CiSCO 交換機配置 SSH 登陸
題目:在三層交換機上僅運行 SSH 服務,且用戶名和密碼的方式登錄交換機。
(一)了解主機名與域名
1、"主機名" 為該設備的名稱
2、"域名" 為該設備所屬的所屬者
(二)配置主機名與域名
1、進入特權模式
ESW1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
2、配置主機名
ESW1(config)#hostname rabbit
rabbit(config)#
3、配置域名
rabbit(config)#ip domain-name ?
WORD Default domain name
vrf Specify VRF
rabbit(config)#ip domain-name irabe.me
rabbit(config)#do show ip domain-name
irabe.me
(三)了解什么是 line
1、”line“ 命令有多個選項參數
rabbit(config)#line ?
<0-198> First Line number
aux Auxiliary line
console Primary terminal line
tty Terminal controller (終端控制器)
vty Virtual terminal (虛擬控制器)
x/y Slot/Port for Modems
2、”who“ 查看當前自己所在位置
rabbit(config)#do who
Line User Host(s) Idle Location
* 0 con 0 idle 00:00:00
(四)配置 line 選項卡
1、建立 ssh 用戶
rabbit(config)#aaa new-model
The aaa new-model command causes the local username and password on the router
rabbit(config)#username cisco password 0 cisco
2、配置 ssh 密碼
rabbit(config)#crypto key zeroize rsa
清空 rsa 模式的 crypto 密碼
rabbit(config)#crypto key generate rsa
rabbit(config)#ip ssh version 2
rabbit(config)#do show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 5
3、配置一些信息
rabbit(config-line)#exit
rabbit(config)#ip ssh ?
authentication-retries Specify number of authentication retries ( 指明 authentication 嘗試次數 )
break-string break-string
logging Configure logging for SSH
maxstartups Maximum concurrent sessions allowed
port Starting (or only) Port number to listen on
rsa Configure RSA keypair name for SSH
source-interface Specify interface for source address in SSH
connections
time-out Specify SSH time-out interval ( 指明 SSH 超時間隔 )
version Specify protocol version to be supported ( sshv2 Or sshv1 )
4、配置 vty 傳輸模式
rabbit(config)#line vty 0
VTY是路由器的遠程登陸的虛擬端口,0 4表示可以同時打開5個會話。
rabbit(config-line)#transport input ssh
rabbit(config-line)#
5、配置用戶上線后特權模式密碼
rabbit(config)#enable secret 0 password
rabbit(config)#enable password 0 password
故障排除提示
-
如果 SSH 配置命令被作為非法命令拒絕,則說明您沒有成功地為路由器生成 RSA 密鑰對。請確保指定了主機名和域。然后,使用 crypto key generate rsa 命令生成 RSA 密鑰對並啟用 SSH 服務器。
-
配置 RSA 密鑰對時,可能會遇到下列錯誤消息:
-
No hostname specified此時,必須使用 hostname 全局配置命令為路由器配置一個主機名。
-
No domain specified此時,必須使用 ip domain-name 全局配置命令為路由器配置一個主機域。
-
-
允許的 SSH 連接數受為路由器配置的 vty 的最大數目限制。每個 SSH 連接使用一個 vty 資源。
-
SSH 使用本地安全協議或通過路由器上的 AAA 配置的安全協議進行用戶身份驗證。配置 AAA 時,必須通過在全局配置模式下應用關鍵字來禁用控制台上的 AAA,確保控制台不在 AAA 系統下運行。
-
No SSH server connections running.carter#show ssh %No SSHv2 server connections running. %No SSHv1 server connections running.此輸出表明 SSH 服務器被禁用或未正確啟用。如果已經配置了 SSH,建議您在設備中重新配置 SSH 服務器。完成下列步驟在設備上重新配置 SSH 服務器。
-
刪除 RSA 密鑰對。在刪除 RSA 密鑰對后,SSH 服務器將自動禁用。
carter(config)#crypto key zeroize rsa**注意: **當您啟用SSH v2時,生成與至少768的一密鑰對作為比特大小是重要的。
**警告: **在保存配置后,此命令將無法撤消。而且,在刪除 RSA 密鑰對后,您不能使用證書或 CA 與其他 IP 安全 (IPSec) 對等體進行證書交換,除非您通過重新生成 RSA 密鑰、獲取 CA 的證書並再次請求自己的證書重新配置 CA 互操作性。有關此命令的詳細信息,請參閱 crypto key zeroize rsa - Cisco IOS 安全命令參考 12.3 版。 -
重新配置設備的主機名和域名。
carter(config)#hostname hostname carter(config)#ip domain-name domainname -
為路由器生成 RSA 密鑰對,這將自動啟用 SSH。
carter(config)#crypto key generate rsa有關此命令用法的詳細信息,請參閱 crypto key generate rsa - Cisco IOS 安全命令參考 12.3 版。
**注意: **您可能會收到如下錯誤消息:SSH2 0:Unexpected mesg type received,這是因為路由器無法理解接收到的數據包。要解決此問題,請在生成用於 SSH 的 RSA 密鑰時增加密鑰長度。
-
配置 SSH 服務器。為了啟動並設定一Cisco路由器/交換機SSH服務器的,您能配置SSH參數。如果不配置 SSH 參數,將使用默認值。
ip ssh {[timeout seconds]|
[[authentication-retries integer
]}
carter(config)# ip ssh有關此命令用法的詳細信息,請參閱 ip ssh - Cisco IOS 安全命令參考 12.3 版。
-
全國比賽需要,本文暫不會公開。如果您有幸看到本文說明作者已經比賽完了。