cisco ssh配置
1,CISCO 最基本的实验,密码设置
全局模式口令
R1#configure terminal
R1(config)#enable password XXXX
控制台登录口令:
router#config terminal
router(config)#line console 0
router(config-line)#exec-timeout 0 0 //设置控制台超时值为零,即决不超时,默认是10分钟
router(config-line)#logging synchronous //阻止由于不稳定而产生的恼人的控制台信息
router(config-line)#password XXXXXX
router(config-line)#login
Telnet口令:
Router(config)#line vty 0 4 //没有运行Cisco IOS企业版的路由器默认时有5条VTY线路(0~4)
Router(config-line)#password XXXXXX
Router(config-line)#login //可以使用no login 命令告诉路由器,允许建立无口令验证的Telnet连接
遇到的问题:1,没有设置enable密码,是无通过telnet进去特权模式的,只能通过console口登录。
2,CISCO ssh登录的设置
ra#config terminal
ra(config)#ip domain-name ctocio.com.cn
//配置一个域名
ra(config)#crypto key generate rsa general-keys modulus 1024
//生成一个rsa算法的密钥,密钥为1024位
(提示:在Cisoc中rsa支持360-2048位,该算法的原理是:主机将自己的公用密钥分发给相关的客户机,客户机在访问主机时则使用该主机的公开密钥来加密数据,主机则使用自己的私有的密钥来解密数据,从而实现主机密钥认证,确定客户机的可靠身份。
ra(config)#ip ssh time 120
//设置ssh时间为120秒
ra(config)#ip ssh authentication 4
//设置ssh认证重复次数为4,可以在0-5之间选择
ra(config)#line vty 0 4
//进入vty模式
ra(config-line)#transport input ssh
//设置vty的登录模式为ssh,默认情况下是all即允许所有登录
ra(config-line)#login
ra(config)#aaa authentication login default local
//启用aaa认证,设置在本地服务器上进行认证
ra(config-line)#username momo password 123
//创建一个用户momo并设置其密码为123用于SSH客户端登录这样SSH的CISCO设置就完成了。
遇到的问题:1.为什么SSH配置需要一个域名呢,
在配置SSH登录时,要生成一1024位RSA key,那么key的名字是以路由器的名字与DNS域名相接合为名字。
2,在配置时候,使用的7200ISO无法使用aaa authentication login default local这条命令,跳过后果然无法登陆,使用了aaa new-model--- 启用新的访问控制命令和功能。(禁用旧
命令)。
这条命令便可以的了,开启这个模式后,便有很多aaa的命令可以使用,包括实验中的命令,实验我跳过的了,依然可以SSH登录,看来是默认为本地验证的了。
另外,启用AAA后,除了console口外,所有线程都是用AAA来认证.