Cisco路由器用SSH替代Telnet连接

本文告诉你若何用SSH替代Telnet.

　　使用Telnet这个用来访谒远程计较机的TCP/IP和你的用户名和口令。很快地，会有人进行监听，而且他们会操作你平安是因为你意识的缺乏。

　　SSH是替代Telnet和其他远程节制台打点应用轨范的行业尺度。SSH呼吁是加密的并以几种体例进行保密。

　　在使用SSH的时辰，一个数字证书将认证客户端（你的工作站）和处事器（你的收集设备）之间的毗连，并加密受呵护的口令。SSH1使用RSA加密密钥，SSH2使用数字签名算法（DSA）密钥呵护毗连和认证。

　　加密算法搜罗Blowfish，数据加密尺度（DES），以及三重DES（3DES）。SSH呵护而且有助于防止棍骗，“中心人”抨击袭击，以及数据包监听。

　　实施SSH的第一步是验证你的设备撑持SSH.请登录你的路由器或交流机，并确定你是否加载了一个撑持SSH的IPSec IOS镜像。

　　在我们的例子中，我们将使用Cisco IOS呼吁。运行下面的呼吁：

Router> Show flash

　　该呼吁显示已加载的IOS镜像名称。

　　在钠揭捉证了你的设备撑持SSH之后，请确保设备拥有一个主机名和设置装备摆设正确的主机域，就像下面的一样：

Router> config terminal
Router (config)# hostname hostname
Router (config)# ip domain-name domainname

　　在这个时辰，你就可以启用路由器上的SSH处事器。要启用SSH处事器，你首先必需操作下面的呼吁发生一对RSA密钥：

Router (config)# crypto key generate rsa

　　在路由器上发生一对RSA密钥就会自动启用SSH.如不美观你删除这对RSA密钥，就会自动禁用该SSH处事器。

　　实施SSH的最后一步是启用认证，授权和审计（AAA）。在你设置装备摆设AAA的时辰，请指定用户名和口令，会话超不时刻，一个毗连许可的考试考试次数。像下面这样使用呼吁：

Router (config)# aaa new-model
Router (config)# username password
Router (config)# ip ssh time-out
Router (config)# ip ssh authentication-retries

　　要验证你已经设置装备摆设了SSH而且它正运行在你的路由器上，执行下面的呼吁：

Router# show ip ssh

　　在验证了设置装备摆设之后，你就可以强制那些你在AAA设置装备摆设过程中添加的用户使用SSH，而不是Telnet.你也可以在虚拟终端（vty）毗连中应用SSH而实现同样的目的。这里给出一个例子：

Router (config)# line vty 0 4
Router (config-line)# transport input SSH

　　在你封锁现存的Telnet会话之前，你需要一个SSH终端客户端轨范以测试你的设置装备摆设。我死力举荐PuTTY；它是免费的，而且它是一个优异的终端软件。

最后的设法

　　当你在你的路由器和交流机上启用了SSH之后，保证你改削了所有现存的访谒节制列表以许可对这些设备的毗连。你此刻可以向你的上级陈述你已经堵上了一个巨年夜的平安裂痕：此刻所有的收集打点会话都被加密而且被呵护着。