路由器SSH配置详解.doc

Cisco路由器的SSH配置详解 　　 　　 　　 　　Cisco路由器的SSH配置详解　 如果你一直利用Telnet控制网络设备，你可以考虑采用其他更安全的方式。本文告诉你如何用SSH替换Telnet. 　　　　使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令。很快地，会有人进行监听，并且他们会利用你安全意识的缺乏。 　　　　SSH是替代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令是加密的并以几种方式进行保密。 　　　　在使用SSH的时候，一个数字证书将认证客户端（你的工作站）和服务器（你的网络设备）之间的连接，并加密受保护的口令。SSH1使用RSA加密密钥，SSH2使用数字签名算法（DSA）密钥保护连接和认证。 　　　　加密算法包括Blowfish，数据加密标准（DES），以及三重DES（3DES）。SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。 　　　　实施SSH的第一步是验证你的设备支持SSH.请登录你的路由器或交换机，并确定你是否加载了一个支持SSH的IPSec IOS镜像。 　　 　　在我们的例子中，我们将使用Cisco IOS命令。运行下面的命令： 　　Router> Show flash 　　　　该命令显示已加载的IOS镜像名称。你可以用结果对比你的供应商的支持特性列表。 　　　　在你验证了你的设备支持SSH之后，请确保设备拥有一个主机名和配置正确的主机域，就像下面的一样： 　　Router> config terminal 　　Router (config)# hostname Router 　　Router (config)# ip domain-name BluS 　　　　在这个时候，你就可以启用路由器上的SSH服务器。要启用SSH服务器，你首先必须利用下面的命令产生一对RSA密钥： 　　Router (config)# crypto key generate rsa 　　　　在路由器上产生一对RSA密钥就会自动启用SSH.如果你删除这对RSA密钥，就会自动禁用该SSH服务器。 　　　　实施SSH的最后一步是启用认证，授权和审计（AAA）。在你配置AAA的时候，请指定用户名和口令，会话超时时间，一个连接允许的尝试次数。像下面这样使用命令： 　　Router (config)# aaa new-model 　　Router (config)# username BluShin password p4ssw0rd 　　Router (config)# ip ssh time-out 　　Router (config)# ip ssh authentication-retries 　　　　要验证你已经配置了SSH并且它正运行在你的路由器上，执行下面的命令： 　　Router# show ip ssh 　　　　在验证了配置之后，你就可以强制那些你在AAA配置过程中添加的用户使用SSH，而不是Telnet.你也可以在虚拟终端（vty）连接中应用SSH而实现同样的目的。这里给出一个例子： 　　Router (config)# line vty 0 4 　　Router (config-line)# transport input SSH 　　　　在你关闭现存的Telnet会话之前，你需要一个SSH终端客户端程序以测试你的配置。我极力推荐PuTTY；它是免费的，而且它是一个优秀的终端软件。 　　 　　 　　 　　IOS设备配置实例 　　________________________________________ 　　 　　Native IOS设备的配置 　　a） 软件需求 　　　　IOS版本12.0.（10）S 以上 含IPSEC 56 Feature 　　　　推荐使用 IOS 12.2 IP PLUS IPSEC 56C以上版本 　　　　基本上Cisco全系列路由器都已支持，但为运行指定版本的软件您可能需要相应地进行硬件升级 　　b） 定义用户 　　　　user BluShin secret p4ss 　　c） 定义域名 　　　　ip domain-name BluS //配置SSH必需 　　d） 生成密钥 　　　　crypto key generate rsa modulus 2048 　　　　执行结果： 　　The name for the keys will be: 6509- 　　% The key modulus size is 2048 bits 　　Generating RSA keys ... 　　[OK] 　　 　　 　　 　　 　　e）指定可以用SSH登录系统的主机的源IP地址 　　access-list 90 remark Hosts allowed to SSH in //低版本可能不支持remark关键字 　　access-list 90 permit 10.10.1.100 　　access-list 90 permit 10.10.1.101 　　 　　 　　 　　 　　f） 限制登录 　　line con 0 　　login local 　　line vty 0 4 　　login local //使用本地定义的用户名和密码登录 　　transport input SSH //只允许用SSH登录(注意：禁止telnet和从交换引擎session!) 　　access-class 90 in //只允许指定源主机登录 　　 　　 　　 　　2.CatOS 　　 　　CatOS设备的配置 　　 　　a） 软件需求 　　　　运行CatOS的6500/4000交换引擎提供SSH服务需要一个6.1以上“k9”版本的软件，如： cat6000-sup2cvk9.7-4-3.bin 和 cat4000-k9.6-3-3a.bin. 　　　　8540/8510交换机支持SSH需要以上12.1（12c）EY版本软件。 　　　　3550交换机支持SSH需要12.1（11）EA1以上版本软件。 　　　　其他交换机可能不支持SSH. 　　b） 生成密钥 　　　　set crypto key rsa 2048 　　　　密钥的生成需要1-2分钟，执行完毕后可用命令show crypto key查看生成的密钥。 　　c） 限制管理工作站地址 　　set ip permit 10.10.1.100 ssh //只允许使用SSH登录的工作站 　　set ip permit 10.10.1.101 ssh 　　set ip permit enable ssh //检查SSH连接的源地址 　　set ip permit enable telnet //检查telnet连接的源地址 　　set ip permit enable snmp //检查snmp请求的源地址 　　 　　 　　 　　 　　　　如果服务的ip permit 处于disable状态，所有的连接将被允许（当然服务如telnet本身可能包含用户认证机制）。如果指定服务的ip permit 处于enable状态，则管理工作站的地址必须事先用set ip permit <管理工作站IP地址> [可选的子网掩码] [允许使用的服务类型（ssh/telnet/snmp）]来定义 　　　　可用命令 show ip permit 来检查ip permit 的配置 　　　　某些服务可能存在安全漏洞（如http）或协议本身设计就是比较不安全的（如snmp、telnet）。如果服务不是必要的，可以将之关闭；如果服务是必须的，应采取措施保证这些服务仅向合法用户提供： 　　6500/4000交换引擎： 　　set ip http server disable //关闭http服务 　　set ip permit enable snmp //限制SNMP源地址 　　set snmp comm. read-only //清空预设的SNMP COMM字 　　set snmp comm. read-write 　　set snmp comm. read-write-all 　　　 　　 　　 　　 　　8500、7500、MSFC等IOS设备： 　　no ip http server //关闭http服务 　　no snmp //关闭snmp服务 　　no service dhcp //关闭 dhcp 服务 　　no ip finger //关闭 finger 服务 　　no service tcp-small-server //关闭tcp基本服务 　　no service udp-small-server //关闭 udp基本服务 　　service password-encryption //启用明文密码加密服务 　　 　　 　　 　　 　　　　 　　 　　SSH 客户端 　　 　　a） 从管理工作站登录 　　　　必须使用支持SSH v1协议的终端仿真程序才能使用SSH协议管理设备，推荐使用Secure CRT 3.3， 也可以使用免费软件putty.下面介绍使用Secure CRT登录SSH设备的方法： 　　　　运行Secure CRT程序，选择菜单File – Quick Connect…设置以下参数：Protocol（协议）： ssh1 Hostname（主机名）： 10.10.1.1 Port（端口）： 22 Username（用户名）： mize Ciper（加密方法）： 3DES Authentication（认证方式）assword 点击Connect，这时可能会提示您接受来自设备的加密公钥，选择Accept once（只用一次）或Accept & Save （保存密钥以便下次使用）。由于协议实现的问题，可能会碰到SSH Buffer Overflow的问题，如果出现“收到大于16k的密钥”的提示，请重新连接。连接正常，输入密码即可登录到系统。 　　　　第二次登录点击File – Connect 点击连接10.10.1.1即可。 　　 　　b） 从IOS设备用SSH协议登录其他设备 　　　　IOS设备也可以发起SSH连接请求（作为SSH Client），从IOS设备登录支持3DES的IOS设备，使用以下命令（-l 指定用户名）： 　　　　ssh –l mize 10.10.3.3 　　　　从IOS设备登录支持 DES（56位）的IOS，使用以下命令（-c des指定1 des加密方式）： 　　　　ssh –c des –l mize 10.10.5.5 　　　　从IOS设备登录支持 3DES的CatOS， 如6509/4006的交换引擎，使用如下命令（无需指定用户名）： 　　　　ssh 10.10.6.6