CCNA指导:Cisco路由器用SSH替代Telnet连接
如不美观你一向操作Telnet节制收集设备,你可以考虑采用其他更平安的体例。本文告诉你若何用SSH替代Telnet. 使用Telnet这个用来访谒远程计较机的TCP/IP和谈以节制你的收集设备相当于在分开某个建筑时年夜叫你的用户名和口令。很快地,会有人进行监听,而且他们会操作你平安意识的缺乏。SSH是替代Telnet和其他远程节制台打点应用轨范的行业尺度。SSH呼吁是加密的并以几种体例进行保密。
在使用SSH的时辰,一个数字证书将认证客户端(你的工作站)和处事器(你的收集设备)之间的毗连,并加密受呵护的口令。SSH1使用RSA加密密钥,SSH2使用数字签名算法(DSA)密钥呵护毗连和认证。
加密算法搜罗Blowfish,数据加密尺度(DES),以及三重DES(3DES)。SSH呵护而且有助于防止棍骗,“中心人”抨击袭击,以及数据包监听。
实施SSH的第一步是验证你的设备撑持SSH.请登录你的路由器或交流机,并确定你是否加载了一个撑持SSH的IPSec IOS镜像。
在我们的例子中,我们将使用Cisco IOS呼吁。运行下面的呼吁:
Router> Show flash
该呼吁显示已加载的IOS镜像名称。你可以用结不美观对比你的供给商的撑持特征列表。
在钠揭捉证了你的设备撑持SSH之后,请确保设备拥有一个主机名和设置装备摆设正确的主机域,就像下面的一样:
Router> config terminalRouter (config)# hostname hostnameRouter (config)# ip domain-name domainname
在这个时辰,你就可以启用路由器上的SSH处事器。要启用SSH处事器,你首先必需操作下面的呼吁发生一对RSA密钥:
Router (config)# crypto key generate rsa
在路由器上发生一对RSA密钥就会自动启用SSH.如不美观你删除这对RSA密钥,就会自动禁用该SSH处事器。
实施SSH的最后一步是启用认证,授权和审计(AAA)。在你设置装备摆设AAA的时辰,请指定用户名和口令,会话超不时刻,一个毗连许可的考试考试次数。像下面这样使用呼吁:
Router (config)# aaa new-modelRouter (config)# username passwordRouter (config)# ip ssh time-outRouter (config)# ip ssh authentication-retries
要验证你已经设置装备摆设了SSH而且它正运行在你的路由器上,执行下面的呼吁:
Router# show ip ssh
在验证了设置装备摆设之后,你就可以强制那些你在AAA设置装备摆设过程中添加的用户使用SSH,而不是Telnet.你也可以在虚拟终端(vty)毗连中应用SSH而实现同样的目的。这里给出一个例子:
Router (config)# line vty 0 4Router (config-line)# transport input SSH
在你封锁现存的Telnet会话之前,你需要一个SSH终端客户端轨范以测试你的设置装备摆设。我死力举荐PuTTY;它是免费的,而且它是一个优异的终端软件。
最后的设法
当你在你的路由器和交流机上启用了SSH之后,保证你改削了所有现存的访谒节制列表以许可对这些设备的毗连。你此刻可以向你的上级陈述你已经堵上了一个巨年夜的平安裂痕:此刻所有的收集打点会话都被加密而且被呵护着。
页:
[1]