配置SSH服务器
无论什么时候,都应该尽可能用SSH来取代TELNET管理CISCO路由器。ciscoIOS 12.1及后续版本多支持SSH(v1)(目前还不支持SSH v2)
SSH通过实施加密来保护SSH客户端到服务器的会话。SSH会对整个会话加密
在配置路由器进行SSH操作之前,必要完成以下任务:
确保目标路由器运行一个CISCO IOS软件映像12.1(1)T或更高版本,并具有IPsec特性集。
确保目标路由器被配置本地认证或AAA用户名/口令认证;
确保每一台目标路由器都具有唯一的主机名
确保每一台目标路由器都使用了正确的网络域名
在CISCO路由器上配置SSH服务器
1 用ip domain-name全局配置命令来配置IP域名
config t
ip domain-name cisco.com
2 用crypto key generate rsa全局配置命令来生成RSA密钥
crypto key generate rsa general-keys modulus 1024
3 用ip ssh time-out全局配置命令配置路由等待SSH客户端响应的时间
ip ssh time-out 120
4 用ip ssh authentication-retries全局配置命令配置SSH重试
ip ssh authentication-retries 4
务必注意,要禁止所有路由器VTY链路有TELNET传输输入,否则,路由器会继续允许不安全的telnet会话。
5 禁止vty 入站Telnet会话
config
line vty 0 4
6 启用vty 入站SSH会话
transport input ssh
end
一旦生成了SSH密钥,SSH协议自动启用。一旦创建了密钥,就可以用SSH客户端软件来访问路由器SSH服务器。
无论什么时候,都应该尽可能用SSH来取代TELNET管理CISCO路由器。ciscoIOS 12.1及后续版本多支持SSH(v1)(目前还不支持SSH v2)
SSH通过实施加密来保护SSH客户端到服务器的会话。SSH会对整个会话加密
在配置路由器进行SSH操作之前,必要完成以下任务:
确保目标路由器运行一个CISCO IOS软件映像12.1(1)T或更高版本,并具有IPsec特性集。
确保目标路由器被配置本地认证或AAA用户名/口令认证;
确保每一台目标路由器都具有唯一的主机名
确保每一台目标路由器都使用了正确的网络域名
在CISCO路由器上配置SSH服务器
1 用ip domain-name全局配置命令来配置IP域名
config t
ip domain-name cisco.com
2 用crypto key generate rsa全局配置命令来生成RSA密钥
crypto key generate rsa general-keys modulus 1024
3 用ip ssh time-out全局配置命令配置路由等待SSH客户端响应的时间
ip ssh time-out 120
4 用ip ssh authentication-retries全局配置命令配置SSH重试
ip ssh authentication-retries 4
务必注意,要禁止所有路由器VTY链路有TELNET传输输入,否则,路由器会继续允许不安全的telnet会话。
5 禁止vty 入站Telnet会话
config
line vty 0 4
6 启用vty 入站SSH会话
transport input ssh
end
一旦生成了SSH密钥,SSH协议自动启用。一旦创建了密钥,就可以用SSH客户端软件来访问路由器SSH服务器。
