我們知道，交換機(jī)是我們網(wǎng)絡(luò)中的核心。那么一些管理員們需要對(duì)這些設(shè)備進(jìn)行遠(yuǎn)程管理，那么這里我們就來(lái)介紹一下交換機(jī)配置Telnet的方法，希望對(duì)大家有所幫助。Telnet是早期型號(hào)的Cisco交換機(jī)上支持的最初方法.Telnet是用于終端訪問(wèn)的常用協(xié)議,因?yàn)榇蟛糠肿钚碌牟僮飨到y(tǒng)都附帶內(nèi)置的Telnet客戶端.但是Telnet不是訪問(wèn)網(wǎng)絡(luò)設(shè)備的安全方法,因?yàn)樗诰W(wǎng)絡(luò)上以明文發(fā)送所有通信.攻擊者使用網(wǎng)絡(luò)監(jiān)視軟件可以讀取在Telnet客戶端和Cisco交換機(jī)的Telnet服務(wù)之間發(fā)送的每一個(gè)擊鍵.由于Telnet協(xié)議存在安全性問(wèn)題,因此SSH成為用于遠(yuǎn)程訪問(wèn)Cisco設(shè)備虛擬終端線路的首選協(xié)議.

SSH提供與Telnet相同類型的訪問(wèn),但是增加了安全性.SSH客戶端和SSH服務(wù)器之間的通信是加密的.SSH已經(jīng)經(jīng)歷了多個(gè)版本,Cisco設(shè)備目前支持 SSHv1和SSHv2.建議盡可能實(shí)施SSHv2,因?yàn)樗褂帽萐SHv1更強(qiáng)的安全加密算法.

1．配置Telnet

Telnet是Cisco交換機(jī)上支持vty的默認(rèn)協(xié)議.如果為Cisco交換機(jī)分配了管理IP地址,就可以使用Telnet客戶端連接到交換機(jī).最初,vty線路并不安全,試圖連接vty線路的任何用戶都能接入交換機(jī).

前一節(jié)中介紹了如何通過(guò)要求密碼身份驗(yàn)證來(lái)保護(hù)通過(guò)vty線路對(duì)交換機(jī)的訪問(wèn).這可略微提高Telnet服務(wù)的安全性.

因?yàn)榻粨Q機(jī)配置Telnet的vty線路是默認(rèn)傳輸方式,因此在執(zhí)行交換機(jī)初始配置之后,不需要指定Telnet.但是,如果已將vty線路的傳輸協(xié)議更改為只允許 SSH,則需要手動(dòng)啟用Telnet協(xié)議以允許Telnet訪問(wèn).

如果需要在Cisco 2960交換機(jī)上重新啟用Telnet協(xié)議,可在線路配置模式下使用以下命令:（config-line）#transport input Telnet或（config-line）#transport input all.如果允許所有傳輸協(xié)議,則不僅允許Telnet訪問(wèn),而且仍允許通過(guò)SSH訪問(wèn)交換機(jī).

2．配置SSH

SSH是受到導(dǎo)出限制的一種加密安全功能.要使用此功能,交換機(jī)上必須安裝加密映像.

SSH功能有SSH服務(wù)器和SSH集成客戶端,后者是在交換機(jī)上運(yùn)行的應(yīng)用程序.可以使用PC上運(yùn)行的任何SSH客戶端或交換機(jī)上運(yùn)行的Cisco SSH客戶端來(lái)連接運(yùn)行SSH服務(wù)器的交換機(jī).

對(duì)于服務(wù)器組件,交換機(jī)支持SSHv1或SSHv2.對(duì)于客戶端組件,交換機(jī)只支持SSHv1.

SSH支持?jǐn)?shù)據(jù)加密標(biāo)準(zhǔn)（DES）算法、三重DES（3DES）算法和基于密碼的用戶身份驗(yàn)證.DES提供56位加密,而3DES提供168位加密.加密需要時(shí)間,但是DES加密文本的時(shí)間比3DES少.通常情況下,加密標(biāo)準(zhǔn)由客戶指定,因此如果必須配置SSH,請(qǐng)?jiān)儐?wèn)客戶使用哪一種標(biāo)準(zhǔn)（關(guān)于數(shù)據(jù)加密方法的討論不屬于本課程的范圍）.

要實(shí)施SSH,需要生成RSA密鑰.RSA涉及公鑰和私鑰,公鑰保留在公共RSA服務(wù)器上,而私鑰僅由發(fā)送方和接收方保留.公鑰可對(duì)所有人公開,并用于加密消息.用公鑰加密的消息只能使用私鑰解密.這稱為非對(duì)稱加密.非對(duì)稱加密將在"Accessing the WAN, CCNA Exploration Companion Guide"課程中更詳細(xì)地討論.

如果要將交換機(jī)配置為SSH服務(wù)器,則需要從特權(quán)執(zhí)行模式下開始,按照下面的步驟配置.

步驟1 使用configure terminal命令進(jìn)入全局配置模式.

步驟2 使用hostname hostname命令配置交換機(jī)的主機(jī)名.

步驟3 使用ip domain-name domain_name命令配置交換機(jī)的主機(jī)域.

步驟4 在交換機(jī)上啟用SSH服務(wù)器以進(jìn)行本地和遠(yuǎn)程身份驗(yàn)證,然后使用crypto key generate rsa命令生成RSA密鑰對(duì).

生成RSA密鑰時(shí),系統(tǒng)提示用戶輸入模數(shù)長(zhǎng)度.Cisco建議使用1024位的模數(shù)長(zhǎng)度.模數(shù)長(zhǎng)度越長(zhǎng)越安全,但是生成和使用模數(shù)的時(shí)間也越長(zhǎng).這一步完成SSH服務(wù)器的基本配置,剩下的步驟描述優(yōu)化SSH配置可以使用的幾個(gè)選項(xiàng).

步驟5 使用end命令返回到特權(quán)執(zhí)行模式.

步驟6 使用show ip ssh或show ssh命令顯示交換機(jī)上的SSH服務(wù)器的狀態(tài).

步驟7 使用configure terminal命令進(jìn)入全局配置模式.

步驟8 （可選）使用ip ssh version [1 | 2]命令將交換機(jī)配置為運(yùn)行SSHv1或SSHv2.

如果未輸入此命令或未指定關(guān)鍵字選項(xiàng)1或2,SSH服務(wù)器將選擇SSH客戶端支持的最高SSH版本.例如,如果SSH客戶端支持SSHv1和SSHv2,則SSH服務(wù)器選擇 SSHv2.

步驟9 配置SSH控制參數(shù):

以秒為單位指定超時(shí)值;默認(rèn)值為120秒.該值的范圍為0～120秒.為了建立SSH連接,必須完成很多階段,例如連接、協(xié)議協(xié)商和參數(shù)協(xié)商.超時(shí)值規(guī)定了交換機(jī)為建立連接而留出的時(shí)間量.

默認(rèn)情況下,最高可以有5個(gè)并存的加密SSH連接用于多個(gè)基于CLI的網(wǎng)絡(luò)會(huì)話（會(huì)話0到會(huì)話4）.在執(zhí)行外殼啟動(dòng)后,基于CLI的會(huì)話的超時(shí)值將恢復(fù)為默認(rèn)的10分鐘.

指定客戶端可向服務(wù)器重新驗(yàn)證身份的次數(shù).默認(rèn)值為3;取值范圍為0～5.例如,用戶可以允許SSH會(huì)話在終止之前連續(xù)3次持續(xù)10分鐘以上.

當(dāng)配置這兩個(gè)參數(shù)時(shí),請(qǐng)重復(fù)執(zhí)行本步驟.要配置這兩個(gè)參數(shù),請(qǐng)使用ip ssh {timeout seconds | authentication-retries number}命令.

步驟10 使用end命令返回到特權(quán)執(zhí)行模式.

步驟11 使用show ip ssh或show ssh命令顯示交換機(jī)上的SSH 服務(wù)器連接的狀態(tài).

步驟12 （可選）使用copy running-config startup-config命令在配置文件中保存您的輸入.

要?jiǎng)h除RSA密鑰對(duì),可使用crypto key zeroize rsa全局配置命令、RSA密鑰對(duì)刪除之后,SSH服務(wù)器自動(dòng)被禁用.

如果要阻止非SSH連接,可在線路配置模式下添加 transport input ssh命令,將交換機(jī)限制為僅允許SSH連接.在交換機(jī)配置Telnet和SSH后，直接（非 SSH）Telnet連接將被拒絕.