Ciso路由器SSH配置详解

1、Cisco路由器的SSH配置详解2008-06-18 13:04如果你一直利用Telnet控制网络设备，你可以考虑采用其他更安全的方式。本 文告诉你如何用SSH替换Tel net.使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备 相当于在离开某个建筑时大喊你的用户名和口令。很快地，会有人进行监听， 并且他们会利用你安全意识的缺乏。SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。在使用SSH的时候，一个数字证书将认证客户端（你的工作站）和服务器 （你的网络设备）之间的连接，并加密受保护的口令。SSH1使用RSA加密

2、密钥, SSH2使用数字签名算法（DSA密钥保护连接和认证。加密算法包括Blowfish，数据加密标准（DES，以及三重DES（ 3DES。 SSH呆护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。实施SSH的第一步是验证你的设备支持 SSH请登录你的路由器或交换机, 并确定你是否加载了一个支持 SSH的 IP Sec IOS镜像。在我们的例子中，我们将使用 Cisco IOS命令。运行下面的命令:RouterShow flash该命令显示已加载的IOS镜像名称。你可以用结果对比你的供应商的支持 特性列表。在你验证了你的设备支持SSH之后，请确保设备拥有一个主机名和配置正 确的主机域，就

3、像下面的一样：Router> config termi nalRouter (con fig)# host name RouterRouter (con fig)# ip doma in-n ame BluShi 在这个时候，你就可以启用路由器上的 SSHIK务器。要启用SSHIK务器, 你首先必须利用下面的命令产生一对 RSA密钥：Router (con fig)# crypto key gen erate rsa在路由器上产生一对RSA密钥就会自动启用SSH如果你删除这对RSA密钥, 就会自动禁用该SSHIK务器。实施SSH的最后一步是启用认证，授权和审计（AAA。在你配置AAA勺时

4、候，请指定用户名和口令，会话超时时间，一个连接允许的尝试次数。像下面 这样使用命令：Router (con fig)# aaa n ew-modelRouter (con fig)# user name BluSh in p assword p 4ssw0rdRouter (con fig)# ip ssh time-outRouter (con fig)# ip ssh authe nticati on-retries要验证你已经配置了 SSH并且它正运行在你的路由器上，执行下面的命令:Router# show ip ssh在验证了配置之后，你就可以强制那些你在 AAA配置过程中添加的用户使

5、 用SSH而不是Telnet.你也可以在虚拟终端（vty ）连接中应用SSH而实现同 样的目的。这里给出一个例子：Router (c onfig)# line vty 0 4Router (c on fig-l in e)# transport input SSH在你关闭现存的Telnet会话之前，你需要一个SSH终端客户端程序以测试 你的配置。我极力推荐PuTTY它是免费的，而且它是一个优秀的终端软件。IOS设备配置实例Native IOS设备的配置a）软件需求IOS 版本 12.0.( 10)S 以上 含 IP SEC 56 Feature推荐使用IOS 12.2 IP P LUS IP

6、SEC 56C 以上版本基本上Cisco全系列路由器都已支持，但为运行指定版本的软件您可能需 要相应地进行硬件升级b）定义用户user BluShi n secret p 4ss c）定义域名2 / 5ip domain-name BluS /配置 SSH必需e）指定可以用SSH登录系统 的主机的源IP 地址access-list 90 remark Hosts allowed to SSH in / 可能不支持remark关键字access-list 90 permit 00 access-list 90 permit 01 line con 0 logi

7、 n local line vty 0 4 logi n local /使用本地定义的用户名和密码登录transp ort input SSH/ 只允许用 SSH登 录（注意：禁止 tel net 和从交换引擎session!）access-class 90 in /只允许指定源主机登录低版本f）限制登录2.CatOSCatOS设备的配置a）软件需求CatOS的6500/4000交换引擎提供SSHBE务需要一个6.1以上“ k9” 件，如：cat6000-s up 2cvk9.7-4-3.bi n 和 cat4000-k9.6-3-3a.b in.运行版本的软d）生成密钥crypto key

8、gen erate rsa modulus 2048执行结果:The n ame for the keys will be: 6509- % The key modulus size is 2048 bitsGen erat ing RSA keys .OK4 / 58540/8510交换机支持SSH需要以上12.1 （ 12c）EY版本软件。3550交换机支持SSH需要12.1 （ 11）EA1以上版本软件。其他交换机可能不支持SSH.b）生成密钥set crypto key rsa 2048密钥的生成需要1-2分钟，执行完毕后可用命令show crypto key查看生 成的密钥。c）限制

9、管理工作站地址只允许使用SSH登录的工set ip p ermit 00 ssh /作站如果服务 的 ip Permit 处于 disable 状态，所有的连 接将被允许（当set ip permit 01 ssh set ip p ermit en able ssh / set ip p ermit en able telnet / set ip p ermit en able snmp /检查SS睢接的源地址检查telnet连接的源地址 检查snmp请求的源地址6 / 5然服务如telnet本身可能包含用户认证机制）。如果指定服务的ip permit处

10、于enable状态，则管理工作站的地址必须事先用set ip permit <管理工作站IP地址> 可选的子网掩码允许使用的服务类型（ssh/telnet/snmp ）来定 义可用命令show ip permit 来检查ip permit 的配置某些服务可能存在安全漏洞（如 http ）或协议本身设计就是比较不安全的 （如snmp telnet ）。如果服务不是必要的，可以将之关闭；如果服务是必须 的，应采取措施保证这些服务仅向合法用户提供：6500/4000交换引擎:set ip htt p server disable / set ip p ermit en able snmp

11、 / set snmp comm. read-only / set snmp comm. read-write set snmp comm. read-write-all关闭httP服务限制SNM源地址清空预设的SNMP COMM8500、7500、MSFC等 IOS 设 备：no ip http server / 关闭 http 服务 no snmp / 关闭 snmp服务no service dhcp / 关闭 dhcp 服务 no ip fin ger /关闭 fin gerno service tcp-small-server / no service udp-small-server

12、 / service p assword-e ncryp ti on /服务关闭tcp基本服务 关闭udp基本服务 启用明文密码加密服务SSH客户a）从管理工作站登录必须使用支持SSHv1协议的终端仿真程序才能使用 SSH协议管理设备，推 荐使用Secure CRT3.3，也可以使用免费软件putty.下面介绍使用Secure CRT 登录SSH设备的方法：运行Secure CRT程序，选择菜单File - Quick Connect设置以下参数: P rotocol （协议）：ssh1 Host name （主机名）： Port （端口）： 22 Username （用户名

13、）： mize Ciper （加密方法）：3DES Authentication（认证方式）assword点击Connect，这时可能会提示您接受来自设备的加密 公钥，选择Accept once （只用一次）或Accept & Save （保存密钥以便下次 使用）。由于协议实现的问题，可能会碰到SSH Buffer Overflow 的问题，如果出现“收到大于16k的密钥”的提示，请重新连接。连接正常，输入密码即可登录到系统。第二次登录点击 File - Connect点击连接即可。b）从IOS设备用SSHtt、议登录其他设备IOS设备也可以发起SSH1接请求（作为SSH Client ） 支