Cisco路由器用SSH替代Telnet连接

如果你一直使用Telnet控制网络设备，可以考虑其他更安全的方式。本文告诉您如何用SSH替换Telnet。

使用Telnet(用于访问远程计算机以控制您的网络设备的TCP/IP协议)相当于在您离开大楼时大喊您的用户名和密码。很快，就会有人偷听，他们会利用你安全意识的不足。

SSH是取代Telnet和其他远程控制台管理应用程序的行业标准。SSH命令以多种方式加密和保密。

使用SSH时，数字证书将验证客户端(您的工作站)和服务器(您的网络设备)之间的连接，并加密受保护的密码。SSH1使用RSA加密密钥，SSH2使用数字签名算法(DSA)密钥来保护连接和身份验证。

加密算法包括Blowfish、数据加密标准(DES)和三重DES(3DES)。SSH保护并帮助防止欺骗、“中间人”攻击和数据包监控。

实现SSH的第一步是验证您的设备是否支持SSH。请登录到您的路由器或交换机，并确定您是否加载了支持SSH的IPSec IOS映像。

在我们的例子中，我们将使用Cisco IOS命令。运行以下命令:

路由器>显示flash

此命令显示加载的IOS映像名称。您可以将结果与供应商的支持功能列表进行比较。

验证您的设备支持SSH后，请确保该设备具有主机名和正确配置的主机域，如下所示:

路由器>配置终端
路由器(配置)#主机名主机名
路由器(配置)# ip域名域名

此时，您可以在路由器上启用SSH服务器。要启用SSH服务器，您必须首先使用以下命令生成一对RSA密钥:

路由器(配置)#加密密钥生成rsa

在路由器上生成一对RSA密钥将自动启用SSH。如果您删除这对RSA密钥，SSH服务器将被自动禁用。

SSH实现的最后一步是启用认证、授权和审计(AAA)。配置AAA时，请指定用户名和密码、会话超时以及允许的连接尝试次数。像这样使用命令:

路由器(配置)# aaa新型号
路由器(配置)#用户名密码
路由器(配置)# ip ssh超时
路由器(配置)# ip ssh验证-重试

要验证您已经配置了SSH并且它正在您的路由器上运行，请执行以下命令:

路由器# show ip ssh

验证配置后，您可以强制那些在AAA配置期间添加的用户使用SSH而不是Telnet。您还可以在虚拟终端(vty)连接中使用SSH来达到相同的目的。这里有一个例子:

路由器(配置)# line vty 0 4
路由器(配置线)#传输输入SSH

在关闭现有的Telnet会话之前，您需要一个SSH终端客户端程序来测试您的配置。我强烈推荐腻子；；它是免费的，是一款优秀的终端软件。

最后的想法

在路由器和交换机上启用SSH后，请确保修改所有现有的访问控制列表，以允许连接到这些设备。现在你可以向你的上级报告，你已经堵住了一个巨大的安全漏洞:现在所有的网络管理会话都被加密和保护。