關(guān)閉Cisco不需要的服務(wù)這里假設(shè)路由器有Ethernet0和Ethernet1端口Router(config)#nocdprun//關(guān)閉CDP協(xié)議，CDP使用多播地址，能夠發(fā)現(xiàn)對(duì)端路由器的Hostname,硬件設(shè)備類型，IOS版本，三層接口地址，發(fā)送CDP多播的地址Router(config)#noservicetcp-small-serversRouter(config)#noserviceudp-small-servers/關(guān)閉TCP和UDP的一些無(wú)用的小服務(wù)，這些小服務(wù)的端口小于19,通常用在以前的UNIX環(huán)境中，如chargen,daytime等Router(config)#noservicefinger//finger通常用在UNIX中，用來(lái)確定誰(shuí)登陸到設(shè)備上：telnet192.168.1.254fingerRouter(config)#noipfinger//關(guān)閉對(duì)于finger查詢的應(yīng)答Router(config)#noipidentd//關(guān)閉用戶認(rèn)證服務(wù)，一個(gè)設(shè)備發(fā)送一個(gè)請(qǐng)求到Ident接口(TCP113),目標(biāo)會(huì)回答一個(gè)身份識(shí)別，如host名稱或者設(shè)備名稱Router(config)#noipsource-route//關(guān)閉IP源路由，通過(guò)源路由，能夠在IP包頭中指定數(shù)據(jù)包實(shí)際要經(jīng)過(guò)的路徑Router(config)#noftp-serverenable//關(guān)閉FTP服務(wù)Router(config)#noiphttpserver//關(guān)閉HTTP路由器登陸服務(wù)Router(config)#noiphttpsecure-server//關(guān)閉HTTPS路由器登陸服務(wù)Router(config)#nosnmp-servercommunitypublicRORouter(config)#nosnmp-servercommunityprivateRWRouter(config)#nosnmp-serverenabletrapsRouter(config)#nosnmp-serversystem-shutdownRouter(config)#nosnmp-servertrap-authRouter(config)#nosnmp-server//關(guān)閉SNMP服務(wù)Router(config)#noipdomain-lookup//關(guān)閉DNS域名查找Router(config)#noipbootpserver//bootp服務(wù)通常用在無(wú)盤站中，為主機(jī)申請(qǐng)IP地址Router(config)#noservicedhcp//關(guān)閉DHCP服務(wù)Router(config)#noservicepad//pad服務(wù)一般用在X.25網(wǎng)絡(luò)中為遠(yuǎn)端站點(diǎn)提供可靠連接Router(config)#nobootnetwork//關(guān)閉路由器通過(guò)TFTP加載IOS啟動(dòng)Router(config)#noserviceconfig//關(guān)閉路由器加載IOS成功后通過(guò)TFTP加載配置文件Router(config)#interfaceethernet0Router(config-if)#noipproxy-arp//關(guān)閉代理ARP服務(wù)Router(config-if)#noipdirected-broadcast//關(guān)閉直連廣播，因?yàn)橹边B廣播是能夠被路由的Router(config-if)#noipunreachableRouter(config-if)#noipredirectRouter(config-if)#noipmask-reply//關(guān)閉三種不可靠的ICMP消息Router(config-if)#exit注意：使用showipinterface查看接口啟用的服務(wù)Router(config)#interfaceethernet0Router(config-if)#shutdown〃手動(dòng)關(guān)閉沒(méi)有使用的接口Router(config-if)#exitRouter(config)#servicetcp-keepalives-inRouter(config)#servicetcp-keepalives-out〃對(duì)活動(dòng)的tcp連接進(jìn)行監(jiān)視，及時(shí)關(guān)閉已經(jīng)空閑超時(shí)的tcp連接，通常和telnet,ssh起使用Router(config)#usernameadmin1privilege15secretgeekboyRouter(config)#hostnamejwyBullmastiff(config)#ipdomain-Bullmastiff(config)#cryptokeygeneratersaBullmastiff(config)#linevty04Bullmastiff(config-line)#loginlocalBullmastiff(config-line)#transportinputsshBullmastiff(config-line)#transportoutputssh〃只允許其他設(shè)備通過(guò)SSH登陸到路由器安全連接：用ssh替代Telnet如果你一直利用Telnet控制網(wǎng)絡(luò)設(shè)備，你可以考慮采用其他更安全的方式。

本文告訴你如何用SSH替換Telnet使用Telnet這個(gè)用來(lái)訪問(wèn)遠(yuǎn)程計(jì)算機(jī)的TCP/IP協(xié)議以控制你的網(wǎng)絡(luò)設(shè)備相當(dāng)于在離開(kāi)某個(gè)建筑時(shí)大喊你的用戶名和口令很快地，會(huì)有人進(jìn)行監(jiān)聽(tīng)，并且他們會(huì)利用你安全意識(shí)的缺乏SSH是替代Telnet和其他遠(yuǎn)程控制臺(tái)管理應(yīng)用程序的行業(yè)標(biāo)準(zhǔn)SSH命令是加密的并以幾種方式進(jìn)行保密在使用SSH的時(shí)候，一個(gè)數(shù)字證書將認(rèn)證客戶端（你的工作站）和服務(wù)器（你的網(wǎng)絡(luò)設(shè)備）之間的連接，并加密受保護(hù)的口令SSH1使用RSA加密密鑰，SSH2使用數(shù)字簽名算法（DSA）密鑰保護(hù)連接和認(rèn)證加密算法包括Blowfish，數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）,以及三重DES（3DES）SSH保護(hù)并且有助于防止欺騙，“中間人”攻擊，以及數(shù)據(jù)包監(jiān)聽(tīng)實(shí)施SSH的第一步是驗(yàn)證你的設(shè)備支持SSH請(qǐng)登錄你的路由器或交換機(jī)，并確定你是否加載了一個(gè)支持SSH的IPSecIOS鏡像在我們的例子中，我們將使用CiscoIOS命令運(yùn)行下面的命令：Router〉Showflash該命令顯示已加載的IOS鏡像名稱你可以用結(jié)果對(duì)比你的供應(yīng)商的支持特性列表在你驗(yàn)證了你的設(shè)備支持SSH之后，請(qǐng)確保設(shè)備擁有一個(gè)主機(jī)名和配置正確的主機(jī)域,就像下面的一樣：Router〉configterminalRouter（config）#hostnamehostnameRouter（config）#ipdomain-namedomainname在這個(gè)時(shí)候，你就可以啟用路由器上的SSH服務(wù)器。

要啟用SSH服務(wù)器，你首先必須利用下面的命令產(chǎn)生一對(duì)RSA密鑰：Router(config)#cryptokeygeneratersa在路由器上產(chǎn)生一對(duì)RSA密鑰就會(huì)自動(dòng)啟用SSH如果你刪除這對(duì)RSA密鑰，就會(huì)自動(dòng)禁用該SSH服務(wù)器實(shí)施SSH的最后一步是啟用認(rèn)證，授權(quán)和審計(jì)(AAA)在你配置AAA的時(shí)候，請(qǐng)指定用戶名和口令，會(huì)話超時(shí)時(shí)間，一個(gè)連接允許的嘗試次數(shù)像下面這樣使用命令：Router(config)#aaanew-modelRouter(config)#usernamepasswordRouter(config)#ipsshtime-outRouter(config)#ipsshauthentication-retries要驗(yàn)證你已經(jīng)配置了SSH并且它正運(yùn)行在你的路由器上，執(zhí)行下面的命令：Router#showipssh在驗(yàn)證了配置之后，你就可以強(qiáng)制那些你在AAA配置過(guò)程中添加的用戶使用SSH，而不是Telnet你也可以在虛擬終端(vty)連接中應(yīng)用SSH而實(shí)現(xiàn)同樣的目的這里給出一個(gè)例子：Router(config)#linevty04Router(config-line)#transportinputSSHssh-lgcs192.168.1.254在你關(guān)閉現(xiàn)存的Telnet會(huì)話之前，你需要一個(gè)SSH終端客戶端程序以測(cè)試你的配置。

我極力推薦PuTTY；它是免費(fèi)的，而且它是一個(gè)優(yōu)秀的終端軟件路由器配置：Router>enableRouter#configtRouter(config)#hostjintianjintian(config)#enablepassword123jintian(config)#intfaO/Ojintian(config-if)#ipadd192.168.1.1255.255.255.0jintian(config-if)#noshutjintian(config-if)#exitjintian(config)usernamejintianpasswordjintianjintian(config)#ipdomain-jintian(config)#cryptokeygeneratersaThenameforthekeyswillbe:Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:512jintian(config)#linevty04jintian(config-line)#transportinputsshjintian(config-line)#loginlocaljintian(config-line)#測(cè)試：在PC上：PacketTracerPCCommandLine1.0PC>ping192.168.1.1Pinging192.168.1.1with32bytesofdata:Replyfrom192.168.1.1:bytes=32time=62msTTL=255Replyfrom192.168.1.1:bytes=32time=32msTTL=255Replyfrom192.168.1.1:bytes=32time=32msTTL=255Replyfrom192.168.1.1:bytes=32time=31msTTL=255Pingstatisticsfor192.168.1.1:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=31ms,Maximum=62ms,Average=39msPC>ssh-ljintian192.168.1.1Password:jintian>enPassword:jintian#R2(config)#aaanew-model啟用AAAR2(config)#aaaauthenticationlogindefaultlocal啟用aaa認(rèn)證，設(shè)置在本地服務(wù)器上進(jìn)行認(rèn)證R2(config)#usernameciscopasscisco倉(cāng)U建一個(gè)用戶cisco并設(shè)置其密碼為cisco用于SSH客戶端登錄R2(config)#linevty04R2(config-line)#loginauthenticationdefault設(shè)置使用AAA的default來(lái)進(jìn)行認(rèn)證R2(config-line)#exitR2(config)#2.4.3配置Telnet和SSH2.4.3配置Telnet和SSH2009-04-1416:24思科系統(tǒng)公司人民郵電出版社我要評(píng)論(0)字號(hào)：TIT《思科網(wǎng)絡(luò)技術(shù)學(xué)院教程CCNAExplorations：LAN交換和無(wú)線》為思科網(wǎng)絡(luò)技術(shù)學(xué)院CCNAExploration第4版課程的配套書面教材，第2章講述的是交換機(jī)基本概念和配置。

本節(jié)說(shuō)的是配置Telnet和SSH2.4.3配置Telnet和SSH老式交換機(jī)可能不支持使用安全外殼（SSH）的安全通信本節(jié)將幫助您選擇與交換機(jī)通信的方法：Telnet和SSHTelnet是早期型號(hào)的Cisco交換機(jī)上支持的最初方法Telnet是用于終端訪問(wèn)的常用協(xié)議，因?yàn)榇蟛糠肿钚碌牟僮飨到y(tǒng)都附帶內(nèi)置的Telnet客戶端但是Telnet不是訪問(wèn)網(wǎng)絡(luò)設(shè)備的安全方法，因?yàn)樗诰W(wǎng)絡(luò)上以明文發(fā)送所有通信攻擊者使用網(wǎng)絡(luò)監(jiān)視軟件可以讀取在Telnet客戶端和Cisco交換機(jī)的Telnet服務(wù)之間發(fā)送的每一個(gè)擊鍵由于Telnet協(xié)議存在安全性問(wèn)題，因此SSH成為用于遠(yuǎn)程訪問(wèn)Cisco設(shè)備虛擬終端線路的首選協(xié)議SSH提供與Telnet相同類型的訪問(wèn)，但是增加了安全性SSH客戶端和SSH服務(wù)器之間的通信是加密的oSSH已經(jīng)經(jīng)歷了多個(gè)版本，Cisco設(shè)備目前支持SSHv1和SSHv2o建議盡可能實(shí)施SSHv2,因?yàn)樗褂帽萐SHvl更強(qiáng)的安全加密算法1.配置TelnetTelnet是Cisco交換機(jī)上支持vty的默認(rèn)協(xié)議如果為Cisco交換機(jī)分配了管理IP地址，就可以使用Telnet客戶端連接到交換機(jī)最初，vty線路并不安全，試圖連接vty線路的任何用戶都能接入交換機(jī)。

前一節(jié)中介紹了如何通過(guò)要求密碼身份驗(yàn)證來(lái)保護(hù)通過(guò)vty線路對(duì)交換機(jī)的訪問(wèn)這可略微提高Telnet服務(wù)的安全性因?yàn)門elnet是vty線路的默認(rèn)傳輸方式，因此在執(zhí)行交換機(jī)初始配置之后，不需要指定Telnet但是，如果已將vty線路的傳輸協(xié)議更改為只允許SSH,則需要手動(dòng)啟用Telnet協(xié)議以允許Telnet訪問(wèn)如果需要在Cisco2960交換機(jī)上重新啟用Telnet協(xié)議，可在線路配置模式下使用以下命令：(config-line)#transportinputtelnet或(config-line)#transportinputall如果允許所有傳輸協(xié)議，則不僅允許Telnet訪問(wèn)，而且仍允許通過(guò)SSH訪問(wèn)交換機(jī)2.配置SSHSSH是受到導(dǎo)出限制的一種加密安全功能要使用此功能，交換機(jī)上必須安裝加密映像SSH功能有SSH服務(wù)器和SSH集成客戶端，后者是在交換機(jī)上運(yùn)行的應(yīng)用程序可以使用PC上運(yùn)行的任何SSH客戶端或交換機(jī)上運(yùn)行的CiscoSSH客戶端來(lái)連接運(yùn)行SSH服務(wù)器的交換機(jī)對(duì)于服務(wù)器組件，交換機(jī)支持SSHv1或SSHv2對(duì)于客戶端組件，交換機(jī)只支持SSHvlSSH支持?jǐn)?shù)據(jù)加密標(biāo)準(zhǔn)（DES）算法、三重DES（3DES）算法和基于密碼的用戶身份驗(yàn)證。

DES提供56位加密，而3DES提供168位加密加密需要時(shí)間，但是DES加密文本的時(shí)間比3DES少通常情況下，加密標(biāo)準(zhǔn)由客戶指定，因此如果必須配置SSH，請(qǐng)?jiān)儐?wèn)客戶使用哪一種標(biāo)準(zhǔn)（關(guān)于數(shù)據(jù)加密方法的討論不屬于本課程的范圍）要實(shí)施SSH，需要生成RSA密鑰RSA涉及公鑰和私鑰，公鑰保留在公共RSA服務(wù)器上，而私鑰僅由發(fā)送方和接收方保留公鑰可對(duì)所有人公開(kāi)，并用于加密消息用公鑰加密的消息只能使用私鑰解密這稱為非對(duì)稱加密非對(duì)稱加密將在"AccessingtheWAN,CCNAExplorationCompanionGuide"課程中更詳細(xì)地討論如果要將交換機(jī)配置為SSH服務(wù)器，則需要從特權(quán)執(zhí)行模式下開(kāi)始，按照下面的步驟配置步驟1使用configureterminal命令進(jìn)入全局配置模式步驟2使用hostnamehostname命令配置交換機(jī)的主機(jī)名步驟3使用ipdomain-namedomain_name命令配置交換機(jī)的主機(jī)域步驟4在交換機(jī)上啟用SSH服務(wù)器以進(jìn)行本地和遠(yuǎn)程身份驗(yàn)證，然后使用cryptokeygeneratersa命令生成RSA密鑰對(duì)生成RSA密鑰時(shí)，系統(tǒng)提示用戶輸入模數(shù)長(zhǎng)度Cisco建議使用1024位的模數(shù)長(zhǎng)度。

模數(shù)長(zhǎng)度越長(zhǎng)越安全，但是生成和使用模數(shù)的時(shí)間也越長(zhǎng)這一步完成SSH服務(wù)器的基本配置，剩下的步驟描述優(yōu)化SSH配置可以使用的幾個(gè)選項(xiàng)步驟5使用end命令返回到特權(quán)執(zhí)行模式步驟6使用showipssh或showssh命令顯示交換機(jī)上的SSH服務(wù)器的狀態(tài)步驟7使用configureterminal命令進(jìn)入全局配置模式步驟8（可選）使用ipsshversion[1|2命令將交換機(jī)配置為運(yùn)行SSHv1或SSHv2如果未輸入此命令或未指定關(guān)鍵字選項(xiàng)1或2,SSH服務(wù)器將選擇SSH客戶端支持的最高SSH版本例如，如果SSH客戶端支持SSHv1和SSHv2，則SSH服務(wù)器選擇SSHv2步驟9配置SSH控制參數(shù)：以秒為單位指定超時(shí)值；默認(rèn)值為120秒該值的范圍為0~120秒為了建立SSH連接，必須完成很多階段，例如連接、協(xié)議協(xié)商和參數(shù)協(xié)商超時(shí)值規(guī)定了交換機(jī)為建立連接而留出的時(shí)間量默認(rèn)情況下，最高可以有5個(gè)并存的加密SSH連接用于多個(gè)基于CLI的網(wǎng)絡(luò)會(huì)話（會(huì)話0到會(huì)話4）在執(zhí)行外殼啟動(dòng)后，基于CLI的會(huì)話的超時(shí)值將恢復(fù)為默認(rèn)的10分鐘指定客戶端可向服務(wù)器重新驗(yàn)證身份的次數(shù)默認(rèn)值為3；取值范圍為0?5例如，用戶可以允許SSH會(huì)話在終止之前連續(xù)3次持續(xù)10分鐘以上。

當(dāng)配置這兩個(gè)參數(shù)時(shí)，請(qǐng)重復(fù)執(zhí)行本步驟要配置這兩個(gè)參數(shù)，請(qǐng)使用ipssh{timeoutseconds|authentication-retriesnumber}命令步驟10使用end命令返回到特權(quán)執(zhí)行模式步驟11使用showipssh或showssh命令顯示交換機(jī)上的SSH服務(wù)器連接的狀態(tài)步驟12（可選）使用copyrunning-configstartup-config命令在配置文件中保存您的輸入要?jiǎng)h除RSA密鑰對(duì)，可使用cryptokeyzeroizersa全局配置命令、RSA密鑰對(duì)刪除之后，SSH服務(wù)器自動(dòng)被禁用如果要阻止非SSH連接，可在線路配置模式下添加transportinputssh命令，將交換機(jī)限制為僅允許SSH連接直接（非SSH）Telnet連接將被拒絕例2-10列出了在Catalyst2960交換機(jī)上啟用SSH的一套命令SSH默認(rèn)版本為第2版，但我們可以任意配置它這種配置可以阻止虛擬終端線路上的Telnet訪問(wèn)假設(shè)本地用戶數(shù)據(jù)庫(kù)和vty口令已被設(shè)定，前面操作過(guò)程中的第3、4步會(huì)使用最少的命令來(lái)啟動(dòng)SSH例2-10在Catalyst2960上啟動(dòng)SSH服務(wù)31sryptfllayfiiicrmfib￡1；?nfip理hwrtlwi去S1config)#lin#卑纖QISjKJi*wLSi(confia-3iRBi*trimporIInput暮■!!。