Cisco IOS配置SSH详解

　　使用telnet进行远程设备维护的时候，由于密码和通讯都是明文的，易受sniffer侦听，所以应采用SSH替代telnet.SSH （Secure Shell）服务使用tcp 22 端口，客户端软件发起连接请求后从服务器接受公钥，协商加密方法，成功后所有的通讯都是加密的。Cisco 设备目前只支持SSH v1，不支持v2.Cisco实现 SSH的目的在于提供较安全的设备管理连接，不适用于主机到主机的通讯加密。Cisco推荐使用IPSEC作为端对端的通讯加密解决方案。

1.IOS设备（如6500 MSFC、8500、7500）的配置：

　　a） 软件需求

　　IOS版本12.0.（10）S 以上 含IPSEC 56 Feature

　　推荐使用 IOS 12.2 IP PLUS IPSEC 56C以上版本

　　基本上Cisco全系列路由器都已支持，但为运行指定版本的软件您可能需要相应地进行硬件升级

　　b） 定义用户

　　user mize pass nnwh@163.net

　　user sense secret ssn

　　d） 定义域名

　　ip domain-name mize.myrice.com //配置SSH必需

　　e） 生成密钥

　　crypto key generate rsa modulus 2048

　　执行结果：

The name for the keys will be: 6509-mize.myrice.com

% The key modulus size is 2048 bits

Generating RSA keys ...

[OK]

　　f）指定可以用SSH登录系统的主机的源IP地址

access-list 90 remark Hosts allowed to SSH in //低版本可能不支持remark关键字

access-list 90 permit 10.10.1.100

access-list 90 permit 10.10.1.101

　　g） 限制登录

line con 0

login local

line vty 0 4

login local //使用本地定义的用户名和密码登录

transport input SSH //只允许用SSH登录(注意：禁止telnet和从交换引擎session!)

access-class 90 in //只允许指定源主机登录