解配置Cisco路由器的SSH连接是一种安全的远程管理方法，通过该方法可以保护路由器免受未经授权的访问和攻击。

本文将详细介绍如何配置Cisco路由器的SSH连接。

1.配置SSH服务要开始配置SSH连接，首先我们需要确保路由器上已经启用了SSH服务。

SSH服务默认是关闭的，我们需要手动启用它。

打开路由器的命令行界面，通过以下命令进入全局配置模式：```enableconfigure terminal```进入全局配置模式后，输入以下命令启用SSH服务：```ip ssh version 2ip ssh time-out 60ip ssh authentication-retries 3crypto key generate rsa general-keys modulus 2048```以上命令执行的操作分别是：●设定SSH版本为2●设置SSH超时时间为60秒●设置SSH认证重试次数为3次●RSA密钥对，默认长度为2048位2.配置登录用户SSH连接需要提供登录用户名和密码。

在配置SSH之前，我们需要创建一个用户，并为其分配登录权限。

在全局配置模式下，我们可以通过以下命令创建一个用户：```username <username> privilege 15 secret <password>```其中，`<username>`是你想创建的用户名，`<password>`是用户的密码。

`privilege 15`表示给用户赋予最高权限。

3.配置SSH登录方式我们可以选择不同的方式来进行SSH登录，比如使用用户名和密码、使用密钥等。

●使用用户名和密码进行SSH登录在全局配置模式下，使用以下命令配置SSH登录方式为用户名和密码：```line vty 0 4login localtransport input ssh```●使用密钥进行SSH登录使用密钥进行SSH登录可以提供更高的安全性。

Cisco路由器的SSH配置详解SSH（Secure Shell）是一种网络协议，用于在不安全的网络中对远程计算机进行安全的数据传输和远程登录。

本文将详细介绍如何配置Cisco路由器的SSH。

⒈确认软件和硬件要求在开始配置SSH之前，请确保路由器上已安装了支持SSH的适当软件和硬件。

路由器的软件版本必须支持SSH，并且路由器上必须有足够的内存。

确保您有管理员权限来进行配置更改。

⒉ RSA密钥对在配置SSH之前，我们需要先一个RSA密钥对。

密钥对用于加密SSH会话，并提供身份验证和数据完整性。

执行以下命令一个RSA密钥对：```router(config)crypto key generate rsaChoose key size (default: 1024): 2048Generate keys? [yes/no]: yes```在这个示例中，我们选择了2048位的密钥尺寸。

密钥后，我们将使用该密钥进行SSH配置。

⒊启用SSH服务要启用SSH服务，执行以下命令：```router(config)ip ssh version 2router(config)ip ssh time-out 60router(config)ip ssh authentication-retries 2```这些命令设置SSH版本为2，并定义了超时时间和身份验证重试次数。

⒋配置VTY线路下一步是配置终端线（VTY线）以允许SSH登录。

执行以下命令：```router(config)line vty 0 4router(config-line)transport input ssh```这些命令将限制VTY线路仅使用SSH进行远程登录。

⒌配置用户身份验证要使用SSH进行远程登录，我们需要配置用户身份验证。

可以使用本地数据库、RADIUS服务器或TACACS+服务器进行身份验证。

这里我们将配置本地数据库作为示例：```router(config)username admin privilege 15 secret PASSWORDrouter(config)aaa new-modelrouter(config)aaa authentication login default local```在这个示例中，我们创建了一个用户名为“admin”的用户，并指定了密码为“PASSWORD”。

Configuring SSHObjectives∙View the default internetwork configuration.∙Enable SSH.∙Interconnect using SSH.Background/ScenarioTraditionally, remote administrative access on routers was configured using Telnet on TCP port 23. However, Telnet was developed in the days when security was not an issue. For this reason, all Telnet traffic is forwarded in plain text. SSH has replaced Telnet as the best practice for providing remote router administration with connections that support strong privacy and session integrity. SSH uses port TCP 22. It provides functionality that is similar to that of an outbound Telnet connection, except that the connection is encrypted. With authentication and encryption, SSH allows for secure communications over an insecure network. In this configuration, four routers are interconnected in a hub-and-spoke Frame Relay configuration. Router R1 is the hub, and routers R2, R3, and R4 are the spokes. Dynamic routing has been configured using multiarea OSPF.Task 1: View the Default Configuration.Step 1. Verify the Frame Relay configuration on the routers.a. On all four routers, enter user EXEC mode with the password cisco.b. Enter privileged EXEC mode with the password cisco.c. From privileged EXEC mode on all four routers, issue the show frame-relay map command to verify Frame Relay connectivity.Step 2. Verify the routing tables.From privileged EXEC mode on all four routers, issue the show ip route command to verify the all network segments are being advertised.Step 3. Verify connectivity between routers.a. From R1, ping all LAN interfaces to verify connectivity.b. Again from router R1, Telnet to R2 using it’s LAN interface IP address. Exit and repeat the step for routers R3 and R4.Ping other PCs on the same network.Task 2: Configure SSH on the Hub Router (R1).Step 1. Enable and configure SSH on R1.To enable SSH on the router, the following parameters must be configured:- Hostname- Domain name- Asymmetrical keys- Local authenticationa. The hostname on R1 is pre-configured. Therefore configure the domain name using the ip domain-name domain-name command.b. The asymmetrical RSA keys must be generated on R1 using the crypto key generate rsa command. When prompted for a modulus size, specify a modulus of 1024 bits.c. SSH will prompt for a username and password combination when enabled. Therefore, a local username database entry must be configured using the username name password password command. Create a local account for the user admin and password cisco.d. Configure the SSH version using the ip ssh version command. In this lab, we will be configuring to use version 2.e. Next, we need to disable Telnet and enable SSH communication to the VTY lines. To do so, enter the following commands on R1.R1(config)# line vty 0 4R1(config-line)# no transport input allR1(config-line)# transport input sshR1(config-line)# login localR1(config-line)# endf. Save the configuration.Step 2. Check results.Your completion percentage should be 25%. If not, click Check Results to see which required components are not yet completed.Task 3: Configure SSH on the Spoke Routers R2, R3 and R4.Step 1. Configure SSH on routers R2, R3, and R4.Repeat the Steps from Task 2 on routers R2, R3 and R4.Step 2. Check results.Your completion percentage should be 100%. If not, click Check Results to see which required components are not yet completed.Task 4: Verify SSH.Step 1. Verify the SSH configuration.After configuring SSH on all routers, verify the SSH configuration on R1.a. Issue the show ip ssh command to verify which version of SSH is configured, and what the default settings are.R1# sho ip sshSSH Enabled - version 1.99Authentication timeout: 120 secs; Authentication retries: 3b. Next, issue the show ip ssh command to verify if SSH is currently running. R1#show ssh%No SSHv2 server connections running.%No SSHv1 server connections running.Step 2. connect to R2.ext.a. Now Telnet to router R2.ext, to issue the show ip ssh command to verify if SSH is currently running.R1# telnet 10.20.20.1Trying 10.20.20.1 ...[Connection to 10.20.20.1 closed by foreign host]Recall that Telnet was deactivated using the no transport input all command. Only SSH can be used to establish a remote connection.b. Using R1 as the SSH client, SSH to router R2 using the ssh –l username ip-address command.R1#ssh –l admin 10.20.20.1Password:c. When prompted for a password, enter cisco. You should now be connected to router R2.Cisco IOS配置SSH详解【内容摘要】使用telnet进行远程设备维护的时候，由于密码和通讯都是明文的，易受sniffer侦听，所以应采用ssh替代telnet.ssh（secureshell）服务使用tcp22端口，客户端软件发起连接请求后从服务器接受公钥，协商加密方法，成功后所有的通讯都是加密的。

C i s c o路由器的S S H配置详解公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]Cisco路由器的SSH配置详解2008-06-18 13:04如果你一直利用Telnet控制网络设备，你可以考虑采用其他更安全的方式。

本文告诉你如何用SSH替换Telnet.使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令。

很快地，会有人进行监听，并且他们会利用你安全意识的缺乏。

SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。

SSH命令是加密的并以几种方式进行保密。

在使用SSH的时候，一个数字证书将认证客户端（你的工作站）和服务器（你的网络设备）之间的连接，并加密受保护的口令。

SSH1使用RSA加密密钥，SSH2使用数字签名算法（DSA）密钥保护连接和认证。

加密算法包括Blowfish，数据加密标准（DES），以及三重DES（3DES）。

SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。

实施SSH的第一步是验证你的设备支持SSH.请登录你的路由器或交换机，并确定你是否加载了一个支持SSH的IPSec IOS镜像。

在我们的例子中，我们将使用Cisco IOS命令。

运行下面的命令：该命令显示已加载的IOS镜像名称。

你可以用结果对比你的供应商的支持特性列表。

在你验证了你的设备支持SSH之后，请确保设备拥有一个主机名和配置正确的主机域，就像下面的一样：在这个时候，你就可以启用路由器上的SSH服务器。

要启用SSH服务器，你首先必须利用下面的命令产生一对RSA密钥：在路由器上产生一对RSA密钥就会自动启用SSH.如果你删除这对RSA密钥，就会自动禁用该SSH服务器。

实施SSH的最后一步是启用认证，授权和审计（AAA）。

在你配置AAA的时候，请指定用户名和口令，会话超时时间，一个连接允许的尝试次数。

思科路由器SSH配置案例思科路由器SSH配置案例SSH 为建立在应用层基础上的'安全协议。

SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。

利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。

下面是思科路由器SSH 配置案例，希望对你有帮助！1. 配置hostname和ipdomain-nameRouter#configure terminalRouter(config)#hostname R2 //配置ssh的时候路由器的名字不能为routerR2(config)#ip domain-name //配置SSH必需R2(config)#username best password best1或 username best privilege 15 password 7 best1注：添加一个用户：best，口令：best1R2(config)#line vty 0 4R2(config-line)#transport input ssh //只允许用SSH登录(注意：禁止telnet和从交换引擎session!)2. 配置SSH服务：R2(config)#crypto key generate rsaThe name for the keys will be: 注：SSH的关键字名就是hostname + . +ipdomain-nameChoose the size of the key modulus in the range of 360 to 2048 for yourGeneral Purpose Keys. Choosing a key modulus greater than 512 may takea few minutsHow many bits in the modulus [512]: 注：选择加密位数，cisco推荐使用1024Generating RSA keys ...[OK]用命令show ip ssh也能看到：SSH Enabled - version 1.5Authentication timeout: 120 secs; Authentication retries:现在SSH服务已经启动，如果需要停止SSH服务，用以下命令：R2(config)#crypto key zeroize rsa3.设置SSH参数配置好了SSH之后，通过show run命令我们看到SSH默认的参数：超时限定为120秒，认证重试次数为3次，可以通过下面命令进行修改：R2(config)#ip ssh {[time-out seconds]} │ [authentication-retries interger]}如果要把超时限定改为180秒，则应该用：R2(config)# ip ssh time-out 180如果要把重试次数改成5次，则应该用：R2(config)# ip ssh authentication-retries这样，SSH已经在路由器上配置成功了，就能够通过SSH进行安全登录了。

cisco路由器上配置SSH代替Telnet的详细教程Telnet 到Cisco路由器进行远程管理是很多网管的选择，但是通过Telnet传输的数据都是明文，因此这种登录方式存在很大的安全隐患。

一个恶意用户完全可能通过类似Sniffer这样的嗅探工具，在管理员主机或者适当的接口进行本地监听获取管理员登录Cisoc路由器的密码。

1、安全测试：笔者在本地安装了sniffer，然后利用Telnet登录Cisco路由器。

停止嗅探然后解码查看，如图1所示笔者登录路由器进入用户模式和全局模式是输入的密码都明文显示出来了。

虽然密码被拆分成了两部分，但一个有经验的攻击者完全可能将它们进行组合从而获取Cisco 路由器的登录密码。

其实，不仅仅是这些，利用嗅探工具管理员所有在路由器上输入的命令都会被嗅探到。

这样，就算是管理员更改了路由器的密码，并且进行了加密但都可以嗅探得到从上面最后一行Data:后面的那个C就表示我们输入的第一个密码。

再接着查看后面的几个Telnet Data数据包我们就可以看出它的密码。

这样对于我们的网络来说是特别不安全的。

2、SSH的安全性SSH 的英文全称是Secure Shell，是由芬兰的一家公司开发的。

SSH由客户端和服务端的软件组成，有1.x和2.x两个不兼容的版本。

SSH的功能强大，既可以代替Telnet，又可以为FTP、POP3和PPP 提供一个安全的“通道”。

使用SSH，可以把传输的所有数据进行加密。

即使有人截获到数据也无法得到有用的信息。

同时，数据经过压缩，大大地加快传输的速度。

它默认的连接端口是22。

通过使用SSH，可以把所有传输的数据进行加密，这样类似上面的“中间人” 攻击方式就不可能实现了，而且它也能够防止DNS和IP欺骗。

另外，它还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。

3、SSH部署基于上面的测试和SSH的安全特性，要实现Cisco路由器的安全管理用SSH代替Telnet是必要的。

Cisco路由器的SSH配置详解2008-06-18 13:04如果你一直利用Telnet控制网络设备，你可以考虑采用其他更安全的方式。

本文告诉你如何用SSH替换Telnet.使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令。

很快地，会有人进行监听，并且他们会利用你安全意识的缺乏。

SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。

SSH命令是加密的并以几种方式进行保密。

在使用SSH的时候，一个数字证书将认证客户端（你的工作站）和服务器（你的网络设备）之间的连接，并加密受保护的口令。

SSH1使用RSA加密密钥，SSH2使用数字签名算法（DSA）密钥保护连接和认证。

加密算法包括Blowfish，数据加密标准（DES），以及三重DES（3DES）。

SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。

实施SSH的第一步是验证你的设备支持SSH.请登录你的路由器或交换机，并确定你是否加载了一个支持SSH的IPSec IOS镜像。

在我们的例子中，我们将使用Cisco IOS命令。

运行下面的命令：该命令显示已加载的IOS镜像名称。

你可以用结果对比你的供应商的支持特性列表。

在你验证了你的设备支持SSH之后，请确保设备拥有一个主机名和配置正确的主机域，就像下面的一样：在这个时候，你就可以启用路由器上的SSH服务器。

要启用SSH服务器，你首先必须利用下面的命令产生一对RSA密钥：在路由器上产生一对RSA密钥就会自动启用SSH.如果你删除这对RSA密钥，就会自动禁用该SSH服务器。

实施SSH的最后一步是启用认证，授权和审计（AAA）。

在你配置AAA的时候，请指定用户名和口令，会话超时时间，一个连接允许的尝试次数。

像下面这样使用命令：要验证你已经配置了SSH并且它正运行在你的路由器上，执行下面的命令：在验证了配置之后，你就可以强制那些你在AAA配置过程中添加的用户使用SSH，而不是Telnet.你也可以在虚拟终端（vty）连接中应用SSH而实现同样的目的。

详解CISCO路由密码设置与SSH登录设置cisco是全球领先的网络解决方案供应商，其设备的设置方法与其他网络设备也不一样，欢迎大家来到店铺，本文为大带来详解CISCO 路由密码设置与SSH登录设置，欢迎大家阅读借鉴。

详解CISCO路由密码设置与SSH登录设置1，CISCO 最基本的实验，密码设置全局模式口令R1#configure terminalR1(config)#enable password XXXX控制台登录口令：router#config terminalrouter(config)#line console 0router(config-line)#exec-timeout 0 0 //设置控制台超时值为零，即决不超时，默认是10分钟router(config-line)#logging synchronous //阻止由于不稳定而产生的恼人的控制台信息router(config-line)#password XXXXXXrouter(config-line)#loginTelnet口令：Router(config)#line vty 0 4 //没有运行Cisco IOS企业版的路由器默认时有5条VTY线路(0~4)Router(config-line)#password XXXXXXRouter(config-line)#login //可以使用no login 命令告诉路由器，允许建立无口令验证的Telnet连接遇到的问题：1，没有设置enable密码，是无通过telnet进去特权模式的，只能通过console口登录。

2，CISCO ssh登录的设置ra#config terminalra(config)#ip domain-name //配置一个域名ra(config)#crypto key generate rsa general-keys modulus 1024//生成一个rsa算法的密钥，密钥为1024位(提示：在Cisoc中rsa支持360-2048位，该算法的原理是：主机将自己的公用密钥分发给相关的客户机，客户机在访问主机时则使用该主机的公开密钥来加密数据，主机则使用自己的私有的密钥来解密数据，从而实现主机密钥认证，确定客户机的可靠身份。

设置安全外壳(SSH)一、设置口令Router>enable\\从用户模式进入特权模式Router#config terminal \\进入配置模式Router(config)#hostname R1\\设置设备名称为R1R1(config)#no ip domain-lookup\\关闭动态域名解析R1(config)#enable passworddesen\\设置启用口令为desenR1(config)#enable secret desen301\\设置加密口令为desen301，替代启用口令R1(config)#service password-encryption\\启用密码加密服务R1(config)#line console 0\\进入console 0口R1(config-line)#no exec-timeout\\关闭会话超时R1(config-line)#logging synchronous\\关闭日志同步，以免弹出不必要的日志信息R1(config-line)#password cisco7200\\设置console登陆口令为cisco7200R1(config-line)#login \\启用认证功能，如果没有设置线路密码则该线路不使用R1(config-line)#exit\\退出控制台接口配置模式R1(config)#line vty 0 1869\\进入VTY线路0到1869R1(config-line)#password telnet1869\\设置telnet密码为telnet1869R1(config-line)#login\\启用VTY认证功能R1(config-line)# nologin\\关闭VTY认证功能，可直接telnetR1(config-line)#exit\\退出vty线路配置模式二、设置安全外壳(SSH)Router>enableRouter#config terminalRouter(config)#hostname R1R1(config)#no ip domain-lookupR1(config)#enable secret desen301R1(config)#service password-encryptionR1(config)#interface fastEthernet 0/0R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#ip domain-name \\设置域名(在生成加密密码时需要用到用户名和域名)R1(config)#username desen password desen301\\创建用户desen密码为desen301R1(config)#crypto key generate rsa general-keys modulus 2048\\生成一个rsa算法的密钥，密钥为1024位R1(config)#ip ssh time-out 60\\设置最大空闲时间为60秒R1(config)#ip ssh authentication-retries 2\\最大失败尝试次数为2R1(config)#line vty 0 1869\\进入vty 0到1869线路R1(config-line)#transport input ssh\\设置ssh为vty线路协议R1(config-line)#login local\\使用本址认证(可以不设置vty线路密码)客户端连接R2#ssh-l desen 192.168.1.1 \\SSH登陆192.168.1.1，用户名为desen Password:\\输入desen用户密码R1>enablePassword:\\输入加密密码(secret)R1#\\成功进入特权模式。

cisco交换机上配置SSHcisco思科是全球领先的大品牌，相信很多人也不陌生，那么你知道cisco交换机上配置SSH吗?下面是小编整理的一些关于cisco交换机上配置SSH的相关资料，供你参考。

cisco交换机上配置SSH：在Cisco路由器产品系列中只有7200系列、7500系列和12000系列(GSR)等高端产品的IOS支持SSH.一般支持SSH的IOS 版本文件名中都带有K3或者K4字样，K3 代表56bit SSH 加密，K4代表168bit SSH加密。

如我省省网GSR 12016和12008上用的IOS 就是一个支持56bit SSH 加密的版本。

目前Cisco的产品只支持SSH-1，还不支持SSH-2.下面以GSR 12008为例详细介绍SSH-1的配置方法(斜体字为配置输入的命令)：①配置hostname和ip domain-name：Router#configure terminalRouter(config)#hostname TEST-GSR12008TEST-GSR12008(config)#ip domain-name ②配置登录用户名和密码(以本地认证为例)：TEST-GSR12008(config)#username test password 0 test 注：添加一个用户：test，口令：testTEST-GSR12008(config)#line vty 0 4TEST-GSR12008(config-line)#login local在这两部分做完以后，用show run命令就能够看到：hostname TEST-GSR12008boot system flash gsr-k3p-mz.120-14.S.binenable secret 5 $1$DMyW$gdSIOkCr7p8ytwcRwtnJG. enable password 7 094F47C31A0A!username test password 7 0835495D1Dclock timezone PRC 16redundancymain-cpuauto-sync startup-config!!!!ip subnet-zerono ip fingerip domain-name ip name-server 202.101.224.68ip name-server 202.101.226.68!③配置SSH服务：TEST-GSR12008(config)#crypto key generate rsaThe name for the keys will be: 注：SSH的关键字名就是hostname + . +ip domain-name Choose the size of the key modulus in the range of 360 to 2048 for yourGeneral Purpose Keys. Choosing a key modulus greater than 512 may takea few minutes.How many bits in the modulus [512]: 注：选择加密位数，用默认就行了Generating RSA keys ...[OK]TEST-GSR12008(config)#endTEST-GSR12008#writeBuilding configuration...这时候用show run命令可以看到：ip subnet-zerono ip fingerip domain-name ip name-server 202.101.224.68 ip name-server 202.101.226.68 ip ssh time-out 120ip ssh authentication-retries 3!用命令show ip ssh也能看到：SSH Enabled - version 1.5Authentication timeout: 120 secs; Authentication retries: 3现在SSH服务已经启动，如果需要停止SSH服务，用以下命令：TEST-GSR12008(config)#crypto key zeroize rsa④设置SSH参数配置好了SSH之后，通过show run命令我们看到SSH默认的参数：超时限定为120秒，认证重试次数为3次，可以通过下面命令进行修改：TEST-GSR12008(config)#ip ssh {[time-out seconds]} | [authentication-retries interger]}如果要把超时限定改为180秒，则应该用：TEST-GSR12008(config)# ip ssh time-out 180 如果要把重试次数改成5次，则应该用：TEST-GSR12008(config)# ip ssh authentication-retries 5这样，SSH已经在路由器上配置成功了，就能够通过SSH 进行安全登录了看过文章“cisco交换机上配置SSH”的人还看了：1.cisco思科路由器设置2.思科路由器怎么进入思科路由器怎么设置3.思科路由器控制端口连接图解4.思科路由器基本配置教程5.如何进入cisco路由器6.cisco怎么进端口7.cisco如何看未接来电8.cisco常用命令9.详解思科route print10.思科路由器恢复出厂配置的方法有哪些。

思科认证CiSCO交换机配置与SSH登陆操作命令详解本⽂实例讲述了思科认证CiSCO 交换机配置与SSH 登陆操作命令。

分享给⼤家供⼤家参考，具体如下：题⽬：在三层交换机上仅运⾏ SSH 服务，且⽤户名和密码的⽅式登录交换机。

（⼀）了解主机名与域名1、"主机名" 为该设备的名称2、"域名" 为该设备所属的所属者（⼆）配置主机名与域名1、进⼊特权模式ESW1#configure terminalEnter configuration commands, one per line. End with CNTL/Z.2、配置主机名ESW1(config)#hostname rabbitrabbit(config)#3、配置域名rabbit(config)#ip domain-name ?WORD Default domain namevrf Specify VRFrabbit(config)#ip domain-name irabe.merabbit(config)#do show ip domain-nameirabe.me（三）了解什么是 line1、”line“ 命令有多个选项参数rabbit(config)#line ?<0-198> First Line numberaux Auxiliary lineconsole Primary terminal linetty Terminal controller (终端控制器)vty Virtual terminal （虚拟控制器）x/y Slot/Port for Modems2、”who“ 查看当前⾃⼰所在位置rabbit(config)#do whoLine User Host(s) Idle Location* 0 con 0 idle 00:00:00（四）配置 line 选项卡1、建⽴ ssh ⽤户rabbit(config)#aaa new-modelThe aaa new-model command causes the local username and password on the routerrabbit(config)#username cisco password 0 cisco2、配置 ssh 密码rabbit(config)#crypto key zeroize rsa清空 rsa 模式的 crypto 密码rabbit(config)#crypto key generate rsarabbit(config)#ip ssh version 2rabbit(config)#do show ip sshSSH Enabled - version 2.0Authentication timeout: 120 secs; Authentication retries: 53、配置⼀些信息rabbit(config-line)#exitrabbit(config)#ip ssh ?authentication-retries Specify number of authentication retries ( 指明 authentication 尝试次数 )break-string break-stringlogging Configure logging for SSHmaxstartups Maximum concurrent sessions allowedport Starting (or only) Port number to listen onrsa Configure RSA keypair name for SSHsource-interface Specify interface for source address in SSHconnectionstime-out Specify SSH time-out interval （指明 SSH 超时间隔）version Specify protocol version to be supported ( sshv2 Or sshv1 ）4、配置 vty 传输模式rabbit(config)#line vty 0VTY是路由器的远程登陆的虚拟端⼝，0 4表⽰可以同时打开5个会话。

C i s c o路由器的S S H配置详解公司标准化编码 [QQX96QT-XQQB89Q8-NQQJ6Q8-MQM9N]Cisco路由器的SSH配置详解2008-06-18 13:04如果你一直利用Telnet控制网络设备，你可以考虑采用其他更安全的方式。

本文告诉你如何用SSH替换Telnet.使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令。

很快地，会有人进行监听，并且他们会利用你安全意识的缺乏。

SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。

SSH命令是加密的并以几种方式进行保密。

在使用SSH的时候，一个数字证书将认证客户端（你的工作站）和服务器（你的网络设备）之间的连接，并加密受保护的口令。

SSH1使用RSA加密密钥，SSH2使用数字签名算法（DSA）密钥保护连接和认证。

加密算法包括Blowfish，数据加密标准（DES），以及三重DES（3DES）。

SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。

实施SSH的第一步是验证你的设备支持SSH.请登录你的路由器或交换机，并确定你是否加载了一个支持SSH的IPSec IOS镜像。

在我们的例子中，我们将使用Cisco IOS命令。

运行下面的命令：该命令显示已加载的IOS镜像名称。

你可以用结果对比你的供应商的支持特性列表。

在你验证了你的设备支持SSH之后，请确保设备拥有一个主机名和配置正确的主机域，就像下面的一样：在这个时候，你就可以启用路由器上的SSH服务器。

要启用SSH服务器，你首先必须利用下面的命令产生一对RSA密钥：在路由器上产生一对RSA密钥就会自动启用SSH.如果你删除这对RSA密钥，就会自动禁用该SSH服务器。

实施SSH的最后一步是启用认证，授权和审计（AAA）。

在你配置AAA的时候，请指定用户名和口令，会话超时时间，一个连接允许的尝试次数。