如果你在控制網絡設備時一直是用Telnet,那麼不妨採用更安全的SSH來控制。
使用Telnet來訪問遠程計算機以控制你的網絡設備就相當於在離開某個建築時大喊你的用戶名和口令。因此,會被人監聽到,並且很有可能會被利用。
SSH是替代Telnet和其他遠程控制檯管理應用程序的行業標準。SSH命令是加密的並以幾種方式進行保密。
在使用SSH的時候,一個數字證書將認證客戶端(你的工作站)和服務器(你的網絡設備)之間的連接,並加密受保護的口令。SSH1使用RSA加密密鑰,SSH2使用數字簽名算法(DSA)密鑰保護連接和認證。
加密算法包括Blowfish,數據加密標準(DES),以及三重DES(3DES)。SSH保護並且有助於防止欺騙,“中間人”***,以及數據包監聽。
實施SSH的第一步是驗證你的設備支持SSH.請登錄你的路由器或交換機,並確定你是否加載了一個支持SSH的IPSec IOS鏡像。
在我們的例子中,我們將使用Cisco IOS命令。運行下面的命令
Router> Show flash
該命令顯示已加載的IOS鏡像名稱。你可以用結果對比你的供應商的支持特性列表。
在你驗證了你的設備支持SSH之後,請確保設備擁有一個主機名和配置正確的主機域,就像下面的一樣
Router> config terminal
Router (config)# hostname hostname
Router (config)# ip domain-name domainname
在這個時候,你就可以啓用路由器上的SSH服務器。要啓用SSH服務器,你首先必須利用下面的命令產生一對RSA密鑰
Router (config)# crypto key generate rsa
在路由器上產生一對RSA密鑰就會自動啓用SSH.如果你刪除這對RSA密鑰,就會自動禁用該SSH服務器。
實施SSH的最後一步是啓用認證,授權和審計(AAA)。在你配置AAA的時候,請指定用戶名和口令,會話超時時間,一個連接允許的嘗試次數。像下面這樣使用命令
Router (config)# aaa new-model
Router (config)# username password
Router (config)# ip ssh time-out
Router (config)# ip ssh authentication-retries
要驗證你已經配置了SSH並且它正運行在你的路由器上,執行下面的命令
Router# show ip ssh
在驗證了配置之後,你就可以強制那些你在AAA配置過程中添加的用戶使用SSH,而不是Telnet.你也可以在虛擬終端(vty)連接中應用SSH而實現同樣的目的。這裏給出一個例子
Router (config)# line vty 0 4
Router (config-line)# transport input SSH
在你關閉現存的Telnet會話之前,你需要一個SSH終端客戶端程序以測試你的配置。我極力推薦PuTTY;它是免費的,而且它是一個優秀的終端軟件。
當然,最後記得你路由器的ACL哦,給你的管理機一定的權限,這一步耽誤了,上面的就白做了。