SSH在Cisco設(shè)備上設(shè)置實(shí)例

2019-11-04 23:22:46

字體：大中小

供稿：網(wǎng)友

　　使用telnet進(jìn)行遠(yuǎn)程設(shè)備維護(hù)的時(shí)候，由于密碼和通訊都是明文的，易受sniffer偵聽，所以應(yīng)采用SSH替代telnet。SSH (Secure Shell)服務(wù)使用tcp 22 端口，客戶端軟件發(fā)起連接請(qǐng)求后從服務(wù)器接受公鑰，協(xié)商加密方法，成功后所有的通訊都是加密的。Cisco 設(shè)備目前只支持SSH v1，不支持v2。Cisco實(shí)現(xiàn) SSH的目的在于提供較安全的設(shè)備治理連接，不適用于主機(jī)到主機(jī)的通訊加密。Cisco推薦使用ipSEC作為端對(duì)端的通訊加密解決方案。
　　
　　1.IOS設(shè)備(如6500 MSFC、8500、7500)的配置：
　　a) 軟件需求
　　IOS版本12.0.(10)S 以上含IPSEC 56 Feature
　　推薦使用 IOS 12.2 IP PLUS IPSEC 56C以上版本
　　基本上Cisco全系列路由器都已支持，但為運(yùn)行指定版本的軟件您可能需要相應(yīng)地進(jìn)行硬件升級(jí)
　　b) 定義用戶
　　user mize pass nnwh@163.net
　　d) 定義域名
　　ip domain-name mize.myrice.com //配置SSH必需
　　e) 生成密鑰
　　crypto key generate rsa modulus 2048
　　執(zhí)行結(jié)果：
　　The name for the keys will be: 6509-mize.myrice.com
　　% The key modulus size is 2048 bits
　　Generating RSA keys ...
　　[OK]
　　f)指定可以用SSH登錄系統(tǒng)的主機(jī)的源IP地址
　　 access-list 90 remark Hosts allowed to SSH in //低版本可能不支持remark要害字
　　access-list 90 permit 10.10.1.100
　　access-list 90 permit 10.10.1.101
　　g) 限制登錄
　　line con 0
　　login local
　　line vty 0 4
　　login local //使用本地定義的用戶名和密碼登錄
　　transport input SSH //只答應(yīng)用SSH登錄(注重：禁止telnet和從交換引擎session!)
　　access-class 90 in //只答應(yīng)指定源主機(jī)登錄
　　
　　2.CatOS(如6500/4000交換引擎)的配置：
　　a) 軟件需求
　　運(yùn)行CatOS的6500/4000交換引擎提供SSH服務(wù)需要一個(gè)6.1以上“k9”版本的軟件，如: cat6000-sup2cvk9.7-4-3.bin 和 cat4000-k9.6-3-3a.bin.
　　8540/8510交換機(jī)支持SSH需要以上12.1(12c)EY版本軟件。
　　3550交換機(jī)支持SSH需要12.1(11)EA1以上版本軟件。
　　其他交換機(jī)可能不支持SSH。
　　b) 生成密鑰
　　set crypto key rsa 2048
　　密鑰的生成需要1-2分鐘，執(zhí)行完畢后可用命令show crypto key查看生成的密鑰。
　　c) 限制治理工作站地址
　　set ip permit 10.10.1.100 ssh //只答應(yīng)使用SSH登錄的工作站
　　set ip permit 10.10.1.101 ssh
　　set ip permit enable ssh //檢查SSH連接的源地址
　　set ip permit enable telnet //檢查telnet連接的源地址
　　set ip permit enable snmp //檢查snmp請(qǐng)求的源地址
　　假如服務(wù)的ip permit 處于disable狀態(tài)，所有的連接將被答應(yīng)（當(dāng)然服務(wù)如telnet本身可能包含用戶認(rèn)證機(jī)制）。假如指定服務(wù)的ip permit 處于enable狀態(tài)，則治理工作站的地址必須事先用set ip permit <治理工作站IP地址> [可選的子網(wǎng)掩碼] [答應(yīng)使用的服務(wù)類型(ssh/telnet/snmp)]來定義
　　可用命令 show ip permit 來檢查ip permit 的配置
　　某些服務(wù)可能存在安全漏洞（如http）或協(xié)議本身設(shè)計(jì)就是比較不安全的（如snmp、telnet）。假如服務(wù)不是必要的，可以將之關(guān)閉；假如服務(wù)是必須的，應(yīng)采取措施保證這些服務(wù)僅向合法用戶提供:
　　
　　6500/4000交換引擎：
　　set ip http server disable//關(guān)閉http服務(wù)
　　set ip permit enable snmp//限制SNMP源地址
　　set snmp comm. read-only//清空預(yù)設(shè)的SNMP COMM字
　　set snmp comm. read-write
　　set snmp comm. read-write-all
　　
　　8500、7500、MSFC等IOS設(shè)備：
　　no ip http server//關(guān)閉http服務(wù)
　　no snmp//關(guān)閉snmp服務(wù)
　　no service dhcp//關(guān)閉 dhcp 服務(wù)
　　no ip finger//關(guān)閉 finger 服務(wù)
　　no service tcp-small-server//關(guān)閉tcp基本服務(wù)
　　no service udp-small-server//關(guān)閉 udp基本服務(wù)
　　service passWord-encryption//啟用明文密碼加密服務(wù)
　　
　　3.SSH 客戶端
　　a) 從治理工作站登錄
　　必須使用支持SSH v1協(xié)議的終端仿真程序才能使用SSH協(xié)議治理設(shè)備，推薦使用Secure CRT 3.3, 也可以使用免費(fèi)軟件putty.下面介紹使用Secure CRT登錄SSH設(shè)備的方法：
　　運(yùn)行Secure CRT程序，選擇菜單File – Quick Connect…設(shè)置以下參數(shù)：PRotocol(協(xié)議): ssh1 Hostname(主機(jī)名): 10.10.1.1 Port(端口): 22 Username(用戶名): mize Ciper(加密方法): 3DES Authentication(認(rèn)證方式):password 點(diǎn)擊Connect，這時(shí)可能會(huì)提示您接受來自設(shè)備的加密公鑰，選擇Accept once(只用一次)或Accept & Save (保存密鑰以便下次使用)。由于協(xié)議實(shí)現(xiàn)的問題，可能會(huì)碰到SSH Buffer Overflow的問題，假如出現(xiàn)“收到大于16k的密鑰”的提示，請(qǐng)重新連接。連接正常，輸入密碼即可登錄到系統(tǒng)。
　　第二次登錄點(diǎn)擊File – Connect 點(diǎn)擊連接10.10.1.1即可。
　　b) 從IOS設(shè)備用SSH協(xié)議登錄其他設(shè)備
　　IOS設(shè)備也可以發(fā)起SSH連接請(qǐng)求(作為SSH Client)，從IOS設(shè)備登錄支持3DES的IOS設(shè)備，使用以下命令(-l 指定用戶名)：
　　ssh –l mize 10.10.3.3
　　從IOS設(shè)備登錄支持 DES(56位)的IOS，使用以下命令(-c des指定1 des加密方式)：
　　ssh –c des –l mize 10.10.5.5
　　從IOS設(shè)備登錄支持 3DES的CatOS, 如6509/4006的交換引擎，使用如下命令(無需指定用戶名)：
　　ssh 10.10.6.6
　　4.限制telnet源地址
　　對(duì)于未支持SSH 的設(shè)備，可采取限制telnet源地址的方法來加強(qiáng)安全性。為了不致于增加一個(gè)治理員地址就要把所有的設(shè)備配置修改一遍，可以采用中繼設(shè)備的方法，即受控設(shè)備只答應(yīng)中繼設(shè)備的telnet訪問，中繼設(shè)備則答應(yīng)多個(gè)治理員以較安全的方法（如SSH）登錄。
　　
　　設(shè)置中繼設(shè)備:
　　inter lo 0
　　ip address 10.10.1.100 255.255.255.255
　　ip telnet source-interface Loopback0 //發(fā)起telnet的源地址
　　設(shè)置受控設(shè)備：
　　access-list 91 remark Hosts allowed to TELNET in
　　access-list 91 permit 10.10.1.100
　　access-list 91 permit 10.10.1.101
　　line con 0
　　password xxxxxxxx
　　line vty 0 4
　　password xxxxxxxx
　　access-class 91 in

上一篇：CISCO配置命令大全

下一篇：在接入服務(wù)器上使用Cisco IOS DHCP服務(wù)器