SSH 是受到導出限制的一種加密安全功能。要使用此功能,交換機上必須安裝加密映像。SSH 功能有 SSH 服務器和 SSH 集成客戶端,對於服務器組件,交換機支持 SSHv1 或 SSHv2。對於客戶端組件,交換機只支持 SSHv1。SSH 支持數據加密標準 (DES) 算法、三重 DES (3DES) 算法和基於密碼的用戶身份驗證。DES 提供 56 位加密,而 3DES 提供 168 位加密。加密需要時間,但是 DES 加密文本的時間比 3DES 少。要實施 SSH,需要生成 RSA 密鑰。RSA 涉及公鑰和私鑰,公鑰保留在公共 RSA 服務器上,而私鑰僅由發送方和接收方保留。公鑰可對所有人公開,並用於加密消息。用公鑰加密的消息只能使用私鑰解密。這稱爲非對稱加密。
您需要使用 crypto key generate rsa 命令來生成加密的 RSA 密鑰。
如果要將交換機配置爲 SSH 服務器,則需要執行此過程:
步驟 1. 使用 configure terminal 命令進入全局配置模式。
步驟 2. 使用 host name 命令配置交換機的主機名。
步驟 3. 使用 ip domain-name domain_name 命令配置交換機的主機域。
步驟 4. 在交換機上啓用 SSH 服務器以進行本地和遠程身份驗證,
然後使用 crypto key generate rsa 命令生成 RSA 密鑰對。
生成 RSA 密鑰時,系統提示您輸入模數長度。Cisco 建議使用 1024 位的模數長度。模數長度越長越安全,但是生成和使用模數的時間也越長。
步驟 5. 使用 end 命令返回到特權執行模式。
步驟 6. 使用 show ip ssh 或 show ssh 命令顯示交換機上的 SSH 服務器的狀態。
要刪除 RSA 密鑰對,請使用 crypto key zeroize rsa 全局配置命令。刪除 RSA 密鑰對之後,SSH 服務器將自動禁用。
步驟 2. (可選)使用 ip ssh version [1 | 2] 命令將交換機配置爲運行 SSHv1 或 SSHv2。
步驟 3. 配置 SSH 控制參數:
l 以秒爲單位指定超時值;默認值爲 120 秒。該值的範圍爲 0 到 120 秒。爲了建立 SSH 連接,必須完成很多階段,例如連接、協議協商和參數協商。超時值規定了交換機爲建立連接而留出的時間量。
默認情況下,最高可以有 5 個並存的加密 SSH 連接用於多個基於 CLI 的網絡會話(會話 0 到會話 4)。在執行外殼啓動後,基於 CLI 的會話的超時值將恢復爲默認的 10 分鐘。
l 指定客戶端可向服務器重新驗證身份的次數。默認值爲 3;取值範圍爲 0 到 5。例如,用戶可以允許 SSH 會話在終止之前連續 3 次持續 10 分鐘以上。
當配置這兩個參數時,請重複執行本步驟。要配置這兩個參數,請使用 ip ssh {timeoutseconds | authentication-retriesnumber} 命令。
如果要阻止非 SSH 連接,在虛擬終端配置模式下添加 transport input ssh 命令以將交換機限制爲僅允許 SSH 連接。(默認是transport input all允許所有)