地址分配表
目标
第 1 部分:保护密码
第 2 部分:加密通信
第 3 部分:验证 SSH 实施
背景信息
SSH 应替代 Telnet 来管理连接。Telnet 使用的是不安全的明文通信方式。SSH 则会为设备之间 的所有传输数据提供强加密,确保远程 连接的安全。在这个练习中,您会使用密码 加密和 SSH 来保护远程交换机。
指导
第 1 部分:保护密码
a. 在PC1上使用命令提示符通过 Telnet 访问S1。用户 EXEC 模式和特权 EXEC 模式的密码为cisco。
注:password处输入cisco(以下也是)。
b. 保存当前配置,以便可以 通过切换S1的电源,来修复您可能做出的任何错误操作。
S1#copy running-config startup-configc. 显示当前配置并注意密码是否采用明 文格式。输入用于加密明文密码的命令:
S1(config)# service password-encryption
S1#
S1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
S1(config)#service password-encryption
S1(config)#d. 验证密码是否已加密。
第 2 部分:加密通信
步骤 1:设置 IP 域名并 生成安全密钥。
一般来说,使用 Telnet 并不安全,因为数据是以明文形式 传输的。因此,只要 SSH 可用,就应使用 SSH。
a. 把域名配置为 netacad.pka。
S1(config)# ip domain-name netacad.pkab. 需要使用安全的密钥来加密数据。使用 1024 作为密钥长度生成 RSA 密钥。
S1(config)#crypto key generate rsa
The name for the keys will be: S1.netacad.pka
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]步骤 2:创建 SSH 用户并 重新配置 vty 线路,让它只接受 SSH 访问。
a. 使用cisco作为加密 密码创建administrator用户。
S1(config)#username administrator secret cisco
*Mar 1 15:8:27.210: %SSH-5-ENABLED: SSH 1.99 has been enabled
S1(config)#b. 配置 VTY 线路以检查本地用户名数据库的登录 凭证,并只允许 SSH 进行远程访问。删除现有 vty 线路密码。
S1(config)#line vty 0 15
S1(config-line)#login local
S1(config-line)#transport input ssh
S1(config-line)#no password cisco
第 3 部分:验证 SSH 实施
a. 退出 Telnet 会话并尝试使用 Telnet 重新登录。这次 尝试应该会失败。
b. 尝试使用 SSH 登录。输入ssh,然后按 Enter(回车键) ,不使用任何参数显示命令使用情况说明。提示: -l 选项为 字母“L”,不是数字 1。
c. 在成功登录后,进入特权模式并保存 配置。如果您无法成功访问S1,则切换 电源,然后再次从第 1 部分开始。