思科设备SSH登录配置


SSH是一种网络协议，用于计算机之间的加密登录。如果一个用户从本地机算计，使用SSH协议登录另外一远程计算机，可认为，这种登录是安全的。早时互联网通信都是明文通信，一旦被截获，内容就暴露无疑。1995年芬兰学着设计了SSH协议，将登录信息全部加密，成为互联网安全的一个基本解决方案。

首先搭建实验环境，网络拓扑图如下：



配置ssh远程登录管理方式，创建用户名mtlk1和口令，密码加密存储。要想远程访问设备，需要配置一个接口IP用于转发三层数据包，对于一般的二层交换机，不能像路由器一样配置接口IP，只能在虚拟VLAN接口上陪一个管理IP，用于转发管理流量，实现远程登录。配置如下：



接下来配置ssh远程登录认证，采用用户名+密码组合认证。配置如下：



查看下是否配置成功，结果如下：



可以看到密码是以密文呈现的，加密成功。
思科交换机如果配置ssh远程服务，必须同时开启特权模式的密码，根据ssh认证机制，必须给本机配置一个域名才能生成密钥进行加密，并生成本地RSA密钥对。配置如下：



最后给ssh配置一些登录参数：选择ssh的版本，修改认证次数，修改认证时间，配置如下：



用“show ip ssh”来查看修改是否成功，结果如下：



远程登录验证：用“ssh -l mtlk1 192.168.1.2”命令来远程登录，结果如下：



然后在特权模式下保存配置，命令是“copy running-config startup-config”



保存完成后用“relo”命令重启交换机，然后查看配置是否保存成功，结果如下：



可以看到配置保存成功。

1
1、本地PC连到交换机配置口
第一次配置交换机时，只能通过交换机的Console口进行本地配置，默认Console口登录到命令行界面时没有密码且拥有全部权限。要连接到交换机，你只需要在PC上装好需要的超级终端软件(SecureCRT或Xshell等)，然后通过一条串口转USB的线将PC连接到交换机的Console口上，然后设置好接口属性即可建立连接，进入命令行后可以进行相关Telnet配置。
2
1)、连线
首先将PC连通过Console线连到交换机上，如下图所示，Console线一端接PC的串口或USB，另一端接交换机的Console口(RJ45的居多)，我这里用的是USB转RJ45的线。
3
2)、 建立连接
在PC上通过终端软件(如Xshell、SecureCRT等，这里用的是Xshell)建立连接。
首先打开Xshell，新建会话，选择连接类型为串口(Serial)：
4
然后点击左边Serial连接属性，选择使用端口号COM3(如果不知道自己使用的是哪个端口，可以在PC上打开设备管理器在端口中即可看到，一般均使用COM3)，设置波特率为9600(大多数设备都是这个值)，如下图所示，都设置好后，点击确定：
5
确认好连接属性后，会弹出会话框，在会话框里选择你刚刚新建的会话，然后点击连接即可。
6
如果设置没问题的话，一般就可以直接进入交换机的操作系统如下，默认Console口没有认证密码，可以直接进入命令行进行管理和配置，如果没有进入命令行就要自己回头检查一下之前的配置有没有问题或者交换机之前有没有做过什么访问限制(必要的话可以重置交换机，如有些时候之前交换机命令行设置了密码，现在已经无从考证，只要简单的重置就可以恢复默认状态，进入时就不需要密码了)。
7
2、配置接口管理IP
进入命令行后就可以进行相关配置了，要远程访问设备，首先要配置一个接口IP用来转发三层数据包，对于一般的二层接入交换机，不能像路由器一样直接配置接口IP，只能在虚拟VLAN接口上配一个管理IP，用来转发管理流量，实现远程登录，配置命令如下。
1)、创建虚拟VLAN用于配置接口IP(全局配置模式下)
Switch(config)#vlan 
2)、进入VLAN接口配置模式(全局配置模式下)
Switch(config)#interface vlan 
3)、配置接口IP地址(VLAN接口配置模式下)
Switch(config-if)#ip address 
4)、激活当前虚拟接口(VLAN接口配置模式下)
Switch(config-if)#no shutdown
8
3、配置SSH远程登录认证
思科交换机远程登录认证支持三种方式：无认证、密码认证、用户名+密码组合认证，可以根据需要配置相应的认证方式。在配置认证时可以使用终端线路的密码进行口令认证(l，也可以使用用户名+密码认证，用户名+密码有两种方式，一种是使用本地数据库中的用户账户进行认证，另一种是使用外部服务器上的用户数据库进行认证。认证方式要在虚拟线路终端模式下配置
9
1)、无认证方式
设置虚拟终端线路号并进入虚拟线路终端配置模式(全局配置模式下)：
Switch(config)#line vty <0-15>
配置无认证登录方式(虚拟线路终端配置模式下)：
Switch(config-line)#no login
要配置认证方式，首先要进入虚拟线路终端配置模式，其中line vty为虚拟线路终端模式的关键词，后边为要启用的线路终端号，可以启用其中一条或多条，一般一共有16条线路，也就是说可以支持16台设备通过不同线路同时登录到设备。进入虚拟线路终端配置模式后，输入no login即可取消远程登录认证，这样无需密码就可以从远程登录到设备命令行
10
2)、密码认证方式
设置虚拟终端线路号并进入虚拟线路终端配置模式(全局配置模式下)：
Switch(config)#line vty <0-15>
开启认证，默认使用虚拟终端中的密码登录(虚拟线路终端配置模式下)
Switch(config-line)#login
配置虚拟终端密码(虚拟终端线路配置模式)：
Switch(config-line)#password 
进入虚拟线路终端配置模式后，选择 login就会开启密码认证，远程登录时直接使用虚拟线路配置模式中设置好的密码来进行登录验证。选择 login认证方式后，必须在虚拟线路配置模式中设置一个密码用来进行远程登录验证。
11
3 )、本地用户名+密码组合认证方式
设置虚拟终端线路号并进入虚拟线路终端配置模式(全局配置模式下)：
Switch(config)#line vty <0-15>
配置密码校检模式使用本地数据库(用户名/密码)校检：
Switch(config-line)#login local
进入虚拟线路终端配置模式后，选择 login local就会开启本地用户认证模式，远程登录时会使用本地数据库中存储的用户和密码信息来进行登录验证。
12
4、创建本地用户
在配置用户名+密码组合登录认证的情况下，至少要配置一个本地用户并设置密码用来通过SSH远程登录设备，思科交换机配置本地用户的命令如下，可以用一条命令同时配置用户名和密码，密码则有两种模式可选，分别是明文密码和密文密码：
1)、以明文密码方式配置(全局配置模式下)：
Switch(config)#username  [privilege <0-15>] password 
2)、以密文密码方式配置(全局配置模式下)：
Switch(config)#username  [privilege <0-15>] secret 
如果配置了明文密码，配置文件中密码会以明文方式显示，如果使用了密文密码，配置文件中会对密码信息进行加密处理。
13
如我们这里配置用户登录密码为明文密码admin，然后通过命令show run可以在配置文件看到对应的配置信息中用户密码以明文admin显示，如下图所示：
14
而如果配置用户登录密码为密文密码admin，则可以看到配置文件中密码admin被进行了加密处理，在配置文件中以密文表示，如下图所示，这样会增加配置信息的安全性。
15
注：给同一个用户名多次配置不同的密码(同一类型的密码)，不会报错，但后配置的密码会自动覆盖前一个密码，最终只有最后一次配置的密码会生效。
注：不能同时给同一个用户配置一个明文密码和一个密文密码，否则会报错，如下图已经给admin用户配置了密文密码admin后，再给其配置一个明文密码就会报错：
16
5、配置特权模式密码
出于安全性考虑，思科交换机上如果配置了Telnet或SSH远程服务，就必须同时配置特权模式的密码，不管是无认证方式登录还是有认证方式下都需要配置，否则登录到命令行后只能进入用户模式，进入特权模式时会提示“No password set”，所以配置完认证模式后不要忘了配置特权模式密码。如下图所示，就是分别配置了无认证方式登录、密码登录和用户名+密码登录后未配置特权模式密码的报错情况，如果真的发生这种情况，远程登录就修改不了了，只能通过交换机Console口登录到命令行去重新修改配置了，Console口默认拥有最大权限的。
17
配置特权模式密码(全局配置模式下)：
Switch(config)#enable [secret|password] 
其中enable关键字表示特权模式，后边可以选择设置的密码类型，secret表示密码在配置文件中用密文表示，password表示密码在配置文件中用明文表示，后边直接跟你要设置的字符串密码就好。一般推荐用secret，安全性较高。
注：如果给交换机特权模式同时配置了password形式的密码和secret形式的密码，不会报错，但是只有secret形式的密码会生效，此外新配置的secret密码会自动覆盖旧的secret密码。
18
6、配置本机域名
根据SSH的认证机制，必需要给本机配置一个域名才能生成密钥对进行加密。
配置本机域名(全局配置模式下)：
Switch(config)#ip domain-name 
19
7、生成本地RSA密钥对
使用SSH加密方式，需要在本地生成一组密钥对，公钥和私钥用来加密和解密数据(默认密匙长度为512，建议为1024)。
生成密钥对(全局配置模式下)：
Switch(config)#crypto key generate rsa
注：要先配置本机域名之后才能生成密钥对，否则会报错。
注：生成密钥对时不能使用交换机默认的设备名，否则会报错。
注：要删除本地密钥对可以使用命令：crypto key zeroize rsa。
20
8、SSH登录参数配置
选择要使用的ssh版本(默认使用版本1)
Switch(config)#ip ssh version <1|2>
修改认证次数( 默认为认证时需要输入三次密码)
Switch(config)#ip ssh authentication-retries <0-5>
修改认证超时时间(默认为120s)
Switch(config)#ip ssh time-out <1-120>
注：并非所有的设备都支持SSH版本2，并且密匙长度至少需要768bits的模长才能使用版本2。
21
9、查看SSH协议状态
查看SSH协议状态(特权模式)：
Switch#show ip ssh
使用这条命令可以出查看SSH协议的参数信息，如运行的SSH版本号、认证超时时间、认证次数、密匙密钥长度和信息，如下图所示：
22
查看ssh连接(特权模式下)：
Switch#show ssh
使用这条命令可以查看当前通过SSH登录的用户信息，如下图所示：
23
10、设置交换机的默认网关
二层交换机配置了管理IP地址后，在管理地址的同网段内，设备可通过管理IP地址来远程访问交换机，但若要跨网段去登录连接到另一个网段的二层交换机，则必须给二层交换机配置指定默认网关，双方的二层交换机都要配置指定默认网关地址。企业局域网中一般会用到多个VLAN和网段，一般不同地址段的路由都是在上层设备上做通了的，而一般二层交换机只要将网关指向汇聚/核心层的三层设备的网管IP就可以了，具体全网路由互通则交由上层设备通过静态/动态路由实现，关于上层路由打通还请大家自己查阅路由交换相关资料，这里就不详细说明了。
配置默认网关命令如下：
Switch(config)#ip default-gateway 
END

SSH的优势
在现在这个信息时代，网络安全变得越来越重要，当然路由器交换机作为数据传输的环节，安全性更为重要。
现在的网络设备一般都是支持SSH和Telnet远程登录的，新设备一般默认建议SSH登录。
Telnet是明文传送，SSH是密文传送，这是最主要的区别。
SSH替代Telnet是趋势也是现实。在使用SSH的时候，一个数字证书将认证客户端(你的工作站)和服务器(你的网络设备)之间的连接，并加密受保护的口令。SSH1使用RSA加密密钥，SSH2使用数字签名算法(DSA)密钥保护连接和认证。加密算法包括Blowfish，数据加密标准(DES)，以及三重DES(3DES)。SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听。
通过使用SSH把所有传输的数据进行加密，这样“中间人”这种攻击方式就不可能实现了，而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的，所以可以加快传输的速度。SSH有很多功能，它既可以代替telnet，又可以为ftp、pop、甚至ppp提供一个安全的“通道”。
SSH配置
1.配置设备名称，domain名称，生成RSA 密钥对
Switch#configure terminal
Switch(config)#hostname test
test(config)#ip domain-name hello2099.com
test(config)#crypto key generate rsa
The name for the keys will be: test.hello2099.com
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]:
% Generating 512 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 0 seconds)
要删除 RSA 密钥对，请使用crypto key zeroize rsa 全局配置模式命令。删除 RSA 密钥对之后，SSH 服务将自动禁用。
2.配置SSH版本，超时时间，重认证次数
test(config)#ip ssh version 2
test(config)#ip ssh time-out 90
test(config)#ip ssh authentication-retries 2
以上参数可根据实际情况自行选择。对于比较新的iso，可以直接敲入 ip ssh time-out 90 authentication-retries 2
3.配置用户身份验证和vty线路。
SSH登陆需要用户名和密码，所以必须要配置用户。我这里使用的是本地认证，实际环境中AAA认证同理。
test(config)#username cisco secret cisco
test(config)#enable secret cisco
test(config)#line vty 0 4
test(config-line)#login local
test(config-line)#transport input ssh
如需关闭Telnet，只开启SSH，敲入transport input ssh
如需同时支持SSH和Telnet，敲入transport input all
test(config-line)#transport input ?
all All protocols
none No protocols
ssh TCP/IP SSH protocol
telnet TCP/IP Telnet protocol
一般情况下line vty 0 4配置完成后，建议将vty 5 15关闭，因为如果vty 0 4启用了SSH登录而vty 5 15没有，远程Telnet会绕过vty 0 4而使用vty 5 15。如下面的情况：
因此建议将vty 5 15关闭。
test(config-line)#line vty 5 15
test(config-line)#transport input none
再次登录，就完全关闭了Telnet，只能使用SSH。
4.检查SSH登录
test#show ssh
Connection Version Mode Encryption Hmac State Username
0 2.0 IN aes256-ctr hmac-sha1 Session started cisco
0 2.0 OUT aes256-ctr hmac-sha1 Session started cisco
%No SSHv1 server connections running.
test#show ip ssh
SSH Enabled - version 2.0
Authentication methods:publickey,keyboard-interactive,password
Encryption Algorithms:aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
MAC Algorithms:hmac-sha1,hmac-sha1-96
Authentication timeout: 90 secs; Authentication retries: 2
Minimum expected Diffie Hellman key size : 1024 bits
IOS Keys in SECSH format(ssh-rsa, base64 encoded):
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQDNYkHIP4uyK+jxLV6n3AlBtUaa6O53K9u2qrtQQu+v
jdmW9vhhsiFaDUDf4fROkczE+6FskpgeqEdP6MtqxCO8CNAPIxqDIYR/bBGtWBhhEsPmrgpQBGWCKSyJ
aRBLdeCRJXmYLEDZXCcEtmJQf6Iu7zCV9ZMxO0A1/2B4Si9Dgw==
配置范例
Switch(config)# hostname test
test(config)# ip domain-name hello2099.com
test(config)# crypto key generate rsa
test(config)# ip ssh version 2
test(config)# ip ssh time-out 90
test(config)# ip ssh authentication-retries 2
test(config)# username cisco secret cisco
test(config)# enable secret cisco
test(config)# line vty 0 4
test(config-line)# login local
test(config-line)# transport input ssh
test(config)# line vty 5 15
test(config-line)# transport input none

配置环境：EVE-NG

拓扑：



///

#配置链路聚合

#设置主机名

Switch(config)#hostname hxjh1

#配置vlan接口ip地址

hxjh1(config)#interface vlan 1

hxjh1(config-if)#ip address 192.168.0.1 255.255.255.0

hxjh1(config)#interface vlan 2

hxjh1(config-if)#ip address 192.168.2.1 255.255.255.0

hxjh1(config-if)#no shutdown

#定义聚合组，配置聚合组

hxjh1(config)#interface port-channel 10

hxjh1(config-if)#description test

hxjh1(config-if)#switchport mode trunk

Command rejected: Po10 not a switching port.

hxjh1(config-if)#switchport trunk encapsulation dot1q

hxjh1(config-if)#switchport mode trunk

hxjh1(config-if)#switchport trunk allowed vlan all

hxjh1(config-if)#no shutdown

#接口加入聚合组

hxjh1(config)#interface e0/2

hxjh1(config-if)#no shutdown

hxjh1(config-if)#channel-group 10 mode active

#接口加入聚合组

hxjh1(config-if)#interface e0/3

hxjh1(config-if)#no shutdown

hxjh1(config-if)#channel-group 10 mode active

#查看聚合组状态

hxjh1# show etherchannel detail

///

///

#登录配置

#配置console口密码

hxjh1(config)#line console 0

hxjh1(config-line)#login

% Login disabled on line 0, until ‘password’ is set

hxjh1(config-line)#password admin

#配置enable密码

hxjh1(config)#enable secret admin

#配置本地用户登录方式

hxjh1(config)#line vty 0 4

hxjh1(config-line)#login local

#配置登录用户

hxjh1(config)#username admin privilege 15 secret admin

#配置本地域名

hxjh1(config)#ip domain-name test.com

#生成秘钥对

hxjh1(config)#crypto key generate rsa

#配置ssh登录认证次数

hxjh1(config)#ip ssh authentication-retries 3

#配置认证超时时间

hxjh1(config)#ip ssh time-out 120

#查看SSH状态信息

hxjh1#show ip ssh

SSH Enabled - version 1.5

Authentication timeout: 120 secs; Authentication retries: 3

///

///
#交换机1完整配置
hxjh1#show running-config
Building configuration...

Current configuration : 1269 bytes
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname hxjh1
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$N2IH$EJ46qTQz2G5PP1r834fr2.
!
username admin privilege 15 secret 5 $1$k3NR$tvKHhIm.5NY2yHOJ13IXB.
no aaa new-model
clock timezone EET 2
!
ip cef
ip domain-name test.com
!
no ipv6 cef
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
ip ssh version 1
!
!
!
!
!
!
interface Port-channel10
 description test
 switchport
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface Ethernet0/0
 duplex auto
!
interface Ethernet0/1
 duplex auto
!
interface Ethernet0/2
 switchport trunk encapsulation dot1q
 switchport mode trunk
 duplex auto
 channel-group 10 mode active
!
interface Ethernet0/3
 switchport trunk encapsulation dot1q
 switchport mode trunk
 duplex auto
 channel-group 10 mode active
!
interface Vlan1
 ip address 192.168.0.1 255.255.255.0
!
interface Vlan2
 ip address 192.168.2.1 255.255.255.0
!
!
ip forward-protocol nd
no ip http server
!
!
!
!
!
control-plane
!
!
line con 0
 password admin
 logging synchronous
 login
line aux 0
line vty 0 4
 login local
 transport input all
!
end

///

///
#交换机2完整配置
hxjh2#show running-config
Building configuration...

Current configuration : 1257 bytes
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname hxjh2
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$aPzQ$M7suR.LH9sTDB/dyr1TT8/
!
username admin privilege 15 secret 5 $1$KZID$jtdZKHRjhfEsn1diUXidQ.
no aaa new-model
clock timezone EET 2
!
ip cef
ip domain-name test.com
!
no ipv6 cef
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
ip ssh version 1
!
!
!
!
!
!
interface Port-channel10
 description test
 switchport
 switchport trunk encapsulation dot1q
 switchport mode trunk
!
interface Ethernet0/0
 duplex auto
!
interface Ethernet0/1
 switchport access vlan 2
 switchport mode access
 duplex auto
!
interface Ethernet0/2
 switchport trunk encapsulation dot1q
 switchport mode trunk
 duplex auto
 channel-group 10 mode active
!
interface Ethernet0/3
 switchport trunk encapsulation dot1q
 switchport mode trunk
 duplex auto
 channel-group 10 mode active
!
interface Vlan1
 ip address 192.168.0.2 255.255.255.0
!
!
ip forward-protocol nd
no ip http server
!
!
!
!
!
control-plane
!
!
line con 0
 password admin
 logging synchronous
 login
line aux 0
line vty 0 4
 login
 transport input all
!
end

///

查看链路聚合：
hxjh2#show etherchannel summary
Flags:  D - down        P - bundled in port-channel
        I - stand-alone s - suspended
        H - Hot-standby (LACP only)
        R - Layer3      S - Layer2
        U - in use      N - not in use, no aggregation
        f - failed to allocate aggregator

        M - not in use, no aggregation due to minimum links not met
        m - not in use, port not aggregated due to minimum links not met
        u - unsuitable for bundling
        d - default port

        w - waiting to be aggregated
Number of channel-groups in use: 1
Number of aggregators:           1

Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------
10     Po10(SU)        LACP      Et0/2(P)       Et0/3(P)

验证ssh登录：
hxjh2#ssh -l admin 192.168.0.1
Password:

验证连通性：
VPCS> ping 192.168.0.1

84 bytes from 192.168.0.1 icmp_seq=1 ttl=255 time=0.335 ms
84 bytes from 192.168.0.1 icmp_seq=2 ttl=255 time=0.516 ms
84 bytes from 192.168.0.1 icmp_seq=3 ttl=255 time=4.029 ms
84 bytes from 192.168.0.1 icmp_seq=4 ttl=255 time=0.445 ms
84 bytes from 192.168.0.1 icmp_seq=5 ttl=255 time=1.579 ms