SSH 為建立在應用層基礎上的安全協議。SSH 是目前較可靠,專為遠程登錄會話和其他網絡服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的信息泄露問題。今天我們就來說說思科交換機,路由器如何關閉telnet開啟ssh服務
等保測評要求:
必須關閉telnet服務,開啟ssh服務
即用ssh方式登錄網絡設備,而不允許用telnet。
輸入密碼、en 再次輸入密碼、sh run 這些常規動作就不再贅述。
cisco交換機
1.關閉telnet
Router> config t
Router(config) > line vty 0 4
Router(config-line-vty)> no password
Router(config-line-vty)> exit
Router(config) > exit
Router>
幾個注意點:
必須用 line vty 0 4 這個vty進去修改。
我們曾經用過 line vty 5 15 這個vty進去修改,以失敗告終。
必須寫 : no password 來關閉 telnet。
如果不小心寫成了 no transport input
然后sh run時,就會變成:
transport input none
然后就沒法通過 telnet 或者 ssh 進去了。。。
2.開啟ssh服務
常規操作步驟:
1.SSH-Test#config t
2.SSH-Test(config)#ip domain-name bxxxx.gov
3.SSH-Test(config)#crypto key generate rsa
4.SSH-Test(config)#aaa new-mode
5.SSH-Test(config)#username test password test
6.SSH-Test(config)#line vty 0 4
7.SSH-Test(config-line)#transport input ssh
8.SSH-Test(config-line)#exit
9.SSH-Test(config)#exit
10.SSH-Test#sh run
測試下,如果是自己中意的結果,即ssh1能夠登錄的話,執行11
11. .SSH-Test#wr
把結果寫入。
我們遇到的一種情況
在寫 crypto key generate rsa這句話時,不讓寫入
原因排查方法(查看當前CIO是否支持SSH):
SSH-Test#config t
SSH-Test(config)#line vty 0 4
SSH-Test(config-line)#transport input ?
發現,只有 telnet 、all、none三種模式
沒有ssh方法。
也就是說,該交換機不支持ssh登錄方式。
