通过SSH 实现Cisco 路由器登录

huangjun6920

1、前言
江西省IP 网络中采用了大量的Cisco 路由器。管理员通常采用Telnet 远程登录的方式对路由器进行
日常维护。由于Telnet、FTP 等网络服务程序在网络中采用明文传送口令和数据，其安全性无法得到有效
的保障。管理员的用户名和密码一旦被别有用心的人截获，后果将不堪设想。因此如何实现Cisco 路由器
的安全登录成为网络日常维护工作中首要解决的问题。本文利用Cisco 路由器对SSH 的支持，通过SSH 实
现了对路由器的安全登录。
SSH 的英文全称是Secure Shell，是由芬兰的一家公司开发的。SSH 由客户端和服务端的软件组成，
有1.x 和2.x 两个不兼容的版本。SSH 的功能强大，既可以代替Telnet，又可以为FTP、POP3 和PPP 提供
一个安全的“通道”。使用SSH，可以把传输的所有数据进行加密。即使有人截获到数据也无法得到有用
的信息。同时，数据经过压缩，大大地加快传输的速度。
本文将详细介绍在Cisco 路由器上用SSH 实现安全登录的配置方法。该方法简单易行，安全性高，适
于在网络维护工作中推广使用。
2、在Cisco 路由器上配置SSH 服务
在Cisco 路由器产品系列中只有7200 系列、7500 系列和12000 系列（GSR）等高端产品的IOS 支持S
SH。一般支持SSH 的IOS 版本文件名中都带有K3 或者K4 字样，K3 代表56bit SSH 加密，K4 代表168
bit SSH 加密。如我省省网GSR 12016 和12008 上用的IOS 就是一个支持56bit SSH 加密的版本。
目前Cisco 的产品只支持SSH-1，还不支持SSH-2。下面以GSR 12008 为例详细介绍SSH-1 的配置方法（斜
体字为配置输入的命令）：
① 配置hostname 和ip domain-name：
Router#configure terminal
Router(config)#hostname TEST-GSR12008
TEST-GSR12008(config)#ip domain-name jx.cn.net
② 配置登录用户名和密码（以本地认证为例）：
TEST-GSR12008(config)#username test password 0 test
注：添加一个用户：test，口令：test
TEST-GSR12008(config)#line vty 0 4
TEST-GSR12008(config-line)#login local
在这两部分做完以后，用show run 命令就能够看到：
hostname TEST-GSR12008
!
boot system flash gsr-k3p-mz.120-14.S.bin
enable secret 5 $1$DMyW$gdSIOkCr7p8ytwcRwtnJG.
enable password 7 094F47C31A0A
!
username test password 7 0835495D1D
clock timezone PRC 16
redundancy
main-cpu
更多资源请关注鸿鹄论坛：http://bbs.hh010.com
auto-sync startup-config
!
!
!
!
ip subnet-zero
no ip finger
ip domain-name jx.cn.net
ip name-server 202.101.224.68
ip name-server 202.101.226.68
!
③ 配置SSH 服务：
TEST-GSR12008(config)#crypto key generate rsa
The name for the keys will be: TEST-GSR12008.jx.cn.net
注：SSH 的关键字名就是hostname + . +ip domain-name
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 注：选择加密位数，用默认就行了
Generating RSA keys ...
[OK]
TEST-GSR12008(config)#end
TEST-GSR12008#write
Building configuration...
这时候用show run 命令可以看到：
ip subnet-zero
no ip finger
ip domain-name jx.cn.net
ip name-server 202.101.224.68
ip name-server 202.101.226.68
ip ssh time-out 120
ip ssh authentication-retries 3
!
用命令show ip ssh 也能看到：
SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries: 3
现在SSH 服务已经启动，如果需要停止SSH 服务，用以下命令：
TEST-GSR12008(config)#crypto key zeroize rsa
④设置SSH 参数
配置好了SSH 之后，通过show run 命令我们看到SSH 默认的参数：超时限定为120 秒，认证重试次
数为3 次，可以通过下面命令进行修改：
TEST-GSR12008(config)#ip ssh {[time-out seconds]} | [authentication-retries interg
更多资源请关注鸿鹄论坛：http://bbs.hh010.com
er]}
如果要把超时限定改为180 秒，则应该用：
TEST-GSR12008(config)# ip ssh time-out 180
如果要把重试次数改成5 次，则应该用：
TEST-GSR12008(config)# ip ssh authentication-retries 5
这样，SSH 已经在路由器上配置成功了，就能够通过SSH 进行安全登录了。

                               
登录/注册后可看大图

该贴已经同步到 huangjun6920的微博

livetony