SSHServer配置.docVIP

SSH Server配置 实验目的： 1、掌握法2、1、； 2、在PC主机上使用telnet软件连接到路由器R1，本实验使用了secureCRT软件； 3、在secureCRT创建新的到达R1路由器的连接，并且尝试连接，确认结果： 4、此时使用的Telnet的连接方式，如果在网络安装有sniffer软件，则之前的Telnet密码可能已经被人截获。其主要原因是telnet传输是明文数据。因此，有必须在路由器实施SSH，SSH连接使用了不对称钥的密码来与客户端协商认证，并且产生加密密钥，用于会话加密，有效的保护了telnet会话； 5、SSH目前有两个版本，SSH1使用RSA生成加密密钥DSA）密钥保护连接和认证； 6、在R1路由器上配置SSH的服务器端，配置如下： R1(config)#hostname R1 R1(config)#ip domain-name R1(config)#crypto key generate rsa The name for the keys will be: R1. Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: % Generating 512 bit RSA keys, keys will be non-exportable...[OK] R1(config)# R1(config)#aaa new-model R1(config)#username wangyuan password cisco123 R1(config)#ip ssh time-out 30 R1(config)#ip ssh authentication-retries 3 R1(config)#ip ssh time-out 120 R1(config)#line vty 0 4 R1(config-line)#transport input ssh R1(config-line)#end R1(config)# 7、完成SSH服务器端配置，在PC上再次使用telnet进行连接，显示连接出错 8、配置SSH的连接，同时还需要注意Cisco路由器不支持SSH1的zlib的压缩，而secure CRT默认是启了此压缩，因此需要编辑属性修改压缩属性： 9、点击连接后，secure CRT弹出如下窗口，要求接受服务器密钥，点击“接受并保存”或“只接受一次”的按钮继续： 10、接受密钥后，本地secure CRT会弹出要求提供密码的对话框： 11、在输入正确的密码后，即可以直接登录到R1路由器了，如下图所示： 12、当客户端登录成功后，在R1路由器上查看SSH的客户端连接： R1#show ssh Connection Version Encryption State Username 0 2 RSA Session Started wangyuan 配置本地域名，用于生成证书。证书包含了公钥 配置使用RSA，生成一对密钥 密钥的名称 选择密钥的长度,默认为512 当前路由器的允许的范围是： 360到2048位的长度 配置AAA模式 配置帐号和密码，用于SSH客户端登录 配置SSH的客户端的空闲超时时间为30秒 配置SSH的客户端的失败次数,如果尝试失败次数超过指定端,则默认停止响应120秒,下面一条命令配置停止响应时间 配置VTY的线路，接受SSH的接入