Cisco路由器用SSH替代Telnet鏈接

本文告訴你若何用SSH替代Telnet.

　　使用Telnet這個用來訪謁遠程計較機的TCP/IP和你的用戶名和口令。很快地，會有人進行監聽，並且他們會操做你平安是由於你意識的缺少。

　　SSH是替代Telnet和其餘遠程節制臺打點應用軌範的行業尺度。SSH呼籲是加密的並以幾種體例進行保密。

　　在使用SSH的時辰，一個數字證書將認證客戶端（你的工做站）和處事器（你的收集設備）之間的毗連，並加密受呵護的口令。SSH1使用RSA加密密鑰，SSH2使用數字簽名算法（DSA）密鑰呵護毗連和認證。

　　加密算法蒐羅Blowfish，數據加密尺度（DES），以及三重DES（3DES）。SSH呵護並且有助於防止棍騙，「中心人」抨擊襲擊，以及數據包監聽。

　　實施SSH的第一步是驗證你的設備撐持SSH.請登陸你的路由器或交流機，並肯定你是否加載了一個撐持SSH的IPSec IOS鏡像。

　　在咱們的例子中，咱們將使用Cisco IOS呼籲。運行下面的呼籲：

 

Router> Show flash

 

　　該呼籲顯示已加載的IOS鏡像名稱。

　　在鈉揭捉證了你的設備撐持SSH以後，請確保設備擁有一個主機名和設置裝備擺設正確的主機域，就像下面的同樣：

 

Router> config terminal
Router (config)# hostname hostname
Router (config)# ip domain-name domainname

 

　　在這個時辰，你就能夠啓用路由器上的SSH處事器。要啓用SSH處事器，你首先必需操做下面的呼籲發生一對RSA密鑰：

 

Router (config)# crypto key generate rsa

 

　　在路由器上發生一對RSA密鑰就會自動啓用SSH.如不美觀你刪除這對RSA密鑰，就會自動禁用該SSH處事器。

　　實施SSH的最後一步是啓用認證，受權和審計（AAA）。在你設置裝備擺設AAA的時辰，請指定用戶名和口令，會話超不時刻，一個毗連許可的考試考試次數。像下面這樣使用呼籲：

 

Router (config)# aaa new-model
Router (config)# username password
Router (config)# ip ssh time-out
Router (config)# ip ssh authentication-retries

 

　　要驗證你已經設置裝備擺設了SSH並且它正運行在你的路由器上，執行下面的呼籲：

 

Router# show ip ssh

 

　　在驗證了設置裝備擺設以後，你就能夠強制那些你在AAA設置裝備擺設過程當中添加的用戶使用SSH，而不是Telnet.你也能夠在虛擬終端（vty）毗連中應用SSH而實現一樣的目的。這裏給出一個例子：

 

Router (config)# line vty 0 4
Router (config-line)# transport input SSH

 

　　在你封鎖現存的Telnet會話以前，你須要一個SSH終端客戶端軌範以測試你的設置裝備擺設。我死力舉薦PuTTY；它是免費的，並且它是一個優異的終端軟件。

最後的設法

 

　　當你在你的路由器和交流機上啓用了SSH以後，保證你改削了全部現存的訪謁節制列表以許可對這些設備的毗連。你此刻能夠向你的上級陳述你已經堵上了一個巨年夜的平安裂痕：此刻全部的收集打點會話都被加密並且被呵護着。