思科认证CiSCO 交换机配置与SSH 登陆操作命令详解

2020-02-12 13:50:28 季文康

本文实例讲述了思科认证CiSCO 交换机配置与SSH 登陆操作命令。分享给大家供大家参考，具体如下：

题目：在三层交换机上仅运行 SSH 服务，且用户名和密码的方式登录交换机。

（一）了解主机名与域名

1、"主机名" 为该设备的名称

2、"域名" 为该设备所属的所属者

（二）配置主机名与域名

1、进入特权模式

ESW1#configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.

2、配置主机名

ESW1(config)#hostname rabbit
rabbit(config)#

3、配置域名

rabbit(config)#ip domain-name ?
  WORD  Default domain name
  vrf   Specify VRF
rabbit(config)#ip domain-name irabe.me
rabbit(config)#do show ip domain-name
irabe.me

（三）了解什么是 line

1、”line“ 命令有多个选项参数

rabbit(config)#line ?
  <0-198>  First Line number
  aux      Auxiliary line
  console  Primary terminal line
  tty      Terminal controller (终端控制器)
  vty      Virtual terminal （虚拟控制器）
  x/y      Slot/Port for Modems

2、”who“ 查看当前自己所在位置

rabbit(config)#do who
    Line       User       Host(s)              Idle       Location
*  0 con 0                idle                 00:00:00

（四）配置 line 选项卡

1、建立 ssh 用户

rabbit(config)#aaa new-model
The aaa new-model command causes the local username and password on the router
rabbit(config)#username cisco password 0 cisco

2、配置 ssh 密码

rabbit(config)#crypto key zeroize rsa

清空 rsa 模式的 crypto 密码

rabbit(config)#crypto key generate rsa
rabbit(config)#ip ssh version 2  
rabbit(config)#do show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 5

3、配置一些信息

rabbit(config-line)#exit
rabbit(config)#ip ssh ?
  authentication-retries  Specify number of authentication retries ( 指明 authentication 尝试次数 )
  break-string            break-string
  logging                 Configure logging for SSH
  maxstartups             Maximum concurrent sessions allowed
  port                    Starting (or only) Port number to listen on
  rsa                     Configure RSA keypair name for SSH
  source-interface        Specify interface for source address in SSH
                          connections
  time-out                Specify SSH time-out interval （ 指明 SSH 超时间隔 ）
  version                 Specify protocol version to be supported ( sshv2 Or sshv1 ）

4、配置 vty 传输模式

rabbit(config)#line vty 0

VTY是路由器的远程登陆的虚拟端口，0 4表示可以同时打开5个会话。

rabbit(config-line)#transport input ssh
rabbit(config-line)#

5、配置用户上线后特权模式密码

rabbit(config)#enable secret 0 password
rabbit(config)#enable password 0 password

故障排除提示

如果 SSH 配置命令被作为非法命令拒绝，则说明您没有成功地为路由器生成 RSA 密钥对。请确保指定了主机名和域。然后，使用 crypto key generate rsa 命令生成 RSA 密钥对并启用 SSH 服务器。
配置 RSA 密钥对时，可能会遇到下列错误消息：
1. No hostname specified
  
  此时，必须使用 hostname 全局配置命令为路由器配置一个主机名。
2. No domain specified
  
  此时，必须使用 ip domain-name 全局配置命令为路由器配置一个主机域。
允许的 SSH 连接数受为路由器配置的 vty 的最大数目限制。每个 SSH 连接使用一个 vty 资源。
SSH 使用本地安全协议或通过路由器上的 AAA 配置的安全协议进行用户身份验证。配置 AAA 时，必须通过在全局配置模式下应用关键字来禁用控制台上的 AAA，确保控制台不在 AAA 系统下运行。
No SSH server connections running.
```
carter#show ssh

%No SSHv2 server connections running.
%No SSHv1 server connections running.
```
此输出表明 SSH 服务器被禁用或未正确启用。如果已经配置了 SSH，建议您在设备中重新配置 SSH 服务器。完成下列步骤在设备上重新配置 SSH 服务器。
1. 删除 RSA 密钥对。在删除 RSA 密钥对后，SSH 服务器将自动禁用。
```
carter(config)#crypto key zeroize rsa
```
  注意： 当您启用SSH v2时，生成与至少768的一密钥对作为比特大小是重要的。
  
  警告： 在保存配置后，此命令将无法撤消。而且，在删除 RSA 密钥对后，您不能使用证书或 CA 与其他 IP 安全 (IPSec) 对等体进行证书交换，除非您通过重新生成 RSA 密钥、获取 CA 的证书并再次请求自己的证书重新配置 CA 互操作性。有关此命令的详细信息，请参阅 crypto key zeroize rsa - Cisco IOS 安全命令参考 12.3 版。
2. 重新配置设备的主机名和域名。
```
carter(config)#hostname hostname

carter(config)#ip domain-name domainname
```
3. 为路由器生成 RSA 密钥对，这将自动启用 SSH。
```
carter(config)#crypto key generate rsa
```
  有关此命令用法的详细信息，请参阅 crypto key generate rsa - Cisco IOS 安全命令参考 12.3 版。
  
  注意： 您可能会收到如下错误消息：SSH2 0:Unexpected mesg type received，这是因为路由器无法理解接收到的数据包。要解决此问题，请在生成用于 SSH 的 RSA 密钥时增加密钥长度。
4. 配置 SSH 服务器。为了启动并设定一Cisco路由器/交换机SSH服务器的，您能配置SSH参数。如果不配置 SSH 参数，将使用默认值。
  
  ip ssh {[timeout seconds]|
  
  [[authentication-retries integer]}
```
carter(config)# ip ssh
```
  有关此命令用法的详细信息，请参阅 ip ssh - Cisco IOS 安全命令参考 12.3 版。