通過SSH實現Cisco路由器登錄

2019-11-05 00:34:02

字體：大中小

來源：轉載

供稿：網友

　　1、前言
　　
　　江西省ip網絡中采用了大量的Cisco路由器。治理員通常采用Telnet遠程登錄的方式對路由器進行日常維護。由于Telnet、FTP等網絡服務程序在網絡中采用明文傳送口令和數據，其安全性無法得到有效的保障。治理員的用戶名和密碼一旦被別有專心的人截獲，后果將不堪設想。因此如何實現Cisco路由器的安全登錄成為網絡日常維護工作中首要解決的問題。本文利用Cisco路由器對SSH的支持，通過SSH實現了對路由器的安全登錄。
　　 SSH的英文全稱是Secure Shell，是由芬蘭的一家公司開發的。SSH由客戶端和服務端的軟件組成，有1.x和2.x兩個不兼容的版本。SSH的功能強大，既可以代替Telnet，又可以為FTP、POP3和PPP提供一個安全的“通道”。使用SSH，可以把傳輸的所有數據進行加密。即使有人截獲到數據也無法得到有用的信息。同時，數據經過壓縮，大大地加快傳輸的速度。
　　本文將具體介紹在Cisco路由器上用SSH實現安全登錄的配置方法。該方法簡單易行，安全性高，適于在網絡維護工作中推廣使用。
　　
　　 2、在Cisco路由器上配置SSH服務
　　
　　在Cisco路由器產品系列中只有7200系列、7500系列和12000系列（GSR）等高端產品的IOS支持SSH。一般支持SSH的IOS版本文件名中都帶有K3或者K4字樣，K3 代表56bit SSH 加密，K4代表168bit SSH加密。如我省省網GSR 12016和12008上用的IOS 就是一個支持56bit SSH 加密的版本。目前Cisco的產品只支持SSH-1，還不支持SSH-2。下面以GSR 12008為例具體介紹SSH-1的配置方法（斜體字為配置輸入的命令）：
　　 ① 配置hostname和ip domain-name：
　　 Router#configure terminal
　　 Router(config)#hostname TEST-GSR12008
　　 TEST-GSR12008(config)#ip domain-name jx.cn.net
　　 ② 配置登錄用戶名和密碼（以本地認證為例）：
　　 TEST-GSR12008(config)#username test passWord 0 test
　　注：添加一個用戶：test，口令：test
　　 TEST-GSR12008(config)#line vty 0 4
　　 TEST-GSR12008(config-line)#login local
　　在這兩部分做完以后，用show run命令就能夠看到：
　　 hostname TEST-GSR12008
　　 !
　　 boot system Flash gsr-k3p-mz.120-14.S.bin
　　 enable secret 5 $1$DMyW$gdSIOkCr7p8ytwcRwtnJG.
　　 enable password 7 094F47C31A0A
　　 !
　　 username test password 7 0835495D1D
　　 clock timezone PRC 16
　　 redundancy
　　 main-cpu
　　 auto-sync startup-config
　　 !
　　 !
　　 !
　　 !
　　 ip subnet-zero
　　 no ip finger
　　 ip domain-name jx.cn.net
　　 ip name-server 202.101.224.68
　　 ip name-server 202.101.226.68
　　 !
　　 ③ 配置SSH服務：
　　 TEST-GSR12008(config)#crypto key generate rsa
　　 The name for the keys will be: TEST-GSR12008.jx.cn.net
　　注：SSH的要害字名就是hostname + . +ip domain-name
　　 Choose the size of the key modulus in the range of 360 to 2048 for your
　　 General Purpose Keys. Choosing a key modulus greater than 512 may take
　　 a few minutes.
　　
　　 How many bits in the modulus [512]: 注：選擇加密位數，用默認就行了
　　 Generating RSA keys ...
　　 [OK]
　　
　　 TEST-GSR12008(config)#end
　　 TEST-GSR12008#write
　　 Building configuration...
　　這時候用show run命令可以看到：
　　 ip subnet-zero
　　 no ip finger
　　 ip domain-name jx.cn.net
　　 ip name-server 202.101.224.68
　　 ip name-server 202.101.226.68
　　 ip ssh time-out 120
　　 ip ssh authentication-retries 3
　　 !
　　用命令show ip ssh也能看到：
　　 SSH Enabled - version 1.5
　　 Authentication timeout: 120 secs; Authentication retries: 3
　　現在SSH服務已經啟動，假如需要停止SSH服務，用以下命令：
　　 TEST-GSR12008(config)#crypto key zeroize rsa
　　 ④設置SSH參數
　　配置好了SSH之后，通過show run命令我們看到SSH默認的參數：超時限定為120秒，認證重試次數為3次，可以通過下面命令進行修改：
　　 TEST-GSR12008(config)#ip ssh {[time-out seconds]} [authentication-retries interger]}
　　假如要把超時限定改為180秒，則應該用：
　　 TEST-GSR12008(config)# ip ssh time-out 180
　　假如要把重試次數改成5次，則應該用：
　　 TEST-GSR12008(config)# ip ssh authentication-retries 5
　　這樣，SSH已經在路由器上配置成功了，就能夠通過SSH進行安全登錄了。

上一篇：看寬帶路由器的市場要點

下一篇：基于虛擬路由器的ＩＰＶＰＮ技術