添加时间: 2008-2-20 23:12:00  作者: Cisco指导  阅读次数:20   来源: http://www.d9soft.com

             SSH的英文全称是Secure Shell，是由芬兰的一家公司开发的。SSH由客户端和服务端的软件组成，有1.x和2.x两个不兼容的版本。SSH的功能强大，既可以代替Telnet，又可以为FTP、POP3和PPP提供一个 安全 的“通道”。使用SSH，可以把传输的所有数据进行加密。即使有人截获到数据也无法得到有用的信息。同时，数据经过压缩，大大地加快传输的速度。
本文将详细介绍在 Cisco 路由器上用SSH实现安全登录的配置方法。该方法简单易行，安全性高，适于在 网络 维护工作中推广使用。
2、在Cisco路由器上配置SSH服务
在Cisco路由器产品系列中只有7200系列、7500系列和12000系列（GSR）等高端产品的IOS支持SSH。一般支持SSH的IOS版本文件名中都带有K3或者K4字样，K3 代表56bit SSH 加密，K4代表168bit SSH加密。如我省省网GSR 12016和12008上用的IOS 就是一个支持56bit SSH 加密的版本。目前Cisco的产品只支持SSH-1，还不支持SSH-2。下面以GSR 12008为例详细介绍SSH-1的配置方法（斜体字为配置输入的命令）：
① 配置hostname和ip domain-name：
Router#configure terminal 
Router(config)#hostname TEST-GSR12008
TEST-GSR12008(config)#ip domain-name jx.cn.net
② 配置登录用户名和密码（以本地认证为例）：
TEST-GSR12008(config)#username test password 0 test
注：添加一个用户：test，口令：test
TEST-GSR12008(config)#line vty 0 4
TEST-GSR12008(config-line)#login local
在这两部分做完以后，用show run命令就能够看到：
hostname TEST-GSR12008
!
boot system flash gsr-k3p-mz.120-14.S.bin
enable secret 5 $1$DMyW$gdSIOkCr7p8ytwcRwtnJG.
enable password 7 094F47C31A0A
!
username test password 7 0835495D1D
clock timezone PRC 16
redundancy
main-cpu
auto-sync startup-config
!
!
!
!
ip subnet-zero
no ip finger
ip domain-name jx.cn.net
ip name-server 202.101.224.68
ip name-server 202.101.226.68
!
③ 配置SSH服务：
TEST-GSR12008(config)#crypto key generate rsa
The name for the keys will be: TEST-GSR12008.jx.cn.net
注：SSH的关键字名就是hostname + . +ip domain-name
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
 
How many bits in the modulus [512]: 注：选择加密位数，用默认就行了
Generating RSA keys ...
[OK]
 
TEST-GSR12008(config)#end
TEST-GSR12008#write
Building configuration...
这时候用show run命令可以看到：
ip subnet-zero
no ip finger
ip domain-name jx.cn.net
ip name-server 202.101.224.68
ip name-server 202.101.226.68
ip ssh time-out 120
ip ssh authentication-retries 3
!
用命令show ip ssh也能看到：
SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries: 3
现在SSH服务已经启动，如果需要停止SSH服务，用以下命令：
TEST-GSR12008(config)#crypto key zeroize rsa
④设置SSH参数
配置好了SSH之后，通过show run命令我们看到SSH默认的参数：超时限定为120秒，认证重试次数为3次，可以通过下面命令进行修改：
TEST-GSR12008(config)#ip ssh {[time-out seconds]} | [authentication-retries interger]}
如果要把超时限定改为180秒，则应该用：
TEST-GSR12008(config)# ip ssh time-out 180
如果要把重试次数改成5次，则应该用：
TEST-GSR12008(config)# ip ssh authentication-retries 5
这样，SSH已经在路由器上配置成功了，就能够通过SSH进行安全登录了

 

 

思科认证分类导航

• Cisco动态
• Cisco指导
• Cisco介绍
• Cisco试题

本类经典文章推荐

• CISCO认证增长60％新认证推陈出新
• 加快千兆网络普及以太网技术动向
• WinGate与Internet连接共享
• WinGate3.0安装指导
• 远程传输的两种技术优劣各异
• Cisco认证指导:基础中文命令集
• IOS软件结构读书笔记
• 路由器基础配置及传输协议
• 网络安全:IPv6安全威胁
• 路由技术:路由器远程管理实例

Cisco指导阅读排行

• Cisco路由器访问控制列表详解
• EPON与GPON的综合比较
• 我的CISCO认证学习笔记总结
• CCNA考试主要知识点指导
• Cisco指导:IOS命令大全（一）
• 使用IPSec阻止特定网络协议和端口
• 企业网络规划对工作效率的影响
• VPN实例配置方案:IPSec配置
• GSM数字移动通信无线网络规划设计...
• Cisco路由器上配置pppoe拨号

思科认证阅读总排行

• Cisco路由器访问控制列表详解
• EPON与GPON的综合比较
• 思科考试认证（CISCO） CCNA考试就...
• 我的CISCO认证学习笔记总结
• CCNA简介
• Cisco经验介绍:CCNP培训日记(2)
• CCNA考试主要知识点指导
• Cisco经验介绍:ping命令之解惑
• Cisco指导:IOS命令大全（一）
• 使用IPSec阻止特定网络协议和端口

广告位置