SSH 爲建立在應用層基礎上的安全協議。SSH 是目前較可靠,專爲遠程登入會話和其他網絡服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的'資訊泄露問題。下面是思科路由器SSH配置案例,希望對你有幫助!
1. 配置hostname和ipdomain-name
Router#configure terminal
Router(config)#hostname R2 //配置ssh的時候路由器的名字不能爲router
R2(config)#ip domain-name //配置SSH必需
R2(config)#username best password best1
或 username best privilege 15 password 7 best1
注:添加一個用戶:best,口令:best1
R2(config)#line vty 0 4
R2(config-line)#transport input ssh //只允許用SSH登入(注意:禁止telnet和從
交換引擎session!)
2. 配置SSH服務:
R2(config)#crypto key generate rsa
The name for the keys will be:
注:SSH的關鍵字名就是hostname + . +ipdomain-name
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minuts
How many bits in the modulus [512]: 注:選擇加密位數,cisco推薦使用1024
Generating RSA keys ...
[OK]
用命令show ip ssh也能看到:
SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries:
現在SSH服務已經啓動,如果需要停止SSH服務,用以下命令:
R2(config)#crypto key zeroize rsa
3.設定SSH參數
配置好了SSH之後,透過show run命令我們看到SSH默認的參數:超時限定爲120秒,認證重試次數爲3次,可以透過下面命令進行修改:
R2(config)#ip ssh {[time-out seconds]} │ [authentication-retries interger]}
如果要把超時限定改爲180秒,則應該用:
R2(config)# ip ssh time-out 180
如果要把重試次數改成5次,則應該用:
R2(config)# ip ssh authentication-retries
這樣,SSH已經在路由器上配置成功了,就能夠透過SSH進行安全登入了。
注意:最後如果從別的設備用ssh登入這臺路由器會出現以下內容:
R1#ssh -l best
Password:
R2>en
% Error in authentication.
爲什會出現以上內容?
因爲在R2上沒有配置enablepassword/secret xxxx
R2配置上enable secret 5 $1$fJxo$suWiTzmfdj/vkvXfRHBcw/
那麼在R1上:
R1#ssh -l best
Password:
R2>en
Password:
R2#confi g