cisco ssh配置
1,CISCO 最基本的實驗,密碼設置
全局模式口令
R1#configure terminal
R1(config)#enable password XXXX
控制檯登錄口令:
router#config terminal
router(config)#line console 0
router(config-line)#exec-timeout 0 0 //設置控制檯超時值爲零,即決不超時,默認是10分鐘
router(config-line)#logging synchronous //阻止由於不穩定而產生的惱人的控制檯信息
router(config-line)#password XXXXXX
router(config-line)#login
Telnet口令:
Router(config)#line vty 0 4 //沒有運行Cisco IOS企業版的路由器默認時有5條VTY線路(0~4)
Router(config-line)#password XXXXXX
Router(config-line)#login //可以使用no login 命令告訴路由器,允許建立無口令驗證的Telnet連接
遇到的問題:1,沒有設置enable密碼,是無通過telnet進去特權模式的,只能通過console口登錄。
2,CISCO ssh登錄的設置
ra#config terminal
ra(config)#ip domain-name ctocio.com.cn
//配置一個域名
ra(config)#crypto key generate rsa general-keys modulus 1024
//生成一個rsa算法的密鑰,密鑰爲1024位
(提示:在Cisoc中rsa支持360-2048位,該算法的原理是:主機將自己的公用密鑰分發給相關的客戶機,客戶機在訪問主機時則使用該主機的公開密鑰來加密數據,主機則使用自己的私有的密鑰來解密數據,從而實現主機密鑰認證,確定客戶機的可靠身份。
ra(config)#ip ssh time 120
//設置ssh時間爲120秒
ra(config)#ip ssh authentication 4
//設置ssh認證重複次數爲4,可以在0-5之間選擇
ra(config)#line vty 0 4
//進入vty模式
ra(config-line)#transport input ssh
//設置vty的登錄模式爲ssh,默認情況下是all即允許所有登錄
ra(config-line)#login
ra(config)#aaa authentication login default local
//啓用aaa認證,設置在本地服務器上進行認證
ra(config-line)#username momo password 123
//創建一個用戶momo並設置其密碼爲123用於SSH客戶端登錄這樣SSH的CISCO設置就完成了。
遇到的問題:1.爲什麼SSH配置需要一個域名呢,
在配置SSH登錄時,要生成一1024位RSA key,那麼key的名字是以路由器的名字與DNS域名相接合爲名字。
2,在配置時候,使用的7200ISO無法使用aaa authentication login default local這條命令,跳過後果然無法登陸,使用了aaa new-model--- 啓用新的訪問控制命令和功能。(禁用舊
命令)。
這條命令便可以的了,開啓這個模式後,便有很多aaa的命令可以使用,包括實驗中的命令,實驗我跳過的了,依然可以SSH登錄,看來是默認爲本地驗證的了。
另外,啓用AAA後,除了console口外,所有線程都是用AAA來認證。