老式交换机可能不支持使用安全外壳(SSH)的安全通信。 Telnet是早期型号的Cisco交换机上支持的最初方法。Telnet是用于终端访问的常用协议,因为大部分{zx1}的操作系统都附带内置的Telnet客户端。但是Telnet不是访问网络设备的安全方法,因为它在网络上以明文发送所有通信。攻击者使用网络监视软件可以读取在Telnet客户端和Cisco交换机的Telnet服务之间发送的每一个击键。由于Telnet协议存在安全性问题,因此SSH成为用于远程访问Cisco设备虚拟终端线路的{sx}协议。 SSH提供与Telnet相同类型的访问,但是增加了安全性。SSH客户端和SSH服务器之间的通信是加密的。SSH已经经历了多个版本,Cisco设备目前支持 SSHv1和SSHv2。建议尽可能实施SSHv2,因为它使用比SSHv1更强的安全加密算法。 1.配置Telnet Telnet是Cisco交换机上支持vty的默认协议。如果为Cisco交换机分配了管理IP地址,就可以使用Telnet客户端连接到交换机。最初,vty线路并不安全,试图连接vty线路的任何用户都能接入交换机。 前一节中介绍了如何通过要求密码身份验证来保护通过vty线路对交换机的访问。这可略微提高Telnet服务的安全性。 因为Telnet是vty线路的默认传输方式,因此在执行交换机初始配置之后,不需要指定Telnet。但是,如果已将vty线路的传输协议更改为只允许 SSH,则需要手动启用Telnet协议以允许Telnet访问。 如果需要在Cisco 2960交换机上重新启用Telnet协议,可在线路配置模式下使用以下命令:(config-line)#transport input telnet或(config-line)#transport input all。如果允许所有传输协议,则不仅允许Telnet访问,而且仍允许通过SSH访问交换机。 2.配置SSH SSH是受到导出限制的一种加密安全功能。要使用此功能,交换机上必须安装加密映像。 SSH功能有SSH服务器和SSH集成客户端,后者是在交换机上运行的应用程序。可以使用PC上运行的任何SSH客户端或交换机上运行的Cisco SSH客户端来连接运行SSH服务器的交换机。 对于服务器组件,交换机支持SSHv1或SSHv2。对于客户端组件,交换机只支持SSHv1。 SSH支持数据加密标准(DES)算法、三重DES(3DES)算法和基于密码的用户身份验证。DES提供56位加密,而3DES提供168位加密。加密需要时间,但是DES加密文本的时间比3DES少。通常情况下,加密标准由客户指定,因此如果必须配置SSH,请询问客户使用哪一种标准(关于数据加密方法的讨论不属于本课程的范围)。 要实施SSH,需要生成RSA密钥。RSA涉及公钥和私钥,公钥保留在公共RSA服务器上,而私钥仅由发送方和接收方保留。公钥可对所有人公开,并用于加密消息。用公钥加密的消息只能使用私钥解密。这称为非对称加密。非对称加密将在"Accessing the WAN, CCNA Exploration Companion Guide"课程中更详细地讨论。 如果要将交换机配置为SSH服务器,则需要从特权执行模式下开始,按照下面的步骤配置。 步骤1 使用configure terminal命令进入全局配置模式。 步骤2 使用hostname hostname命令配置交换机的主机名。 步骤3 使用ip domain-name domain_name命令配置交换机的主机域。 步骤4 在交换机上启用SSH服务器以进行本地和远程身份验证,然后使用crypto key generate rsa命令生成RSA密钥对。 生成RSA密钥时,系统提示用户输入模数长度。Cisco建议使用1024位的模数长度。模数长度越长越安全,但是生成和使用模数的时间也越长。这一步完成SSH服务器的基本配置,剩下的步骤描述优化SSH配置可以使用的几个选项。 步骤5 使用end命令返回到特权执行模式。 步骤6 使用show ip ssh或show ssh命令显示交换机上的SSH服务器的状态。 步骤7 使用configure terminal命令进入全局配置模式。 步骤8 (可选)使用ip ssh version [1 | 2]命令将交换机配置为运行SSHv1或SSHv2。 如果未输入此命令或未指定关键字选项1或2,SSH服务器将选择SSH客户端支持的{zg}SSH版本。例如,如果SSH客户端支持SSHv1和SSHv2,则SSH服务器选择 SSHv2。 步骤9 配置SSH控制参数: 以秒为单位指定超时值;默认值为120秒。该值的范围为0~120秒。为了建立SSH连接,必须完成很多阶段,例如连接、协议协商和参数协商。超时值规定了交换机为建立连接而留出的时间量。 默认情况下,{zg}可以有5个并存的加密SSH连接用于多个基于CLI的网络会话(会话0到会话4)。在执行外壳启动后,基于CLI的会话的超时值将恢复为默认的10分钟。 指定客户端可向服务器重新验证身份的次数。默认值为3;取值范围为0~5。例如,用户可以允许SSH会话在终止之前连续3次持续10分钟以上。 当配置这两个参数时,请重复执行本步骤。要配置这两个参数,请使用ip ssh {timeout seconds | authentication-retries number}命令。 步骤10 使用end命令返回到特权执行模式。 步骤11 使用show ip ssh或show ssh命令显示交换机上的SSH 服务器连接的状态。 步骤12 (可选)使用copy running-config startup-config命令在配置文件中保存您的输入。 要删除RSA密钥对,可使用crypto key zeroize rsa全局配置命令、RSA密钥对删除之后,SSH服务器自动被禁用。 如果要阻止非SSH连接,可在线路配置模式下添加 transport input ssh命令,将交换机限制为仅允许SSH连接。直接(非 SSH)Telnet 连接将被拒绝。 例2-10列出了在Catalyst 2960交换机上启用SSH的一套命令。SSH默认版本为第2版,但我们可以任意配置它。这种配置可以阻止虚拟终端线路上的Telnet访问。假设本地用户数据库和vty口令已被设定,前面操作过程中的第3、4步会使用最少的命令来启动SSH。 |