思科设备SSH登陆详细配置过程

思科设备SSH登陆详细配置过程

我们用GNS3进行拓扑搭建。

实验拓扑图如下：

进行完基本配置之后开始配置SSH服务器（R2）

1. 首先验证设备是否支持SSH
   R2#show ip ssh
   
   能够识别这条命令就说明支持。

2. 配置IP域名。
   使用config# ip domain-name domain-name
   全局配置模式命令配置网络 IP 域名。

3. 生成 RSA 密钥对。
   生成 RSA 密钥对将自动启用 SSH。使用 config#crypto key generate rsa 全局配置模式命令在交换机上启用 SSH 服务器并生成 RSA 密钥对。当生成 RSA 密钥时，系统会提示管理员输入模数长度。模数长度越长越安全，但生成和使用模数的时间也越长。

   PS:并非所有的设备都支持SSH版本2，并且至少需要768bits的模长才能使用版本2。
   
   要删除 RSA 密钥对，请使用 crypto key zeroize rsa 全局配置模式命令。删除 RSA 密钥对之后，SSH 服务器将自动禁用。
   

4. 配置用户身份验证。
   SSH登陆需要用户名和密码，所以必须要配置用户。
   SSH 服务器可以对用户进行本地身份验证或使用身份验证服务器。要使用本地身份验证方法，请使用 username 用户名 secret 密码 全局配置模式命令创建用户名和密码对。

5. 配置 vty 线路。
   在vty线路配置模式下使用 transport input ssh 命令启用 vty 线路上的 SSH 协议。Catalyst 2960 的 vty 线路范围为 0 到 15。该配置将阻止除 SSH 之外的连接（如 Telnet），将交换机设置为只接受 SSH 连接。然后使用 login local 线路配置模式命令来要求从本地用户名数据库进行 SSH 连接的本地身份验证。

至此配置登陆的过程已经完成，下面来测试连接。
从R1登陆R2

当然如果想要进入特权模式，还需要为特权模式设置密码。
还有：

R2(config)#ip ssh time-out 120     //修改超时时间
R2(config)#ip ssh authentication-retries 1     //修改重认证次数。
R2(config)#ip ssh version 2          //修改版本

最后附上配置命令：

R2(config)#ip domain-name man.com   //配置域名为man.com
R2(config)#crypto key generate rsa   //生成加密密钥
R2(config)#username man secret cisco   //在本地创建一个用户名为man并且加密密码为cisco的用户。
R2(config-line)#transport input ssh      //启用SSH登陆
R2(config-line)#login local                  //采用本地验证