SSH 為建立在應用層基礎上的安全協議。SSH 是目前較可靠,專為遠端登入會話和其他網路服務提供安全性的協議。利用 SSH 協議可以有效防止遠端管理過程中的'資訊洩露問題。下面是思科路由器SSH配置案例,希望對你有幫助!
1. 配置hostname和ipdomain-name
Router#configure terminal
Router(config)#hostname R2 //配置ssh的時候路由器的名字不能為router
R2(config)#ip domain-name //配置SSH必需
R2(config)#username best password best1
或 username best privilege 15 password 7 best1
注:新增一個使用者:best,口令:best1
R2(config)#line vty 0 4
R2(config-line)#transport input ssh //只允許用SSH登入(注意:禁止telnet和從
交換引擎session!)
2. 配置SSH服務:
R2(config)#crypto key generate rsa
The name for the keys will be:
注:SSH的關鍵字名就是hostname + . +ipdomain-name
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minuts
How many bits in the modulus [512]: 注:選擇加密位數,cisco推薦使用1024
Generating RSA keys ...
[OK]
用命令show ip ssh也能看到:
SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries:
現在SSH服務已經啟動,如果需要停止SSH服務,用以下命令:
R2(config)#crypto key zeroize rsa
3.設定SSH引數
配置好了SSH之後,通過show run命令我們看到SSH預設的引數:超時限定為120秒,認證重試次數為3次,可以通過下面命令進行修改:
R2(config)#ip ssh {[time-out seconds]} │ [authentication-retries interger]}
如果要把超時限定改為180秒,則應該用:
R2(config)# ip ssh time-out 180
如果要把重試次數改成5次,則應該用:
R2(config)# ip ssh authentication-retries
這樣,SSH已經在路由器上配置成功了,就能夠通過SSH進行安全登入了。
注意:最後如果從別的裝置用ssh登入這臺路由器會出現以下內容:
R1#ssh -l best
Password:
R2>en
% Error in authentication.
為什會出現以上內容?
因為在R2上沒有配置enablepassword/secret xxxx
R2配置上enable secret 5 $1$fJxo$suWiTzmfdj/vkvXfRHBcw/
那麼在R1上:
R1#ssh -l best
Password:
R2>en
Password:
R2#confi g