Cisco IOS配置SSH详解

3.SSH 客户端

a） 从管理工作站登录

必须使用支持SSH v1协议的终端仿真程序才能使用SSH协议管理设备，推荐使用Secure CRT 3.3， 也可以使用免费软件putty.下面介绍使用Secure CRT登录SSH设备的方法：

运行Secure CRT程序，选择菜单File – Quick Connect…设置以下参数：Protocol（协议）： ssh1 Hostname（主机名）： 10.10.1.1 Port（端口）： 22 Username（用户名）： mize Ciper（加密方法）： 3DES Authentication（认证方式）assword 点击Connect，这时可能会提示您接受来自设备的加密公钥，选择Accept once（只用一次）或Accept & Save （保存密钥以便下次使用）。由于协议实现的问题，可能会碰到SSH Buffer Overflow的问题，如果出现“收到大于16k的密钥”的提示，请重新连接。连接正常，输入密码即可登录到系统。

第二次登录点击File – Connect 点击连接10.10.1.1即可。

b） 从IOS设备用SSH协议登录其他设备

IOS设备也可以发起SSH连接请求（作为SSH Client），从IOS设备登录支持3DES的IOS设备，使用以下命令（-l 指定用户名）：

ssh –l mize 10.10.3.3

从IOS设备登录支持 DES（56位）的IOS，使用以下命令（-c des指定1 des加密方式）：

ssh –c des –l mize 10.10.5.5

从IOS设备登录支持 3DES的CatOS， 如6509/4006的交换引擎，使用如下命令（无需指定用户名）：

ssh 10.10.6.6

4.限制telnet源地址

对于未支持SSH 的设备，可采取限制telnet源地址的方法来加强安全性。为了不致于增加一个管理员地址就要把所有的设备配置修改一遍，可以采用中继设备的方法，即受控设备只允许中继设备的telnet访问，中继设备则允许多个管理员以较安全的方法（如SSH）登录。

设置中继设备：

inter lo 0 
ip address 10.10.1.100 255.255.255.255 
ip telnet source-interface Loopback0 //发起telnet的源地址 

设置受控设备：

access-list 91 remark Hosts allowed to TELNET in 
access-list 91 permit 10.10.1.100 
access-list 91 permit 10.10.1.101 
line con 0 
password xxxxxxxx 
line vty 0 4 
password xxxxxxxx 
access-class 91 in