通过 SSH 进行远程访问

远程管理设备的传统协议为 Telnet。 Telnet 并不安全。 Telnet 数据包中包含的数据以未加密形式传输。 使用 Wireshark 之类的工具,他人可以“嗅探”Telnet 会话并获取密码信息。 因此,强烈建议在设备上启用 SSH 以进行安全远程访问。 如图所示,可以通过四个步骤来配置思科设备以支持 SSH。

第 1 步: 确保路由器使用唯一主机名,然后在全局配置模式下使用 ip domain-name domain-name 命令配置网络的 IP 域名。

第 2 步: 必须为路由器生成单向密钥以加密 SSH 流量。 关键是实际使用什么来加密和解密数据。 要创建加密密钥,请在全局模式下使用 crypto key generate rsa general-keys modulus modulus-size 命令。 该命令各部分的特定含义很复杂而且不属于本课程的范围,现在只需记住系数决定密钥的大小,可配置为 360 位至 2048 位。 系数越大,密钥就越安全,但加密和解密信息所用的时间也就越长。 最小建议系数长度为 1024 位。

Router(config)# crypto key generate rsa general-keys modulus 1024

第 3 步: 使用 username name secret secret 全局配置命令来创建本地数据库用户名条目。

第 4 步: 使用 line vty 命令 login localtransport input ssh 启用 vty 入站 SSH 会话。

现在可以使用 SSH 客户端软件访问路由器 SSH 服务。