原创 cisco_ssh配置

想对交换机警醒配置。一般有两种方法：

　　1 、控制台端口（Console ）：可以直接对交换机进行配置2 、远程登录（Telnet）：通过TELNET程序对已经设置了IP的交换机进行远程配置，一般等控制台端口配置好交换机的IP后才可以进行。

　　除了以上的两种方法外，其实还有两种方法：

　　1 、WEB 的配置方式。此方法只能配置一般的简单设置2 、硬件自带的应用程序。专用的程序，一般很少用

　　建立控制台连接到交换机

　　一般交换机自带一根Console 线，一端连接到交换机的Comsole 口，一端连接到电脑的串行口。打开超级终端，一般就可以连接到交换机。

　　这样就可以连接到交换机了

　　连接到交换机后，如果是第一次启动会要执行初始化操作，一般是设置交换机的名称，密码等一般的信息。

　　由于交换机已经初始化，如果要进行初始化操作，那就要进入特权EXEC模式，在命令提示符号下输入：setup，就会启动初始化操作。

　　刚才讲到了特权EXEC模式，这理就要讲一下觉换机的几种模式，不同的模式可以执行不同的操作命令，首先来说两种基本的模式。

　　一般为了安全考虑，CISCO将操作会话分为两个不同的访问级别：用户EXEC级别和特权EXEC级别。用户EXEC级别只能使用有限的命令，且交换机显示Switch>提示符，不能对交换机进行配置。看例子，处于用户EXEC级别下的状态：

　　AITG_FrontekCoreSW>

　　特权EXEC级别下交换机显示Switch＃提示符，能对交换机进行各种配置。看例子，处于特权EXEC级别下的状态：

　　输入en,进入特权EXEC级别，接着输入密码，进入特权EXEC级别

　　AITG_FrontekCoreSW>en

　　Password:

　　AITG_FrontekCoreSW#

　　看看，提示符变了，用户在用户EXEC级别输入enable(或en),然后输入密码，就可以进入特权EXEC级别

　　在交换机提示符下输入“?”，可以列出相应模式下交换机所支持的所有命令。

　　退出特权EXEC级别模式：disable

　　再用户EXEC级别输入？可以获得帮助信息：

　　AITG_FrontekCoreSW>?

　　再特权EXEC级别输入？可以获得帮助信息：

　　AITG_FrontekCoreSW#?

　　其实还有几种模式如下：

　　全局配置模式：Switch(config)# 配置交换机的全局参数

　　接口配置模式：Switch(config-if)# 对交换机的接口进行配置，如某个接口属于那个Vlan，启用及禁用接口等

　　线路配置模式：Switch(config-line)# 对控制台访问

　　VLAN数据库配置模式：Switch(Vlan)# 对Vlan的参数进行配置

　　1.关于帮助

　　直接使用“?”，可以获得相应模式下的所支持的命令列表，如果再问号前面加上一些命令的开头的字母，就可以获得一些以此字母开头的命令，如：

　　AITG_FrontekCoreSW#s?

　　*s=show send session set setup

　　show systat

　　输入"S?"，就可以获得以S开头的所有字母。

　　2、命令帮助

　　如果对某个命令的用法不熟悉时，也可以使用“?”来获取其详细的帮助，如想对show的命令作一个具体的了解，可以使用：“show ?”

　　AITG_FrontekCoreSW#show ?

　　3、显示完整的命令

　　再一个部分命令的后面直接加上“?”就可以显示其输出结果，如例子：

　　AITG_FrontekCoreSW#show interface ?

　　以上是帮助选项，我们再来看看其他的快捷方式：

　　1、使用TAB键

　　当输入命令的一部分字母时，按下TAB键，系统就可以自动输入此命令的剩余字母，如：

　　AITG_FrontekCoreSW#sh　　－－－TAB键

　　AITG_FrontekCoreSW#show

　　AITG_FrontekCoreSW#show int　　－－－TAB键

　　AITG_FrontekCoreSW#show interfaces

　　2、命令缩写

　　有些命令没有必要将所有的字母输入完全，输入一部分就可以了，如：

　　AITG_FrontekCoreSW#sh int　　　＝show interface

　　Vlan1 is up, line protocol is up

　　Hardware is EtherSVI, address is 0019.aa89.dd40 (bia 0019.aa89.dd40)

　　.........

使用telnet进行远程设备维护的时候，由于密码和通讯都是明文的，易受sniffer侦听，所以应采用SSH替代telnet。SSH (Secure Shell)服务使用tcp 22 端口，客户端软件发起连接请求后从服务器接受公钥，协商加密方法，成功后所有的通讯都是加密的。Cisco 设备目前支持SSH v1、v2,目前几乎所有cisco路由交换产品均支持SSH但要求IOS版本支持安全特性。Cisco实现 SSH的目的在于提供较安全的设备管理连接，不适用于主机到主机的通讯加密。 SSH协议要在12.1(11)以上的IOS版本才被cisco设备支持的.

　　1、启用AAA的SSH配置：

　　ip domain-name runway.cn.net-------------------------------------------设置域名

　　aaa new-modle----------------------------------------------------------启用AAA服务

　　crypto key generate rsa------------------------------------------------生成秘钥

　　The name for the keys will be: Router1.runway.cn.net

　　Choose the size of the key modulus in the range of 360 to 2048 for your

　　General Purpose Keys. Choosing a key modulus greater than 512 may take

　　a few minutes.

　　How many bits in the modulus [512]: 1024-------------------------------指定1024位秘钥

　　% Generating 1024 bit RSA keys ...[OK]

　　username sshuser secret sshpassword------------------------------------指定SSH登陆用户名和密码

　　ip ssh time-out 30-----------------------------------------------------设定SSH超时值

　　no ip ssh version------------------------------------------------------启用SSH V1 V2

　　aaa authentication login ssh local line none---------------------------设定SSH登陆信息存储地方

　　ip access-list standard forssh-----------------------------------------定义SSH登陆源地址

　　permit any

　　line vty 0 4

　　exec-timeout 30------------------------------------------------------设置线路登陆超时值

　　login authentication ssh---------------------------------------------指定验证登陆用户信息存储的地方

　　transport input ssh--------------------------------------------------设置线路登陆模式为SSH

　　access-class forssh in-----------------------------------------------应用访问列表

　　2、不启用AAA的SSH配置

　　hostname Router1

　　ip domain-name runway.cn.net

　　crypto key generate rsa

　　The name for the keys will be: Router1.runway.cn.net

　　Choose the size of the key modulus in the range of 360 to 2048 for your

　　General Purpose Keys. Choosing a key modulus greater than 512 may take

　　a few minutes.

　　How many bits in the modulus [512]: 1024

　　% Generating 1024 bit RSA keys ...[OK]

　　username sshuser secret sshpassword

　　ip ssh time-out 30

　　no ip ssh version

　　ip access-list standard forssh

　　permit any

　　line vty 0 4

　　exec-timeout 30

　　login local

　　transport input ssh

　　access-class forssh in