SSH(安全外壳)是一个命令行交互界面,类似于Telnet,但已加密。在交互式会话期间双向发送的所有数据以及所有会话设置信息均被加密。

它使用公钥/私钥机制来管理安全性。终端和网络设备均具有自己的私钥,并且各自具有彼此的公钥。公钥加密,私钥解密。为了启动SSH交换,两个设备都必须发送其公钥。如果您先前已登录设备,则可以跳过此步骤。

这些年来,出现了一些版本的SSH。由于SSH-1存在一些严重的安全漏洞,因此’使用版本2很重要。除非您使用的软件不支持版本2,否则思科建议您使用版本2。一世’d更进一步,建议您完全不使用任何原因的版本1。

您 ’我需要一个支持SSH-2的终端模拟器。有一些非常好的免费软件,例如 油灰,以及几种出色的商业解决方案。

SSH使用TCP端口22。该协议还支持加密的文件传输。

在路由器或交换机上配置SSH包括许多与配置Telnet相同的步骤。您首先设置VTY(虚拟终端)和启用密码,然后定义用户身份验证的方法。 SSH的主要区别在于生成加密密钥,这些密钥与设备的主机名相关。您必须确保配置了主机名。

1.配置SSH-2

首先,强制路由器使用SSH-2:

ip ssh version 2

如果此命令给出错误消息,则表明您的设备可能正在运行不支持SSH-2的较旧版本的软件。在这种情况下,我强烈建议不要将其暴露于来自公共互联网的SSH会话。

2.配置主机名

除非设备具有完全限定的域名,否则您无法定义密码密钥。这意味着它既需要主机名,又需要默认域。

hostname MyCiscoDevice
ip domain MyNetwork.net

主机名和域与您在此设备的DNS中找到的主机名和域是否不同并不重要。实际上,您可以使用IP地址连接到设备,因此,如果您配置了完全虚假的域名,则可以’d like.

3.设置身份验证

SSH需要用户标识和密码。您要么需要创建本地用户帐户,要么使用诸如TACACS或RADIUS的中央身份验证服务器。我更喜欢使用中央身份验证服务器,但是由于许多小型组织都没有中央身份验证服务器,因此以下配置包含本地用户ID。

aaa new-model
aaa authentication login LOCAL local
username MyUserID secret MyCleverPassword
enable secret MyEnablePassword

此代码段还定义了一个启用密码,在路由器允许您登录之前,此密码是必需的。

4.配置VTY

SSH的VTY配置与Telnet几乎相同。以下示例假定仅SSH将用于访问此设备。要同时允许Telnet访问设备,请将其添加到“ transport input”命令中。

!
access-list 80 permit host 192.168.19.25 log
!
line vty 0 4
 transport input telnet
 login authentication LOCAL
 exec-timeout 5 0
 access-class 80 in
!

在这个例子中,我’ve还包括一个“访问类”命令,该命令限制了我可以从何处访问此设备。

5.创建密钥

SSH赢了’在您创建公钥和私钥之前,请先进行工作。

crypto key generate rsa

当设备生成一组新的公钥和私钥供SSH使用时,此命令需要一段时间才能运行。

如果已经有键,并且想要擦除它们并重新开始,请使用以下命令:

crypto key zeroize rsa

然后你’我将需要再次使用“生成”命令。如果有’s no key, SSH赢了’接受连接。

6.验证

有一些有用的“ show”命令可用于检查您的配置。

show ssh

交换机或路由器可能会用以下命令响应此命令:

  SSH Enabled - version 2.0
  Authentication timeout: 120 secs; Authentication retries: 3

此处设备已正确配置。如果显示“无SSHv2服务器连接正在运行”,则说明配置有问题,并且SSH服务器没有’接受连接。

如果设备报告版本为1.5或1.99,则为’很好。 1.5版意味着设备将仅接受SSH-1连接,而1.99版意味着它将接受版本1 要么 2.你不’我希望通过公共互联网接受版本1连接,尽管通过私有网络是安全的。