我們知道，交換機是我們網(wǎng)絡中的核心。那么一些管理員們需要對這些設備進行遠程管理，那么這里我們就來介紹一下交換機配置Telnet的方法，希望對大家有所幫助。Telnet是早期型號的Cisco交換機上支持的最初方法.Telnet是用于終端訪問的常用協(xié)議,因為大部分最新的操作系統(tǒng)都附帶內(nèi)置的Telnet客戶端.但是Telnet不是訪問網(wǎng)絡設備的安全方法,因為它在網(wǎng)絡上以明文發(fā)送所有通信.攻擊者使用網(wǎng)絡監(jiān)視軟件可以讀取在Telnet客戶端和Cisco交換機的Telnet服務之間發(fā)送的每一個擊鍵.由于Telnet協(xié)議存在安全性問題,因此SSH成為用于遠程訪問Cisco設備虛擬終端線路的首選協(xié)議.

SSH提供與Telnet相同類型的訪問,但是增加了安全性.SSH客戶端和SSH服務器之間的通信是加密的.SSH已經(jīng)經(jīng)歷了多個版本,Cisco設備目前支持 SSHv1和SSHv2.建議盡可能實施SSHv2,因為它使用比SSHv1更強的安全加密算法.

1．配置Telnet

Telnet是Cisco交換機上支持vty的默認協(xié)議.如果為Cisco交換機分配了管理IP地址,就可以使用Telnet客戶端連接到交換機.最初,vty線路并不安全,試圖連接vty線路的任何用戶都能接入交換機.

前一節(jié)中介紹了如何通過要求密碼身份驗證來保護通過vty線路對交換機的訪問.這可略微提高Telnet服務的安全性.

因為交換機配置Telnet的vty線路是默認傳輸方式,因此在執(zhí)行交換機初始配置之后,不需要指定Telnet.但是,如果已將vty線路的傳輸協(xié)議更改為只允許 SSH,則需要手動啟用Telnet協(xié)議以允許Telnet訪問.

如果需要在Cisco 2960交換機上重新啟用Telnet協(xié)議,可在線路配置模式下使用以下命令:（config-line）#transport input Telnet或（config-line）#transport input all.如果允許所有傳輸協(xié)議,則不僅允許Telnet訪問,而且仍允許通過SSH訪問交換機.

2．配置SSH

SSH是受到導出限制的一種加密安全功能.要使用此功能,交換機上必須安裝加密映像.

SSH功能有SSH服務器和SSH集成客戶端,后者是在交換機上運行的應用程序.可以使用PC上運行的任何SSH客戶端或交換機上運行的Cisco SSH客戶端來連接運行SSH服務器的交換機.

對于服務器組件,交換機支持SSHv1或SSHv2.對于客戶端組件,交換機只支持SSHv1.

SSH支持數(shù)據(jù)加密標準（DES）算法、三重DES（3DES）算法和基于密碼的用戶身份驗證.DES提供56位加密,而3DES提供168位加密.加密需要時間,但是DES加密文本的時間比3DES少.通常情況下,加密標準由客戶指定,因此如果必須配置SSH,請詢問客戶使用哪一種標準（關于數(shù)據(jù)加密方法的討論不屬于本課程的范圍）.

要實施SSH,需要生成RSA密鑰.RSA涉及公鑰和私鑰,公鑰保留在公共RSA服務器上,而私鑰僅由發(fā)送方和接收方保留.公鑰可對所有人公開,并用于加密消息.用公鑰加密的消息只能使用私鑰解密.這稱為非對稱加密.非對稱加密將在"Accessing the WAN, CCNA Exploration Companion Guide"課程中更詳細地討論.

如果要將交換機配置為SSH服務器,則需要從特權執(zhí)行模式下開始,按照下面的步驟配置.

步驟1 使用configure terminal命令進入全局配置模式.

步驟2 使用hostname hostname命令配置交換機的主機名.

步驟3 使用ip domain-name domain_name命令配置交換機的主機域.

步驟4 在交換機上啟用SSH服務器以進行本地和遠程身份驗證,然后使用crypto key generate rsa命令生成RSA密鑰對.

生成RSA密鑰時,系統(tǒng)提示用戶輸入模數(shù)長度.Cisco建議使用1024位的模數(shù)長度.模數(shù)長度越長越安全,但是生成和使用模數(shù)的時間也越長.這一步完成SSH服務器的基本配置,剩下的步驟描述優(yōu)化SSH配置可以使用的幾個選項.

步驟5 使用end命令返回到特權執(zhí)行模式.

步驟6 使用show ip ssh或show ssh命令顯示交換機上的SSH服務器的狀態(tài).

步驟7 使用configure terminal命令進入全局配置模式.

步驟8 （可選）使用ip ssh version [1 | 2]命令將交換機配置為運行SSHv1或SSHv2.

如果未輸入此命令或未指定關鍵字選項1或2,SSH服務器將選擇SSH客戶端支持的最高SSH版本.例如,如果SSH客戶端支持SSHv1和SSHv2,則SSH服務器選擇 SSHv2.

步驟9 配置SSH控制參數(shù):

以秒為單位指定超時值;默認值為120秒.該值的范圍為0～120秒.為了建立SSH連接,必須完成很多階段,例如連接、協(xié)議協(xié)商和參數(shù)協(xié)商.超時值規(guī)定了交換機為建立連接而留出的時間量.

默認情況下,最高可以有5個并存的加密SSH連接用于多個基于CLI的網(wǎng)絡會話（會話0到會話4）.在執(zhí)行外殼啟動后,基于CLI的會話的超時值將恢復為默認的10分鐘.

指定客戶端可向服務器重新驗證身份的次數(shù).默認值為3;取值范圍為0～5.例如,用戶可以允許SSH會話在終止之前連續(xù)3次持續(xù)10分鐘以上.

當配置這兩個參數(shù)時,請重復執(zhí)行本步驟.要配置這兩個參數(shù),請使用ip ssh {timeout seconds | authentication-retries number}命令.

步驟10 使用end命令返回到特權執(zhí)行模式.

步驟11 使用show ip ssh或show ssh命令顯示交換機上的SSH 服務器連接的狀態(tài).

步驟12 （可選）使用copy running-config startup-config命令在配置文件中保存您的輸入.

要刪除RSA密鑰對,可使用crypto key zeroize rsa全局配置命令、RSA密鑰對刪除之后,SSH服務器自動被禁用.

如果要阻止非SSH連接,可在線路配置模式下添加 transport input ssh命令,將交換機限制為僅允許SSH連接.在交換機配置Telnet和SSH后，直接（非 SSH）Telnet連接將被拒絕.