当前位置:   article > 正文

配置交换机基本安全和 SSH管理_交换机只允许以ssh方式管理

交换机只允许以ssh方式管理

1、实验目的

通过本实验可以掌握:

  1. 交换机基本安全配置。
  2. SSH 的工作原理和 SSH服务端和客户端的配置。

2、实验拓扑

交换机基本安全和 SSH管理实验拓扑如图所示。

交换机基本安全和 SSH管理实验拓扑

3、实验步骤

(1)配置交换机S1
  1. Switch>enable
  2. Switch#conf t
  3. Switch(config)#hostname S1
  4. S1(config)#exit
  5. S1#clock set 10:05:30 3 apr 2024 //配置系统时间
  6. S1#conf t
  7. S1(config)#interface vlan 1 //配制交换机SVI
  8. S1(config-if)#ip address 172.16.1.100 255.255.255.0
  9. S1(config-if)#no shutdown
  10. S1(config-if)#exit
  11. S1(config)#ip default-gateway 172.16.1.1 //配置交换机默认网关
  12. S1(config)#enable secret cisco123 //配置enable密码
  13. S1(config)#service password-encryption //启动密码加密服务,提高安全性
  14. S1(config)#service tcp-keepalives-in
  15. //交换机没有收到远程系统的响应,会自动关闭连接,减少被DOS攻击的机会。
  16. S1(config)#login block-for 120 attempts 3 within 30
  17. //30秒内尝试3次登录都失败,则120秒内禁止登录
  18. S1(config)#login quiet-mode access-class 10
  19. //前面配置当用户3次登录失败后,交换机将进入120秒的安静期,禁止登录。通过执行该命令安静期内 ACL 10指定的主机仍然可以登录,目的是防止出现黑客登录不了网管主机也不可以登录的情况
  20. S1(config)#login delay 10 //配置用户登录成功后,10秒后才能再次登录
  21. S1(config)#login on-failure log //配置登录失败会在日志中记录
  22. S1(config)#login on-success log //配置登录成功会在日志中记录
  23. S1(config)#username zhangsan privilege 15 secret cisco123
  24. //创建SSH登录的用户名和密码,用户ccie权限级别为15
  25. S1(config)#line vty 0 4
  26. S1(config-line)#login local //用户登录时,从本地数据库匹配用户名和密码
  27. S1(config-line)#transport input ssh
  28. //只允许用户通过SSH远程登录到交换机进行管理。默认是transport input all
  29. S1(config-line)#exec-timeout 5 30
  30. //配置超时时间,当用户在530秒内没有任何输入时,将被自动注销,这样可以减少因离开等因素带来的安全隐患
  31. S1(config-line)#exit
  32. S1(config)#ip domain-name cisco.com //配置域名,配置SSH时必须配置
  33. S1(config)#crypto key generate rsa general-keys modulus 1024
  34. //产生长度为1024比特的RSA密钥
  35. S1(config)#ip ssh version 2 //配置 SSHv2版本
  36. S1(config)#ip ssh time-out 120
  37. //配置SSH登录超时时间,如果超时,TCP连接被切断
  38. S1(config)#ip ssh authentication-retries 3
  39. //配置SSH用户登录重验证最大次数,超过3次,TCP连接被切断
(2)从SSH Client通过SSH登录到交换机S1

4、实验调试

(1)使用命令S1#show ip ssh查看SSH基本信息
  1. S1#show ip ssh //查看SSH版本信息
  2. SSH Enabled - version 2.0 //显示SSH版本信息
  3. Authentication timeout: 120 secs; Authentication retries: 3
  4. S1#
(2)使用命令S1#show ssh查看ssh会话信息
  1. S1#show ssh //查看SSH会话信息
  2. Connection Version Mode Encryption Hmac State Username
  3. 2 1.99 IN aes128-cbc hmac-sha1 Session Started zhangsan
  4. 2 1.99 OUT aes128-cbc hmac-sha1 Session Started zhangsan
  5. %No SSHv1 server connections running.
  6. S1#

以上显示了SSH登录的用户名、状态、加密算法、验证算法以及SSH版本等信息 

(3)使用命令S1#show users 查看登录到交换机上的用户以及位置信息 
  1. S1#show users //查看登录到交换机上的用户以及位置信息
  2. Line User Host(s) Idle Location
  3. 0 con 0 idle 00:09:00
  4. * 3 vty 0 zhangsan idle 00:00:00
  5. Interface User Mode Idle Peer Address
  6. S1#

以上输出显示用户名为zhangsan的用户登录,其中3位VTY线路编号,以路由器作为SSH客户端登录执行SSH命令登录时。可以使用如下命令:

S1#ssh -l zhangsan 172.16.1.100        //-l参数后面接用户名

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/Li_阴宅/article/detail/863312
推荐阅读
相关标签
  

闽ICP备14008679号