背景信息
SSH 应替代 Telnet 来管理连接。 Telnet 使用不安全的纯文本通信。 SSH 通过为设备之间的所有传输数据提供强加密,确保远程连接的安全。 在本练习中,您将使用密码加密和 SSH 来保护远程交换机。
第 1 部分: 保护密码
a. 使用 PC1 上的命令提示符,通过 Telnet 连接到 S1。 用户执行和特权执行密码为 cisco。
b. 保存当前配置,以便可通过切换 S1 的电源修复您可能做出的任何错误操作。
c. 显示当前配置,注意密码都以明文显示。 输入加密纯文本密码的命令。
d. 验证密码是否已加密。
第 2 部分: 加密通信
步骤 1: 设置 IP 域名并生成安全**。
通常,使用 Telnet 并不安全,因为数据是以纯文本形式传输。 因此,只要 SSH 可用,就应使用 SSH。
a. 将域名配置为 netacad.pka。
b. 需要使用安全**加密数据。 使用 1024 **长度生成 RSA **。
步骤 2: 创建 SSH 用户,并将 VTY 线路重新配置为仅限 SSH 访问。
a. 使用 cisco 作为加密密码创建 administrator 用户。
b. 配置 VTY 线路以检查本地用户名数据库的登录凭证,并只允许 SSH 进行远程访问。 删除现有 vty 线路密码。
第 3 部分: 验证 SSH 实施
a. 退出 Telnet 会话并尝试使用 Telnet 重新登录。 该尝试应该会失败。
b. 尝试使用 SSH 登录。 键入 ssh,然后按 Enter,不使用任何参数显示命令使用情况说明。 提示:-l 选项为字母“L”,而不是数字 1。
c. 在成功登录后,进入特权 EXEC 模式并保存配置。 如果您无法成功访问 S1,则切换电源,然后再次从第 1 部分开始。
拓扑图:
大体的分析以及步骤
1、在思科平台给的实验拓扑中,已经将telnet连接的相关内容配置完毕,Telnet登录密码为:cisco,进入特权的密码为:cisco,可以直接通过PC1进行远程访问并配置。
2、此时的Telnet的密码等信息采用明文存储,因此,在特权模式下使用命令service password-encryption 进行明文的加密。
3、但是鉴于telnet本身的不安全性,所以,在设备支持SSH的情况下,尽量采用SSH方式进行登录,登录步骤入下图
(1)首先设置域名(特权模式下)
ip domain-name netacad.pka
(2)采用1024位的RSA加密方式
crypto key generate rsa
1024(输入上调命令之后会让你输入加密位数)
(3)配置SSH登录使用的用户名和密码
username administrator secret cisco
(4)设置远程登录权限,设置只允许SSH登录,设置SSH,使用本地数据库进行检查,同时删除此时现存的vty线路密码(Telnet密码)
line vty 0 15
trankport input ssh
login local
no password cisco
exit
(5)升级SSH的版本
ip ssh version2
exit
完成
随后PC使用ssh -l administrator 10.10.10.2
后面是截图