SSH命令詳解
| 在Cisco Native IOS上啟用SSH,禁止Telnet | |
| 命令 | 描述 |
| username admin1 privilege 15 password 0 Admin-Password | 建立一個叫做admin1的系統管理員,每一個管理都必須重複。 |
| aaa new-model | 使用一個本地資料庫,設定為AAA模式 |
| aaa authentication login default local | |
| aaa authorization exec default local | |
| aaa authorization network default local | |
| aaa session-id common | |
| ip domain name MyDomain.com | 建立一個用於認證的名字 |
| crypto key generate rsa | 建立數字證書。使用至少768位的Diffie-Hellman關鍵字 |
| line vty 0 4 | 進入vty配置 |
| transport input ssh | 僅僅允許SSH登入 |
在Cisco Native IOS上啟用SSH,禁止Telnet
命令 描述
username admin1 privilege 15 password 0 Admin-Password 建立一個叫做admin1的系統管理員,每一個管理都必須重複。
aaa new-model 使用一個本地資料庫,設定為AAA模式
ip domain name MyDomain.com 建立一個用於認證的名字
crypto key generate rsa 建立數字證書。使用至少768位的Diffie-Hellman關鍵字
line vty 0 4 進入vty配置
transport input ssh 僅僅允許SSH登入
cisco SSH配置
注: 我在交換機上設定了以後,ssh可以正常登入沒問題,但是telnet卻仍然可以登入,檢查後發現是因為配置檔案裡多了一行
#line vty 5 15
我在命令列裡刪除 # no line vty 5 15 報錯 Can't delete last 16 VTY lines,無法刪除vtp 5-15,在查了以後找到解決辦法,就是把line vty 5 15,設定成
no transport input ssh
這樣,telnet就無法登入了,嘎嘎!!!!!
cisco SSH配置
1. 配置hostname和ip domain-name
Router#configure terminal
Router(config)#hostname R2 //配置ssh的時候路由器的名字不能為router
R2(config)#ip domain-name cisco.com //配置SSH必需
R2(config)#username best password best1
或 username best privilege 15 password 7 best1
注:新增一個使用者:best,口令:best1
R2(config)#line vty 0 4
R2(config-line)#transport input ssh //只允許用SSH登入(注意:禁止telnet和從
交換引擎session!)
2. 配置SSH服務:
R2(config)#crypto key generate rsa
The name for the keys will be: R2.cisco.com
注:SSH的關鍵字名就是hostname + . +ip domain-name
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minuts
How many bits in the modulus [512]: 注:選擇加密位數,cisco推薦使用1024
Generating RSA keys ...
[OK]
用命令show ip ssh也能看到:
SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries:
現在SSH服務已經啟動,如果需要停止SSH服務,用以下命令:
R2(config)#crypto key zeroize rsa
3.設定SSH引數
配置好了SSH之後,通過show run命令我們看到SSH預設的引數:超時限定為120秒,認證重試次數為3次,可以通過下面命令進行修改:
R2(config)#ip ssh {[time-out seconds]} │ [authentication-retries interger]}
如果要把超時限定改為180秒,則應該用:
R2(config)# ip ssh time-out 180
如果要把重試次數改成5次,則應該用:
R2(config)# ip ssh authentication-retries
這樣,SSH已經在路由器上配置成功了,就能夠通過SSH進行安全登入了。
注意:最後如果從別的裝置用ssh登入這臺路由器會出現以下內容:
R1#ssh -l best 192.168.0.2
Password:
R2>en
% Error in authentication.
為什會出現以上內容?
因為在R2上沒有配置enable password/secret xxxx
R2配置上enable secret 5 $1$fJxo$suWiTzmfdj/vkvXfRHBcw/
那麼在R1上:
R1#ssh -l best 192.168.0.2
Password:
R2>en
Password:
R2#confi g
^
% Invalid input detected at '^' marker.
Ok實驗完成!