前言

Ssh是加密通讯而telnet是明文通讯,所以在保密要求较高的网络需要使用ssh来管理网络设备,在Cisco路由器产品系列中只有7200系列、7500系列和12000系列(GSR)等高端产品的IOS支持SSH.一般支持SSH的IOS版本文件名中都带有K3或者K4字样,K3 代表56bit SSH 加密,K4代表168bit SSH加密(在交换机上通过执行show ver来查看)。

以下为思科原文,对支持IOS版本描述,原文链接:

http://www.cisco.com/c/en/us/support/docs/security-***/secure-shell-ssh/4145-ssh.html

Requirements

The Cisco IOS p_w_picpath used must be a k9(crypto) p_w_picpath in order to support SSH. For example 

c3750e-universalk9-tar.122-35.SE5.tar is a k9 (crypto) p_w_picpath.

clip_p_w_picpath002

有道汉译:

需求

思科IOS映像必须使用k9(加密)为了支持SSH形象。例如c3750e - universalk9 tar.122 se5——35.。沥青是一种k9(加密)的形象。

所以当发现IOS不支持ssh,但企业又必须实现ssh管理交换机需要事先来升级IOS,也即常说的“灌系统”;

SSH配置部分

Switch(config)#enabled password 12345678aA

//首先建立enabled密码

Switch(config)#hostname SW2

//配置ssh的时候经理避免使用默认名称否则报错

Switch(config)#ip domain-name cisco.com

//配置一个域名,在配置SSH登录时,要生成一1024位RSA key,那么key的名字是以路由器的名字与DNS域名相接合为名字;

Switch(config)#crypto key generate rsa

//生成一个rsa算法的密钥,密钥长度为默认长,也可以通过执行crypto key generate rsa general-keys modulus 1024来指定密钥的长度;

(提示:在Cisoc中rsa支持360-2048位,该算法的原理是:主机将自己的公用密钥分发给相关的客户机,客户机在访问主机时则使用该主机的公开密钥来加密数据,主机则使用自己的私有的密钥来解密数据,从而实现主机密钥认证,确定客户机的可靠身份。)

Switch(config)#ip ssh time-out 120

//设置ssh时间为120秒(默认为120秒)

Switch(config)#ip ssh authentication 4

//设置ssh认证重复次数为4,可以在0-5之间选择

Switch(config)#line vty 0 4

//进入vty模式

ra(config-line)#transport input ssh

//设置vty的登录模式为ssh,默认情况下是all即允许所有登录

Switch(config)#access-class aclname

//链接acl策略,只允许网络管理员链接;

Switch (config-line)#login local

sw1(config)# line vty 0 15

sw1(config-line)# transport input ssh

//此时只有0-4为ssh,所以telnet还可以通过其他 5-15登录,若执行该命令后则telnet将不能进行登录;

Switch(config)#aaa new-model

//启用aaa认证,默认即为在本地服务器上进行认证,也可以执行aaa authentication login default local指定在本地服务器上进行认证;

ra(config-line)#username sshadmin password 0 sshpassword

//创建一个用户admin并设置其密码为sshpassword。

service password-encryption

//将上述所配置密码加密保存;

Show run

Show ip ssh

//可以通过上述命令来查看ssh配置;

crypto key zeroize rsa

//停止Ssh服务;