cisco route 的ssh配置

    当我们使用telnet登录到设备时,用户名和密码是采用明文的方式传输的,为了保证数据的安全,建议采用SSH的方式登录设备。以下就是Cisco路由器SSH的配置:

  1. 配置hostname和domain-name

  R1(config)#hostname R1

  R1(config)#ip domain-name sky.com   (注:SSH的关键字名就是hostname + . +ip domain-name)

  2. 产生密钥,这里产生的是1024位的密钥,密钥长度范围为360-2048

  R1(config)#crypto key generate rsa

% You already have RSA keys defined named R5.sky.com .

% Do you really want to replace them? [yes/no]: yes

The name for the keys will be: R5.sky.com

Choose the size of the key modulus in the range of 360 to 2048 for your

General Purpose Keys. Choosing a key modulus greater than 512 may take

a few minutes.


How many bits in the modulus [512]: 1024

% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

  3. 配置SSH的信息

  配置所使用的SSH版本:

  R1(config)#ip ssh version 2

  配置SSH会话的超时时间:

  R1(config)#ip ssh time-out 120

  配置SSH认证的最大次数:

  R1(config)#ip ssh authentication-retries 3

  启用SSH认证:

  R1(config)#line vty 0 4

  R1(config-line)#transport input ssh

  R1(config-line)#login local     //使用本地认证,登录时必须输入用户名和密码才可以

注:(1)、如果是no login,则不需要密码

    (2)、如果是login,并设置有密码,则所有ssh登录直接以password的明文密码登录,安全性不高

故一定要设置login local方式


  4. 配置本地认证用户

  R1(config)#username test password test

  5. ssh登录测试

   SSH登录:

  R2#ssh -l frame 1.1.1.1

  Password:

  R1>

  通过使用-l指定登录的用户名。

  服务器端查看SSH会话:show  ssh

  R1#sh ssh

Connection      Version Mode Encryption  Hmac State             Username

323             1.99    IN   aes128-cbc      hmac-sha1     Session Started         test

323             1.99    OUT  aes128-cbc      hmac-sha1     Session Started         test



测试问题,还未解决:

删除ssh的key:

R2(config)#crypto key zeroize rsa

% All RSA keys will be removed.

% All router certs issued using these keys will also be removed.

Do you really want to remove these keys? [yes/no]: yes

R2(config)#do wr

*?? 1 4:55:36.844: %SSH-5-DISABLED: SSH 1.5 has been disabled

Building configuration...

[OK]


查看SSH状态:

R2#show ip ssh

SSH Disabled - version 2

%Please create RSA keys (of atleast 768 bits size) to enable SSH v2.

Authentication timeout: 120 secs; Authentication retries: 3

现在在无key状态下,远程ssh还是可以访问的(不管在原有用户还是新增用户下)

只有在vty 0 4中关掉ssh访问才可以禁止SSH访问。


你可能感兴趣的:(ssh,Cisco,route)