在配置 SSH 之前,至少必须为交换机配置唯一的主机名和正确的网络连接设置。
步骤 1.验证是否支持 SSH。
使用 show ip ssh 命令验证交换机是否支持 SSH。如果交换机没有运行支持加密功能的 IOS,则此命令将无法识别。
步骤 2.配置 IP 域。
使用 ip domain-name domain-name 全局配置模式命令配置网络 IP 域名。图 1 中, domain-name 值为 cisco.com。
步骤 3.生成 RSA 密钥对。
并非所有 IOS 版本都默认为 SSH 第 2 版,而 SSH 第 1 版存在已知安全缺陷。要配置 SSH 第 2 版,请执行 ip ssh version 2 全局配置模式命令。生成 RSA 密钥对将自动启用 SSH。使用 crypto key generate rsa 全局配置模式命令在交换机上启用 SSH 服务器并生成 RSA 密钥对。当生成 RSA 密钥时,系统会提示管理员输入模数长度。图 1 中的示例配置使用 1,024 位模数长度。模数长度越长越安全,但生成和使用模数的时间也越长。
注:要删除 RSA 密钥对,请使用 crypto key zeroize rsa 全局配置模式命令。删除 RSA 密钥对之后,SSH 服务器将自动禁用。
步骤 4.配置用户身份验证。
SSH 服务器可以对用户进行本地身份验证或使用身份验证服务器。要使用本地身份验证方法,请使用 username username secret password 全局配置模式命令创建用户名和密码。在本示例中,为用户 admin 分配的密码为 ccna。
步骤 5.配置 vty 线路。
使用 transport input ssh 线路配置模式命令启用 vty 线路上的 SSH 协议。Catalyst 2960 的 vty 线路范围为 0 到 15。该配置将阻止除 SSH 之外的连接(如 Telnet),将交换机限制为仅接受 SSH 连接。使用 line vty 全局配置模式命令,然后使用 login local 线路配置模式命令来要求从本地用户名数据库进行 SSH 连接的本地身份验证。
步骤 6.启用 SSH 第 2 版。
默认情况下,SSH 同时支持第 1 版和第 2 版。如果支持两种版本,在 show ip ssh 输出中将显示为支持版本 1.99。第 1 版存在已知漏洞。因此,建议只启用第 2 版。使用 ip ssh version 2 全局配置命令启用 SSH 版本。
