注册 登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

欢迎光临shaying110的博客

RSed-ISPing

 
 
 

日志

 
 

router 使用ssh  

2008-01-10 11:17:00|  分类: CISCO网络 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

使用telnet进行远程设备维护的时候,由于密码和通讯都是明文的,易受sniffer侦听,所以应采用SSH替代telnet。SSH (Secure Shell)服务使用tcp 22 端口,客户端软件发起连接请求后从服务器接受公钥,协商加密方法,成功后所有的通讯都是加密的。Cisco 设备目前只支持SSH v1,不支持v2。Cisco实现 SSH的目的在于提供较安全的 设备管理连接,不适用于主机到主机的通讯加密。Cisco推荐使用IPSEC作为端对端的通讯加密解决方案。

   1.IOS设备(如6500 MSFC、8500、7500)的配置:
     a) 软件需求
     IOS版本12.0.(10)S 以上 含IPSEC 56 Feature
     推荐使用 IOS 12.2 IP PLUS IPSEC 56C以上版本
     基本上Cisco全系列路由器都已支持,但为运行指定版本的软件您可能需要相应地进行硬件升级
     b) 定义用户
     user mize pass abc@163.net
     d) 定义域名
     ip domain-name mize.myrice.com //配置SSH必需
     e) 生成密钥
     crypto key generate rsa modulus 2048
     执行结果:
     The name for the keys will be: 6509-mize.myrice.com
     % The key modulus size is 2048 bits
     Generating RSA keys ...
     [OK]
     f)指定可以用SSH登录系统的主机的源IP地址
     access-list 90 remark Hosts allowed to SSH in //低版本可能不支持remark关键字
     access-list 90 permit 10.10.1.100
     access-list 90 permit 10.10.1.101
     g) 限制登录
      line con 0
      login local
      line vty 0 4
      login local //使用本地定义的用户名和密码登录
      transport input SSH //只允许用SSH登录(注意:禁止telnet和从交换引擎session!)
      access-class 90 in //只允许指定源主机登录
   2.CatOS(如6500/4000交换引擎)的配置:
     a) 软件需求
     运行CatOS的6500/4000交换引擎提供SSH服务需要一个6.1以上“k9”版本的软件,如: cat6000-sup2cvk9.7-4-3.bin 和 cat4000-k9.6-3-3a.bin.
     8540/8510交换机支持SSH需要以上12.1(12c)EY版本软件。
     3550交换机支持SSH需要12.1(11)EA1以上版本软件。
     其他交换机可能不支持SSH。
     b) 生成密钥
     set crypto key rsa 2048
     密钥的生成需要1-2分钟,执行完毕后可用命令show crypto key查看生成的密钥。
     c) 限制管理工作站地址
     set ip permit 10.10.1.100 ssh //只允许使用SSH登录的工作站
     set ip permit 10.10.1.101 ssh
     set ip permit enable ssh //检查SSH连接的源地址
     set ip permit enable telnet //检查telnet连接的源地址
     set ip permit enable snmp //检查snmp请求的源地址
     如果服务的ip permit 处于disable状态,所有的连接将被允许(当然服务如telnet本身可能包含用户认证机制)。如果指定服务的ip permit 处于enable状态,则管理工作站的地址必须事先用set ip permit <管理工作站IP地址> [可选的子网掩码] [允许使用的服务类型(ssh/telnet/snmp)]来定义
     可用命令 show ip permit 来检查ip permit 的配置
     某些服务可能存在安全漏洞(如http)或协议本身设计就是比较不安全的(如snmp、telnet)。如果服务不是必要的,可以将之关闭;如果服务是必须的,应采取措施保证这些服务仅向合法用户提供:


6500/4000交换引擎:
set ip http server disable//关闭http服务
set ip permit enable snmp//限制SNMP源地址
set snmp comm. read-only//清空预设的SNMP COMM字
set snmp comm. read-write
set snmp comm. read-write-all

8500、7500、MSFC等IOS设备:
no ip http server//关闭http服务
no snmp//关闭snmp服务
no service dhcp//关闭 dhcp 服务
no ip finger//关闭 finger 服务
no service tcp-small-server//关闭tcp基本服务
no service udp-small-server//关闭 udp基本服务
service password-encryption//启用明文密码加密服务

  评论这张
 
阅读(132)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018