扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
使用telnet进行远程设备维护的时候,由于密码和通讯都是明文的,易受sniffer侦听,所以应采用SSH替代telnet.SSH (Secure Shell)服务使用tcp 22 端口,客户端软件发起连接请求后从服务器接受公钥,协商加密方法,成功后所有的通讯都是加密的。Cisco 设备目前只支持SSH v1,不支持v2.Cisco实现 SSH的目的在于提供较安全的设备管理连接,不适用于主机到主机的通讯加密。Cisco推荐使用IPSEC作为端对端的通讯加密解决方案。
1.IOS设备(如6500 MSFC、8500、7500)的配置:
a) 软件需求
IOS版本12.0.(10)S 以上 含IPSEC 56 Feature
推荐使用 IOS 12.2 IP PLUS IPSEC 56C以上版本
基本上Cisco全系列路由器都已支持,但为运行指定版本的软件您可能需要相应地进行硬件升级
b) 定义用户
user mize pass nnwh@163.net
user sense secret ssn
d) 定义域名
ip domain-name mize.myrice.com //配置SSH必需
e) 生成密钥
crypto key generate rsa modulus 2048
执行结果:
The name for the keys will be: 6509-mize.myrice.com |
f)指定可以用SSH登录系统的主机的源IP地址
access-list 90 remark Hosts allowed to SSH in //低版本可能不支持remark关键字 |
g) 限制登录
line con 0 |
a) 软件需求
运行CatOS的6500/4000交换引擎提供SSH服务需要一个6.1以上“k9”版本的软件,如: cat6000-sup2cvk9.7-4-3.bin 和 cat4000-k9.6-3-3a.bin.
8540/8510交换机支持SSH需要以上12.1(12c)EY版本软件。
3550交换机支持SSH需要12.1(11)EA1以上版本软件。
其他交换机可能不支持SSH.
b) 生成密钥
set crypto key rsa 2048
密钥的生成需要1-2分钟,执行完毕后可用命令show crypto key查看生成的密钥。
c) 限制管理工作站地址
set ip permit 10.10.1.100 ssh //只允许使用SSH登录的工作站 |
如果服务的ip permit 处于disable状态,所有的连接将被允许(当然服务如telnet本身可能包含用户认证机制)。如果指定服务的ip permit 处于enable状态,则管理工作站的地址必须事先用set ip permit <管理工作站IP地址> [可选的子网掩码] [允许使用的服务类型(ssh/telnet/snmp)]来定义
可用命令 show ip permit 来检查ip permit 的配置
某些服务可能存在安全漏洞(如http)或协议本身设计就是比较不安全的(如snmp、telnet)。如果服务不是必要的,可以将之关闭;如果服务是必须的,应采取措施保证这些服务仅向合法用户提供:
6500/4000交换引擎:
set ip http server disable //关闭http服务 |
8500、7500、MSFC等IOS设备:
no ip http server //关闭http服务 |
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者