通过SSH实现Cisco路由器登录

　1、前言

　　江西省IP网络中采用了大量的Cisco路由器。管理员通常采用Telnet远程登录的方式对路由器进行日常维护。由于Telnet、FTP等网络服务程序在网络中采用明文传送口令和数据，其安全性无法得到有效的保障。管理员的用户名和密码一旦被别有用心的人截获，后果将不堪设想。因此如何实现Cisco路由器的安全登录成为网络日常维护工作中首要解决的问题。本文利用Cisco路由器对SSH的支持，通过SSH实现了对路由器的安全登录。
SSH的英文全称是Secure Shell，是由芬兰的一家公司开发的。SSH由客户端和服务端的软件组成，有1.x和2.x两个不兼容的版本。SSH的功能强大，既可以代替Telnet，又可以为FTP、POP3和PPP提供一个安全的“通道”。使用SSH，可以把传输的所有数据进行加密。即使有人截获到数据也无法得到有用的信息。同时，数据经过压缩，大大地加快传输的速度。

　　本文将详细介绍在Cisco路由器上用SSH实现安全登录的配置方法。该方法简单易行，安全性高，适于在网络维护工作中推广使用。

　　2、在Cisco路由器上配置SSH服务

　　在Cisco路由器产品系列中只有7200系列、7500系列和12000系列（GSR）等高端产品的IOS支持SSH。一般支持SSH的IOS版本文件名中都带有K3或者K4字样，K3 代表56bit SSH 加密，K4代表168bit SSH加密。如我省省网GSR 12016和12008上用的IOS 就是一个支持56bit SSH 加密的版本。目前Cisco的产品只支持SSH-1，还不支持SSH-2。下面以GSR 12008为例详细介绍SSH-1的配置方法（斜体字为配置输入的命令）：

　　① 配置hostname和ip domain-name：
　　Router#configure terminal
　　Router(config)#hostname TEST-GSR12008
　　TEST-GSR12008(config)#ip domain-name jx.cn.net
　　② 配置登录用户名和密码（以本地认证为例）：
　　TEST-GSR12008(config)#username test password 0 test
　　注：添加一个用户：test，口令：test
　　TEST-GSR12008(config)#line vty 0 4
　　TEST-GSR12008(config-line)#login local
　　在这两部分做完以后，用show run命令就能够看到：
　　hostname TEST-GSR12008
　　!
　　boot system flash gsr-k3p-mz.120-14.S.bin
　　enable secret 5 $1$DMyW$gdSIOkCr7p8ytwcRwtnJG.
　　enable password 7 094F47C31A0A
　　!
　　username test password 7 0835495D1D
　　clock timezone PRC 16
　　redundancy
　　main-cpu
　　auto-sync startup-config
　　!
　　!
　　!
　　!
　　ip subnet-zero
　　no ip finger
　　ip domain-name jx.cn.net
　　ip name-server 202.101.224.68
　　ip name-server 202.101.226.68
　　!
　　③ 配置SSH服务：
　　TEST-GSR12008(config)#crypto key generate rsa
　　The name for the keys will be: TEST-GSR12008.jx.cn.net
　　注：SSH的关键字名就是hostname + . +ip domain-name
　　Choose the size of the key modulus in the range of 360 to 2048 for your
　　General Purpose Keys. Choosing a key modulus greater than 512 may take
　　a few minutes.

　　How many bits in the modulus [512]: 注：选择加密位数，用默认就行了
　　Generating RSA keys ...
　　[OK]

　　TEST-GSR12008(config)#end
　　TEST-GSR12008#write
　　Building configuration...
　　这时候用show run命令可以看到：
　　ip subnet-zero
　　no ip finger
　　ip domain-name jx.cn.net
　　ip name-server 202.101.224.68
　　ip name-server 202.101.226.68
　　ip ssh time-out 120
　　ip ssh authentication-retries 3
　　!
　　用命令show ip ssh也能看到：
　　SSH Enabled - version 1.5
　　Authentication timeout: 120 secs; Authentication retries: 3
　　现在SSH服务已经启动，如果需要停止SSH服务，用以下命令：
　　TEST-GSR12008(config)#crypto key zeroize rsa
　　④设置SSH参数
　　配置好了SSH之后，通过show run命令我们看到SSH默认的参数：超时限定为120秒，认证　　重试次数为3次，可以通过下面命令进行修改：
　　TEST-GSR12008(config)#ip ssh {[time-out seconds]} | [authentication-retries interger]}
　　如果要把超时限定改为180秒，则应该用：
　　TEST-GSR12008(config)# ip ssh time-out 180
　　如果要把重试次数改成5次，则应该用：
　　TEST-GSR12008(config)# ip ssh authentication-retries 5
　　这样，SSH已经在路由器上配置成功了，就能够通过SSH进行安全登录了。

　　3、SSH安全登录客户端的设置

　　Windows自带的Telnet组件和Netterm都不能支持SSH。用SSH登录远端路由器，必须使用特定的客户端软件。目前能够较好地支持SSH的一种客户端软件是Secure CRT，可以到其公司主页http://www.vandyke.com下载。下面就以Secure CRT 3.3为例介绍SSH的客户端配置：

　　登录界面如下图：

　　Hostname可以直接写IP地址或者是DNS能够解析的域名，加密方式Cipher要选择DES（Data Encryption Standard）。

　　然后按OK进入，出现要求输入用户test的密码，如图：

　　输入密码以后即可以进入和telnet一样的界面，如图：

　　此时就可以象Telnet那样进行操作了，但不用担心口令或数据被恶意截获了。
Cisco路由器也提供了SSH登录的客户端软件，用与路由器之间的互访，其用法与路由器之间Telnet类似，命令为ssh [-c] [-l] [-p] hostname or IP。

　　-c 选择加密算法，可以选择DES和3DES；
　　-l 此参数后面跟登录用户名；
　　-p 选择SSH的服务端口，默认端口为22。

　　用SSH实现安全登录还适用于7200系列和7500系列路由器，其配置方法与GSR12008相同。此外SSH还适用于Catalyst 6000/6500系列、5000系列和4000系列等交换机，其配置方法与12008稍有不同，在这里就不作详细介绍了。

,