在配置 SSH 之前,至少必须为交换机配置唯一的主机名和正确的网络连接设置。

第 1 步: 检验是否支持 SSH。

使用 show ip ssh 命令检验交换机是否支持 SSH。 如果交换机没有运行支持加密功能的 IOS,则此命令将无法识别。

第 2 步: 配置 IP 域。

使用 ip domain-name domain-name 全局配置模式命令配置网络的 IP 域名。 在图 1 中,domain-name 的值是 cisco.com

第 3 步: 生成 RSA 密钥对。

并非所有 IOS 版本都默认为 SSH 第 2 版,而 SSH 第 1 版存在已知安全缺陷。 要配置 SSH 第 2 版,请执行 ip ssh version 2 全局配置模式命令。 生成 RSA 密钥对将自动启用 SSH。 使用 crypto key generate rsa 全局配置模式命令在交换机上启用 SSH 服务器并生成 RSA 密钥对。 当生成 RSA 密钥时,系统会提示管理员输入模数长度。 思科建议模数大小至少为 1024 位(参见图 1 中的配置示例)。 模数长度越长越安全,但生成和使用模数的时间也越长。

注意:要删除 RSA 密钥对,请使用 crypto key zeroize rsa 全局配置模式命令。 删除 RSA 密钥对之后,SSH 服务器将自动禁用。

第 4 步: 配置用户身份验证。

SSH 服务器可以对用户进行本地身份验证或使用身份验证服务器。 要使用本地身份验证方法,请使用 username username secret password 全局配置模式命令创建用户名和密码对。 在本示例中,为用户 admin 分配的密码为 ccna

第 5 步: 配置 vty 线路。

使用 transport input ssh 线路配置模式命令启用 vty 线路上的 SSH 协议。 Catalyst 2960 的 vty 线路范围为 0 到 15。 该配置将阻止除 SSH 之外的连接(如 Telnet),将交换机限制为仅接受 SSH 连接。 使用 line vty 全局配置模式命令,然后使用 login local 线路配置模式命令来要求从本地用户名数据库进行 SSH 连接的本地身份验证。

第 6 步: 启用 SSH 第 2 版。

默认情况下,SSH 同时支持第 1 版和第 2 版。 如果支持两种版本,在 show ip ssh 输出中将显示为支持版本 1.99。 第 1 版存在已知漏洞。 因此,建议只启用第 2 版。 使用 ip ssh version 2 全局配置命令启用 SSH 版本。

使用图 2 中的语法检查器配置交换机 S1 的 SSH。