配置SSH 安全管理 Cisco Switch
IOS软件必须具有加密功能(IOS映像文件名称中包含K8或K9才支持)
1. 使用 hostname 配置主机名。
(config)#hostname xxxx
2. 使用 ip domain-name配置主机域。
(config)#ip domain-name xxx.com
3 .配置登录的用户名和口令。
(config)#username test secret test123
4. 配置SSH服务。在交换机上启用 SSH 服务器以进行本地和远程身份验证,Cisco 建议使用 1024 位的模数长度。模数长度越长越安全,但是生成和使用模数的时间也越长。自动打开SSH。在路由器上产生一对RSA密钥就会自动启用SSH.如果你如果需要停止SSH服务。
(config)#crypto key zeroize rsa //删除RSA密钥,就会自动禁用该SSH服务器。
5.配置SSH的版本(支持1 2两个版本,建议使用2)。
(config)#ip ssh version 2
6.指定可以用SSH登录系统的主机的源IP地址。
(config)#access-list 90 remark Hosts allowed to SSH in //低版本可能不支持remark关键字
(config)#access-list 90 permit 19.13.12.12
(config)#access-list 90 permit 19.13.12.5
(config)#access-list 90 permit 19.13.12.44
7. 在VTY线路下使用Transport input ssh命令指定远程登录的协议,并使用login local命令选择使用本地验证数据库验证登录。
(config)#line vty 0 4
(config-line)#login local //使用本地定义的用户名和密码登录
(config-line)#transport input ssh //只允许用SSH登录
(config-line)#access-class 90 in //只允许指定源主机登录
