路由器的SSH配置

天真小和尚

作为网络管理员的我们是如何管理企业网络的核心设备——路由器和交换机的呢?如果路由交换设备没有图形化管理界面我们使用什么命令去连接到他的管理控制台呢?恐怕99%的读者会说采取telnet的方式。然而这种连接方式真的是安全的吗?答案是否定的，只有我们配置了SSH连接路由交换设备才能实现真正意义上的安全。本文将介绍如何在自己的路由交换设备上配置SSH服务，以打造最最安全的路由交换设备。通过SSH连接路由器所传输的任何数据都是经过加密的，非法用户无法通过sniffer等工具进行解密。

　　一、什么是SSH?

　　什么是SSH呢?SSH的英文全称是Secure Shell，是由芬兰的一家公司开发的。SSH由客户端和服务端的软件组成，有1.x和2.x两个不兼容的版本。SSH的功能强大，既可以代替Telnet，又可以为FTP、POP3和PPP提供一个安全的“通道”。使用SSH可以把传输的所有数据进行加密。即使有人截获到数据也无法得到有用的信息。同时数据经过压缩，大大地加快了传输的速度。

　　二、如何在路由交换设备上设置SSH服务：

　　下面就为各位读者介绍如何在CISCO路由器上配置SSH服务。笔者使用的是GSR 12008，所以以他为例介绍SSH-1的配置方法。

　　小提示：在Cisco路由器产品系列中只有7200系列，7500系列和12000系列(GSR)等高端产品的IOS支持SSH.一般支持SSH的IOS版本文件名中都带有K3或者K4字样，K3代表56bit SSH加密，K4代表168bit SSH加密。目前Cisco的产品都只支持SSH-1，还不支持SSH-2.对于默认不支持SSH的设置例如6509我们可以通过升级IOS来解决。

　　 第一步：配置主机名(hostname)和ip地址的域名(domain-name)

　　Router#configureterminal　　//进入配置模式

　　Router(config)#hostname kaikai　　//设置路由器主机名为kaikai

　　kaikai(config)#ip domain-name beijing.com　//设置IP地址的域名为beijing.com.

　　第二步：配置登录用户名和密码(以本地认证为例)

kaikai(config)#username kaikai password 123456

　//添加一个用户，用户名为kaikai，密码为.123456

　　kaikai(config)#linevty 0 4

　　//设置容许这个用户通过网络远程管理

　　kaikai(config-line)#login local

　　//设置本地登录路由器需要输入用户名和密码才行，默认的只需要输入密码，使用用户验证的方式能够更好的管理路由器。

　　小提示：在输入login local命令时要特别注意，笔者就曾经过于着急的输入这个命令造成无法登录路由器了。因为一旦输入这个login local命令后登录路由器就必须输入用户名和密码两条信息了。

　　第三步：配置SSH服务

　kaikai(config)#crypto key generate rsa [general-keysmodulus 1024]

　　设置SSH连接的关键字，一般来说关键字就是主机名和域名结合而来的，例如本例主机名为kaikai，域名为kaikai.com.那么这个关键字就是kaikai.kaikai.com

　　接着会出现英文提示——How many bits inthe modulus [512]：

　　这是让我们选择加密位数，用默认的512就行了。

　　kaikai(config)#end

　　结束SSH服务设置

　　kaikai#write

　　保存设置到start文件中。

　　第四步：检查SSH设置

　　如何检查SSH是否设置成功了呢?使用命令“show ip ssh”即可。会显示出如下信息。

　　SSHEnabled-version 1.5

　　Authenticationtimeout： 120 secs

　　Authenticationretries： 3

　　这就表明SSH服务已经启动。

　　小提示：如果我们希望将已经启动的SSH服务关闭的话，可以输入用以下命令kaikai(config)#crypto key zeroize rsa

　　第五步：设置SSH参数

　　配置好SSH之后，通过show run命令我们可以看到SSH默认的参数，其中超时限定为120秒，认证重试次数为3次，当然我们还可以通过下面命令进行修改。

　　kaikai(config)#ipssh {[time-out seconds]} | [authentication-retries interger]}

　　例如如果要把超时限定改为180秒，则应该用kaikai(config)#ip ssh time-out 180命令;如果要把重试次数改成5次，则应该用kaikai(config)#ip sshauthentication-retries 5命令。

经过更加具体的配置后SSH就已经在路由器上成功建立了，用户就能够通过SSH进行安全登录了。

l  为SSH会话设置最大空闲定时器:

Todd(conflg)#ipssh time-out ?

<1-120> SSHtime-out interval (secs)

Todd(conflg)#ipssh time-out 60

l  为ssH连接设计最大失败尝试值:

Todd(conf1g)#ipssh authentication-retries ?

(0-5) Number of authenticationretries

Todd(conf1g)#ipssh authentication-retries 2

l  设置允许访问的协议为ssh和telnet（可以随便选择哪种访问方式或者两者）

Todd(config)#1inevty  0  4

Todd(conf1g-1ine)#transportinput ssh telnet

如果在此命令串的最后不使用关键字telnet,那么,在路由器上将只有SSH可以工作。

三、在客户机上登录开启SSH服务的路由交换设备：

在路由器上用ssh登录其他路由器的方法：

Router# ssh -l  kaikai  192.168.1.1

　　四、总结：

　　使用SSH加密连接路由器后任何设置和命令都不会被黑客通过sniffer截获了，一方面提高了企业路由器的安全，另一方面由于传输的数据得到了加密与压缩，所以在速度上得到了一定的提升。

老男孩2018

感谢分享...学习了...

superblue1999

谢谢了。。。很全面

hs869525

感谢分享 学习到了

tonyccna

感謝!