交换机配置Telnet的方法

网络 网络管理
如何进行交换机配置Telnet和SSH呢?本文就来为大家详细介绍一下。那么一部分是远程控制的设置说明,另一部分则是SSH协议的配置说明。

我们知道,交换机是我们网络中的核心。那么一些管理员们需要对这些设备进行远程管理,那么这里我们就来介绍一下交换机配置Telnet的方法,希望对大家有所帮助。Telnet是早期型号的Cisco交换机上支持的最初方法.Telnet是用于终端访问的常用协议,因为大部分最新的操作系统都附带内置的Telnet客户端.但是Telnet不是访问网络设备的安全方法,因为它在网络上以明文发送所有通信.攻击者使用网络监视软件可以读取在Telnet客户端和Cisco交换机的Telnet服务之间发送的每一个击键.由于Telnet协议存在安全性问题,因此SSH成为用于远程访问Cisco设备虚拟终端线路的首选协议.

SSH提供与Telnet相同类型的访问,但是增加了安全性.SSH客户端和SSH服务器之间的通信是加密的.SSH已经经历了多个版本,Cisco设备目前支持 SSHv1和SSHv2.建议尽可能实施SSHv2,因为它使用比SSHv1更强的安全加密算法.

1.配置Telnet

Telnet是Cisco交换机上支持vty的默认协议.如果为Cisco交换机分配了管理IP地址,就可以使用Telnet客户端连接到交换机.最初,vty线路并不安全,试图连接vty线路的任何用户都能接入交换机.

前一节中介绍了如何通过要求密码身份验证来保护通过vty线路对交换机的访问.这可略微提高Telnet服务的安全性.

因为交换机配置Telnet的vty线路是默认传输方式,因此在执行交换机初始配置之后,不需要指定Telnet.但是,如果已将vty线路的传输协议更改为只允许 SSH,则需要手动启用Telnet协议以允许Telnet访问.

如果需要在Cisco 2960交换机上重新启用Telnet协议,可在线路配置模式下使用以下命令:(config-line)#transport input Telnet或(config-line)#transport input all.如果允许所有传输协议,则不仅允许Telnet访问,而且仍允许通过SSH访问交换机.

2.配置SSH

SSH是受到导出限制的一种加密安全功能.要使用此功能,交换机上必须安装加密映像.

SSH功能有SSH服务器和SSH集成客户端,后者是在交换机上运行的应用程序.可以使用PC上运行的任何SSH客户端或交换机上运行的Cisco SSH客户端来连接运行SSH服务器的交换机.

对于服务器组件,交换机支持SSHv1或SSHv2.对于客户端组件,交换机只支持SSHv1.

SSH支持数据加密标准(DES)算法、三重DES(3DES)算法和基于密码的用户身份验证.DES提供56位加密,而3DES提供168位加密.加密需要时间,但是DES加密文本的时间比3DES少.通常情况下,加密标准由客户指定,因此如果必须配置SSH,请询问客户使用哪一种标准(关于数据加密方法的讨论不属于本课程的范围).

要实施SSH,需要生成RSA密钥.RSA涉及公钥和私钥,公钥保留在公共RSA服务器上,而私钥仅由发送方和接收方保留.公钥可对所有人公开,并用于加密消息.用公钥加密的消息只能使用私钥解密.这称为非对称加密.非对称加密将在"Accessing the WAN, CCNA Exploration Companion Guide"课程中更详细地讨论.

如果要将交换机配置为SSH服务器,则需要从特权执行模式下开始,按照下面的步骤配置.

步骤1 使用configure terminal命令进入全局配置模式.

步骤2 使用hostname hostname命令配置交换机的主机名.

步骤3 使用ip domain-name domain_name命令配置交换机的主机域.

步骤4 在交换机上启用SSH服务器以进行本地和远程身份验证,然后使用crypto key generate rsa命令生成RSA密钥对.

生成RSA密钥时,系统提示用户输入模数长度.Cisco建议使用1024位的模数长度.模数长度越长越安全,但是生成和使用模数的时间也越长.这一步完成SSH服务器的基本配置,剩下的步骤描述优化SSH配置可以使用的几个选项.

步骤5 使用end命令返回到特权执行模式.

步骤6 使用show ip ssh或show ssh命令显示交换机上的SSH服务器的状态.

步骤7 使用configure terminal命令进入全局配置模式.

步骤8 (可选)使用ip ssh version [1 | 2]命令将交换机配置为运行SSHv1或SSHv2.

如果未输入此命令或未指定关键字选项1或2,SSH服务器将选择SSH客户端支持的最高SSH版本.例如,如果SSH客户端支持SSHv1和SSHv2,则SSH服务器选择 SSHv2.

步骤9 配置SSH控制参数:

以秒为单位指定超时值;默认值为120秒.该值的范围为0~120秒.为了建立SSH连接,必须完成很多阶段,例如连接、协议协商和参数协商.超时值规定了交换机为建立连接而留出的时间量.

默认情况下,最高可以有5个并存的加密SSH连接用于多个基于CLI的网络会话(会话0到会话4).在执行外壳启动后,基于CLI的会话的超时值将恢复为默认的10分钟.

指定客户端可向服务器重新验证身份的次数.默认值为3;取值范围为0~5.例如,用户可以允许SSH会话在终止之前连续3次持续10分钟以上.

当配置这两个参数时,请重复执行本步骤.要配置这两个参数,请使用ip ssh {timeout seconds | authentication-retries number}命令.

步骤10 使用end命令返回到特权执行模式.

步骤11 使用show ip ssh或show ssh命令显示交换机上的SSH 服务器连接的状态.

步骤12 (可选)使用copy running-config startup-config命令在配置文件中保存您的输入.

要删除RSA密钥对,可使用crypto key zeroize rsa全局配置命令、RSA密钥对删除之后,SSH服务器自动被禁用.

如果要阻止非SSH连接,可在线路配置模式下添加 transport input ssh命令,将交换机限制为仅允许SSH连接.在交换机配置Telnet和SSH后,直接(非 SSH)Telnet连接将被拒绝.

责任编辑:佟健 来源: IT168
相关推荐

2010-07-16 17:51:45

交换机Telnet设置

2010-07-22 09:50:26

交换机telnet登录

2010-07-27 16:59:19

交换机Telnet设置

2010-07-21 17:37:36

交换机telnet自动

2010-01-05 10:14:39

交换机配置TRUNK

2017-05-23 13:57:42

交换机方法网络

2010-01-14 10:43:18

交换机配置交换机种类

2010-01-05 17:33:02

Catalyst交换机

2010-01-13 15:34:59

华为交换机堆叠配置

2011-03-08 10:58:38

VLANIP

2010-01-14 10:00:08

交换机VLAN应用

2011-03-09 14:28:28

DHCP

2010-01-05 14:04:37

2013-12-11 13:30:20

交换机技术交换机配置

2011-03-09 14:00:21

trunkVLAN

2010-01-11 14:59:03

TP-Link交换机配

2017-05-23 14:59:54

交换机接口宽带

2011-08-16 13:12:19

交换机配置

2011-07-20 10:24:33

2010-01-05 17:33:04

配置Cisco交换机
点赞
收藏

51CTO技术栈公众号