本文告訴你若何用SSH替代Telnet.
使用Telnet這個用來訪謁遠程計較機的TCP/IP和你的用戶名和口令。很快地,會有人進行監聽,而且他們會操作你平安是因為你意識的缺乏。
SSH是替代Telnet和其他遠程節制台打點應用軌范的行業尺度。SSH呼吁是加密的並以幾種體例進行保密。
在使用SSH的時辰,一個數字證書將認證客戶端(你的工作站)和處事器(你的收集設備)之間的毗連,並加密受呵護的口令。SSH1使用RSA加密密鑰,SSH2使用數字簽名算法(DSA)密鑰呵護毗連和認證。
加密算法搜羅Blowfish,數據加密尺度(DES),以及三重DES(3DES)。SSH呵護而且有助於防止棍騙,“中心人”抨擊襲擊,以及數據包監聽。
實施SSH的第一步是驗證你的設備撐持SSH.請登錄你的路由器或交流機,並確定你是否加載了一個撐持SSH的IPSec IOS鏡像。
在我們的例子中,我們將使用Cisco IOS呼吁。運行下面的呼吁:
Router> Show flash
該呼吁顯示已加載的IOS鏡像名稱。
在鈉揭捉證了你的設備撐持SSH之后,請確保設備擁有一個主機名和設置裝備擺設正確的主機域,就像下面的一樣:
Router> config terminal Router (config)# hostname hostname Router (config)# ip domain-name domainname
在這個時辰,你就可以啟用路由器上的SSH處事器。要啟用SSH處事器,你首先必需操作下面的呼吁發生一對RSA密鑰:
Router (config)# crypto key generate rsa
在路由器上發生一對RSA密鑰就會自動啟用SSH.如不美觀你刪除這對RSA密鑰,就會自動禁用該SSH處事器。
實施SSH的最后一步是啟用認證,授權和審計(AAA)。在你設置裝備擺設AAA的時辰,請指定用戶名和口令,會話超不時刻,一個毗連許可的考試考試次數。像下面這樣使用呼吁:
Router (config)# aaa new-model Router (config)# username password Router (config)# ip ssh time-out Router (config)# ip ssh authentication-retries
要驗證你已經設置裝備擺設了SSH而且它正運行在你的路由器上,執行下面的呼吁:
Router# show ip ssh
在驗證了設置裝備擺設之后,你就可以強制那些你在AAA設置裝備擺設過程中添加的用戶使用SSH,而不是Telnet.你也可以在虛擬終端(vty)毗連中應用SSH而實現同樣的目的。這里給出一個例子:
Router (config)# line vty 0 4 Router (config-line)# transport input SSH
在你封鎖現存的Telnet會話之前,你需要一個SSH終端客戶端軌范以測試你的設置裝備擺設。我死力舉薦PuTTY;它是免費的,而且它是一個優異的終端軟件。
最后的設法
當你在你的路由器和交流機上啟用了SSH之后,保證你改削了所有現存的訪謁節制列表以許可對這些設備的毗連。你此刻可以向你的上級陳述你已經堵上了一個巨年夜的平安裂痕:此刻所有的收集打點會話都被加密而且被呵護着。