Cisco IOS配置SSH详解

2.CatOS（如6500/4000交换引擎）的配置：

　　a） 软件需求

　　运行CatOS的6500/4000交换引擎提供SSH服务需要一个6.1以上“k9”版本的软件，如： cat6000-sup2cvk9.7-4-3.bin 和 cat4000-k9.6-3-3a.bin.

　　其他交换机可能不支持SSH.

　　b） 生成密钥

　　set crypto key rsa 2048

　　密钥的生成需要1-2分钟，执行完毕后可用命令show crypto key查看生成的密钥。

　　c） 限制管理工作站地址

set ip permit 10.10.1.100 ssh //只允许使用SSH登录的工作站

set ip permit 10.10.1.101 ssh

set ip permit enable ssh //检查SSH连接的源地址

set ip permit enable telnet //检查telnet连接的源地址

set ip permit enable snmp //检查snmp请求的源地址

　　如果服务的ip permit 处于disable状态，所有的连接将被允许（当然服务如telnet本身可能包含用户认证机制）。如果指定服务的ip permit 处于enable状态，则管理工作站的地址必须事先用set ip permit <管理工作站IP地址> [可选的子网掩码] [允许使用的服务类型（ssh/telnet/snmp）]来定义

　　可用命令 show ip permit 来检查ip permit 的配置

　　某些服务可能存在安全漏洞（如http）或协议本身设计就是比较不安全的（如snmp、telnet）。如果服务不是必要的，可以将之关闭；如果服务是必须的，应采取措施保证这些服务仅向合法用户提供：

　　6500/4000交换引擎：

set ip http server disable //关闭http服务

set ip permit enable snmp //限制SNMP源地址

set snmp comm. read-only //清空预设的SNMP COMM字

set snmp comm. read-write

set snmp comm. read-write-all

　　8500、7500、MSFC等IOS设备：

no ip http server //关闭http服务

no snmp //关闭snmp服务

no service dhcp //关闭 dhcp 服务

no ip finger //关闭 finger 服务

no service tcp-small-server //关闭tcp基本服务

no service udp-small-server //关闭 udp基本服务

service password-encryption //启用明文密码加密服务

　　3.SSH 客户端

　　a） 从管理工作站登录

　　必须使用支持SSH v1协议的终端仿真程序才能使用SSH协议管理设备，推荐使用Secure CRT 3.3， 也可以使用免费软件putty.下面介绍使用Secure CRT登录SSH设备的方法：

　　运行Secure CRT程序，选择菜单File – Quick Connect…设置以下参数：Protocol（协议）： ssh1 Hostname（主机名）： 10.10.1.1 Port（端口）： 22 Username（用户名）： mize Ciper（加密方法）： 3DES Authentication（认证方式）assword 点击Connect，这时可能会提示您接受来自设备的加密公钥，选择Accept once（只用一次）或Accept &Save （保存密钥以便下次使用）。由于协议实现的问题，可能会碰到SSH Buffer Overflow的问题，如果出现“收到大于16k的密钥”的提示，请重新连接。连接正常，输入密码即可登录到系统。

　　第二次登录点击File – Connect 点击连接10.10.1.1即可。

　　b） 从IOS设备用SSH协议登录其他设备

　　IOS设备也可以发起SSH连接请求（作为SSH Client），从IOS设备登录支持3DES的IOS设备，使用以下命令（-l 指定用户名）：

　　ssh –l mize 10.10.3.3

　　从IOS设备登录支持 DES（56位）的IOS，使用以下命令（-c des指定1 des加密方式）：

　　ssh –c des –l mize 10.10.5.5

　　从IOS设备登录支持 3DES的CatOS， 如6509/4006的交换引擎，使用如下命令（无需指定用户名）：

　　ssh 10.10.6.6

　　4.限制telnet源地址

　　对于未支持SSH 的设备，可采取限制telnet源地址的方法来加强安全性。为了不致于增加一个管理员地址就要把所有的设备配置修改一遍，可以采用中继设备的方法，即受控设备只允许中继设备的telnet访问，中继设备则允许多个管理员以较安全的方法（如SSH）登录。

　　设置中继设备：

inter lo 0

ip address 10.10.1.100 255.255.255.255

ip telnet source-interface Loopback0 //发起telnet的源地址

　　设置受控设备：

access-list 91 remark Hosts allowed to TELNET in

access-list 91 permit 10.10.1.100

access-list 91 permit 10.10.1.101

line con 0

password xxxxxxxx

line vty 0 4

password xxxxxxxx

access-class 91 in