SSH的原理与配置

 

 

SSH（安全壳）传输的数据经过加密，安全！

使用SSH方式登录，关闭Telnet登录

两种协议都是CLI管理用途，Telnet是明文协议，如果数据包被嗅探，可能泄露口令，SSH则为加密传输

hostname XXX

ip domain-name ccie.com  //必须设置域名，密钥生成用到

crypto key generate rsa

[1024]  //密钥长度大于768才能使用SSHv2

line vty 0 ?  //[？=max vty line]

 login local  //使用本地认证数据库，也可以使用AAA

 transport input ssh  //默认是all，仅允许ssh，等于关闭了Telnet

测试：ssh -l admin x.x.x.x

--------------------------------------------------------------------------------------

SSH

1. 用一个随机产生的<对称密钥>对原始数据加密

2. 使用接收者的<公钥>加密这个<对称密钥>

3. 将 1,2 的结果发给对端

4. 对端使用自己的<私钥>解密，得到<对称密钥>

5. 对端使用<对称密钥>解密原始数据

 

SSH Basic Configuration

SSH Server上产生非对称密钥的方法有两种，不管哪种方法密钥对都需要有一个名称，区别在于：

方法一手工指定key-pair的名称，如下：

方法二让系统自动给key-pair命名，名称格式为hostname.domain-name，但前提条件有二：1.配置了hostname；2.指定一个domain-name，如下：

SSH version有v1和v2，如果密钥长度选择512bits则默认启用v1；如果密钥长度选择1024bits则默认启用v1.99，表示既支持v1也支持v2（要支持SSHv2密钥长度至少768bits）

show crypto key mypubkey rsa  **查看生成的密钥对**

Server： (方法一)

crypto key generate rsa modular [360-4096] label [key-pair name]

username [name] password [password]

line vty [0-X]

login local                         **要求用户使用本地 database 认证**

transport input [protocol] **选择可以进入 VTY 的协议**

Server： (方法二)

hostname [device host name]

ip domain name [domain name]

crypto key generate rsa modular [360-4096]

username [name] password [password]

line vty [0-X]

login local                         **要求用户使用本地 database 认证**

transport input [protocol] ** 选择可以进入 VTY 的协议**

Client：

ssh –l [username] [server IP address]