Cisco 设备中的 TELNET 和 SSH
我们可以通过控制台电缆访问 cisco 路由器或交换机,也可以通过众所周知的 Telnet 或 ssh(安全 Shell)协议进行远程访问。 Telnet 和 ssh 都是用于远程访问和管理设备的应用层协议。
1.远程登录:
如前所述,Telnet 是一种应用层协议,它使用 TCP 端口号 23,用于远程访问设备。
特征 -
- 它不支持身份验证。
- 数据以明文形式发送,因此安全性较低。
- 没有使用加密机制。
- 设计为仅在本地网络中工作。
配置 -
有一个简单的拓扑,其中两个路由器直接相互连接,即 Router1 和 Router2。 Router1 在其 fa0/0 端口上的 IP 地址为 192.168.1.1/24,Router2 在其 fa0/0 端口上的 IP 地址为 192.168.1.2/24。
在这里,我们将在 Router1 上启用 telnet 并通过 Router2 进行访问。
在 Router1 上配置 telnet:
Router1(config)#line vty 0 4
Router1(config-line)#password GeeksforGeeks
Router1(config-line)#exit
这里,0 4 意味着我们一次可以有 5 个并发会话。
通过Router2访问:
Router2#telnet 192.168.1.1
Router1>
注意 –在 Cisco 设备上,如果您想访问某个设备,您必须使用 vty 线路。
故障排除 -
使用 telnet 或 ssh 时,请记住以下几点:
- 您要访问的(客户端)设备应该可以访问您要访问的(服务器)设备。
如果设备可以访问并且您无法 Telnet,那么您没有在 vty 线路上设置密码。使用 Telnet 或 SSH 时,必须在 vty 线路上设置密码。
笔记 -
AAA 服务也可用于在线路 vty 线路上设置密码。设备(路由器)的本地数据库或 ACS 服务器均可用作 vty 线路的密码。
但是这里我们只讨论一个简单的配置。
2. 安全外壳 (SSH):
SSH 也是一种应用程序客户端-服务器协议,用于远程访问设备。它使用 TCP 端口号 23。
特征 -
- 与 telnet 不同,它提供了身份验证方法。
- 发送的数据采用加密形式。
- 它旨在在公共网络中工作。
- 它使用公钥进行加密机制。
简而言之,SSH 比 telnet 更安全,几乎已经取代了 telnet。
配置 -
我们使用相同的简单拓扑。 Router1 在其 fa0/0 端口上的 IP 地址为 192.168.1.1/24,Router2 在其 fa0/0 端口上的 IP 地址为 192.168.1.2/24。
我们将从Router2 ssh Router1 在Router1 上配置ssh。
Router(config)#ip domain-name GeeksforGeeks.com
Router(config)#hostname Router1
Router1(config)#line vty 0 4
Router1(config-line)#transport input ssh
Router1(config-line)password GeeksforGeeks
Router1(config-line)#login
Router1(config)#crypto key generate rsa label Cisco modulus 1024
在这里,请注意必须提供域名,因为 ssh 使用它和密码用于加密目的。如果没有提供域名和主机名,则不会生成 crypro 密钥。我们为 vty 线路登录提供了密码,最后我们创建了 1024 字节的密钥并将其标记为 Cisco。
笔记 -
仅当您的路由器支持路由器 3700 等安全功能时,才会执行最后一个命令“crypto key generate rsa label Cisco modules 1024”。
如果不支持此命令,请键入命令:
Router1(config)#line vty 0 4
Router1(config-line)#crypto key generate rsa
之后,它会询问您要生成密钥的大小,因此输入512 或 1024
现在,我们将尝试从Router2 ssh 到Router1。
Router2#ssh -l Cisco 192.168.1.1
这里,-l 表示登录名,后跟用户名,然后是我们要远程访问的设备的 IP 地址。
故障排除 -
在配置 ssh 时,请考虑以下事项:
- 应提供域名和主机名。
- 应生成加密密钥
- 应提供 vty 行的密码(即不使用本地数据库)。
笔记 -
如果使用路由器的本地数据库,即在路由器本地而不是在 vty 线路上配置的用户名和密码,则将使用 login local 命令。
Router1(config-line)#login local