cisco IOS SSH 配置示例及详解,telnet ssh共存配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
cisco IOS SSH 配置示例及详解
使用telnet进行远程设备维护的时候,由于密码和通讯都是明文的,易受sniffer侦听,所以应采用SSH替代telnet。SSH (Secure Shell)服务使用tcp 22 端口,客户端软件发起连接请求后从服务器接受公钥,协商加密方法,成功后所有的通讯都是加密的。Cisco 设备目前支持SSH v1、v2,目前几乎所有cisco路由交换产品均支持SSH但要求IOS版本支持安全特性。Cisco实现 SSH的目的在于提供较安全的设备管理连接,不适用于主机到主机的通讯加密。
1、启用AAA的SSH配置:
ip domain-name -------------------------------------------设置域名
aaa new-modle----------------------------------------------------------启用AAA服务crypto key generate rsa------------------------------------------------生成秘钥
The name for the keys will be:
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024-------------------------------指定1024位秘钥
% Generating 1024 bit RSA keys ...[OK]
username sshuser secret sshpassword------------------------------------指定SSH登陆用户名和密码
ip ssh time-out 30-----------------------------------------------------设定SSH超时值
no ip ssh version------------------------------------------------------启用SSH V1 V2
aaa authentication login ssh local line none---------------------------设定SSH登陆信息存储地方
ip access-list standard forssh-----------------------------------------定义SSH登陆源地址
permit any
line vty 0 4
exec-timeout 30------------------------------------------------------设置线路登陆超时值
login authentication ssh---------------------------------------------指定验证登陆用户信息存储的地方
transport input ssh--------------------------------------------------设置线路登陆模式为SSH
access-class forssh in-----------------------------------------------应用访问列表2、不启用AAA的SSH配置
hostname Router1
ip domain-name
crypto key generate rsa
The name for the keys will be:
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys ...[OK]
username sshuser secret sshpassword
ip ssh time-out 30
no ip ssh version
ip access-list standard forssh
permit any
line vty 0 4
exec-timeout 30
login local
transport input ssh
access-class forssh in
配置cisco设备同时具备telnet与ssh功能注意事项
首先介绍一下在cisco设备上配置单ssh登陆的方法:
interface f0/0
ip add x.x.x.x x.x.x.x
//配置ip地址//
ip domain name cisco
//配置域名称,为必须步骤,域名称随便//
username cisco secret 5 cisco123
//配置用户名和密码//
crypto key generate rsa general-keys modulus 1024
//配置加密,必须步骤,配置完后,使用show running-config不能看到此条命令//
line vty 0 4
login local
transport input ssh
//配置线路接口,使用本地用户,并使用ssh登陆方式,也可在此处添加访问控制之类的选项//
由以上可以看出,在cisco设备上配置ssh是很简单的,但在很多情况下,用户需要在配置了ssh后保留telnet选项,此时有两种方式可以实现:
1、在线路模式中保留telnet选项,即:
line vty 0 4
login local
transport input ssh telnet
此种方式最为简单
2、将一些线路配置为ssh登陆,一些线路为telnet,此方式就应该要特别小心,只能将ssh配置在前面的线路中,而将telnet配置在后面的线路中,如果顺序颠倒,将导致ssh