SSH在思科路由器上具体部署

 利用SSH代替Telnet是必要的,要实现SSH对CISOC的安全管理,还需要在路由器上进行相关设置。

(1)Cisco配置ra#config terminalra(config)#ip domain-name ctocio.com.cn//配置一个域名ra(config)#crypto key generate rsa general-keys modulus 1024//生成一个rsa算法的密钥,密钥为1024位(提示:在Cisoc中rsa支持360-2048位,该算法的原理是:主机将自己的公用密钥分发给相关的客户机,客户机在访问主机时则使用该主机的公开密钥来加密数据,主机则使用自己的私有的密钥来解密数据,从而实现主机密钥认证,确定客户机的可靠身份。ra(config)#ip ssh time 120//设置ssh时间为120秒ra(config)#ip ssh authentication 4//设置ssh认证重复次数为4,可以在0-5之间选择ra(config)#line vty 0 4//进入vty模式ra(config-line)#transport input ssh//设置vty的登录模式为ssh,默认情况下是all即允许所有登录ra(config-line)#loginra(config-line)#exitra(config)#aaa authentication login default local//启用aaa认证,设置在本地服务器上进行认证ra(config-line)#username ctocio password ctocio//创建一个用户ctocio并设置其密码为ctocio用于SSH客户端登录SSH的思科路由器设置就完成了。

(2)SSH登录 上面设置完成后就不能Telnet到cisco了,必须用专门的SSH客户端进行远程登录,而且所有的数据都进行了加密,我们看不到注入用户、密码等敏感信息。

 网络管理安全是第一,SSH能够极大程度地预防来自中间人的攻击,利用SSH可以确保我们远程登录Cisco路由器的安全。