由于一些設(shè)備的特別性質(zhì)，我們需要單獨(dú)進(jìn)行配置SSH協(xié)議的操作。那么現(xiàn)在我們所介紹的是思科的路由器所涉及的SSH協(xié)議的相關(guān)調(diào)配。那么現(xiàn)在我們分析一下：使用telnet進(jìn)行遠(yuǎn)程設(shè)備維護(hù)的時(shí)候,由于密碼和通訊都是明文的,易受sniffer偵聽,所以應(yīng)采用SSH替代telnet.SSH (Secure Shell)服務(wù)使用tcp 22 端口,客戶端軟件發(fā)起連接請(qǐng)求后從服務(wù)器接受公鑰,協(xié)商加密方法,成功后所有的通訊都是加密的｡Cisco 設(shè)備目前只支持SSH v1,不支持v2.Cisco實(shí)現(xiàn) SSH的目的在于提供較安全的設(shè)備管理連接,不適用于主機(jī)到主機(jī)的通訊加密｡Cisco推薦使用IPSEC作為端對(duì)端的通訊加密解決方案｡

配置SSH協(xié)議1：

IOS設(shè)備(如6500 MSFC､8500､7500)的配置:

a) 軟件需求

IOS版本12.0.(10)S 以上 含IPSEC 56 Feature

推薦使用 IOS 12.2 IP PLUS IPSEC 56C以上版本

基本上Cisco全系列路由器都已支持,但為運(yùn)行指定版本的軟件您可能需要相應(yīng)地進(jìn)行硬件升級(jí)

b) 定義用戶

user mize pass nnwh@163.net

user sense secret ssn

d) 定義域名

ip domain-name mize.myrice.com //配置SSH必需

e) 生成密鑰

crypto key generate rsa modulus 2048

執(zhí)行結(jié)果:

The name for the keys will be: 6509-mize.myrice.com % The key modulus size is 2048 bits Generating RSA keys ... [OK]

f)指定可以用SSH登錄系統(tǒng)的主機(jī)的源IP地址

access-list 90 remark Hosts allowed toSSHin //低版本可能不支持remark關(guān)鍵字 access-list 90 permit 10.10.1.100 access-list 90 permit 10.10.1.101

g) 限制登錄

line con 0 login local line vty 0 4 login local //使用本地定義的用戶名和密碼登錄 transport inputSSH//只允許用SSH登錄(注意:禁止telnet和從交換引擎session!) access-class 90 in //只允許指定源主機(jī)登錄#p#

配置SSH協(xié)議2：

CatOS(如6500/4000交換引擎)的配置:

a) 軟件需求

運(yùn)行CatOS的6500/4000交換引擎提供SSH服務(wù)需要一個(gè)6.1以上“k9"版本的軟件,如: cat6000-sup2cvk9.7-4-3.bin 和 cat4000-k9.6-3-3a.bin.

8540/8510交換機(jī)支持SSH需要以上12.1(12c)EY版本軟件｡

3550交換機(jī)支持SSH需要12.1(11)EA1以上版本軟件｡

其他交換機(jī)可能不支持SSH.

b) 生成密鑰

set crypto key rsa 2048

密鑰的生成需要1-2分鐘,執(zhí)行完畢后可用命令show crypto key查看生成的密鑰｡

c) 限制管理工作站地址

set ip permit 10.10.1.100SSH//只允許使用SSH登錄的工作站 set ip permit 10.10.1.101SSHset ip permit enableSSH//檢查SSH連接的源地址 set ip permit enable telnet //檢查telnet連接的源地址 set ip permit enable snmp //檢查snmp請(qǐng)求的源地址

如果服務(wù)的ip permit 處于disable狀態(tài),所有的連接將被允許(當(dāng)然服務(wù)如telnet本身可能包含用戶認(rèn)證機(jī)制)｡如果指定服務(wù)的ip permit 處于enable狀態(tài),則管理工作站的地址必須事先用set ip permit <管理工作站IP地址> [可選的子網(wǎng)掩碼] [允許使用的服務(wù)類型(SSH/telnet/snmp)]來定義

可用命令 show ip permit 來檢查ip permit 的配置

某些服務(wù)可能存在安全漏洞(如http)或協(xié)議本身設(shè)計(jì)就是比較不安全的(如snmp､telnet)｡如果服務(wù)不是必要的,可以將之關(guān)閉;如果服務(wù)是必須的,應(yīng)采取措施保證這些服務(wù)僅向合法用戶提供:

6500/4000交換引擎:

set ip http server disable //關(guān)閉http服務(wù) set ip permit enable snmp //限制SNMP源地址 set snmp comm. read-only //清空預(yù)設(shè)的SNMP COMM字 set snmp comm. read-write set snmp comm. read-write-all

8500､7500､MSFC等IOS設(shè)備:

no ip http server //關(guān)閉http服務(wù) no snmp //關(guān)閉snmp服務(wù) no service dhcp //關(guān)閉 dhcp 服務(wù) no ip finger //關(guān)閉 finger 服務(wù) no service tcp-small-server //關(guān)閉tcp基本服務(wù) no service udp-small-server //關(guān)閉 udp基本服務(wù) service password-encryption //啟用明文密碼加密服務(wù)#p#

配置SSH協(xié)議3：

SSH客戶端

a) 從管理工作站登錄

必須使用支持SSH v1協(xié)議的終端仿真程序才能使用SSH協(xié)議管理設(shè)備,推薦使用Secure CRT 3.3, 也可以使用免費(fèi)軟件putty.下面介紹使用Secure CRT登錄SSH設(shè)備的方法:

運(yùn)行Secure CRT程序,選擇菜單File-Quick Connect…，設(shè)置以下參數(shù):

Protocol(協(xié)議): SSH1 Hostname(主機(jī)名): 10.10.1.1 Port(端口): 22 Username(用戶名): mize Ciper(加密方法): 3DES Authentication(認(rèn)證方式)assword 點(diǎn)擊Connect,這時(shí)可能會(huì)提示您接受來自設(shè)備的加密公鑰,選擇Accept once(只用一次)或Accept & Save (保存密鑰以便下次使用)｡由于協(xié)議實(shí)現(xiàn)的問題,可能會(huì)碰到SSH Buffer Overflow的問題,如果出現(xiàn)“收到大于16k的密鑰"的提示,請(qǐng)重新連接｡連接正常,輸入密碼即可登錄到系統(tǒng)｡

第二次登錄點(diǎn)擊File-Connect 點(diǎn)擊連接10.10.1.1即可｡

b) 從IOS設(shè)備用SSH協(xié)議登錄其他設(shè)備

IOS設(shè)備也可以發(fā)起SSH連接請(qǐng)求(作為SSH Client),從IOS設(shè)備登錄支持3DES的IOS設(shè)備,使用以下命令(-l 指定用戶名):

SSH-l mize 10.10.3.3

從IOS設(shè)備登錄支持 DES(56位)的IOS,使用以下命令(-c des指定1 des加密方式):

SSH-c des-l mize 10.10.5.5

從IOS設(shè)備登錄支持 3DES的CatOS, 如6509/4006的交換引擎,使用如下命令(無需指定用戶名):

SSH 10.10.6.6#p#

配置SSH協(xié)議4：

限制telnet源地址

對(duì)于未支持SSH 的設(shè)備,可采取限制telnet源地址的方法來加強(qiáng)安全性｡為了不致于增加一個(gè)管理員地址就要把所有的設(shè)備配置修改一遍,可以采用中繼設(shè)備的方法,即受控設(shè)備只允許中繼設(shè)備的telnet訪問,中繼設(shè)備則允許多個(gè)管理員以較安全的方法(如SSH)登錄｡

設(shè)置中繼設(shè)備:

inter lo 0 ip address 10.10.1.100 255.255.255.255 ip telnet source-interface Loopback0 //發(fā)起telnet的源地址

設(shè)置受控設(shè)備:

access-list 91 remark Hosts allowed to TELNET in access-list 91 permit 10.10.1.100 access-list 91 permit 10.10.1.101 line con 0 password xxxxxxxx line vty 0 4 password xxxxxxxx access-class 91 in