路由器篇
全局模式:
ip domain-name cisco.com //配置域名,用于生成证书,证书中包含了公钥。这步很重要必不可缺。
crypto key generate rsa //使用RSA算法生成一对密钥
出现如下提示:
......[512]: //此处是选择密钥长度,默认为512bit
username 12345 passowrd 11111 //配置用户密码
line vty 0 4
transport input ssh //配置VTY线路只接受ssh拨入,使用此命令后telnet将不可用。
login local //远程用户登录时使用路由器本地路由器数据库进行用户认证
exit
可选命令:
ip ssh time-out 30 //配置客户端空闲超时为30秒
ip ssh authentication-retries 3 //SSH客户端登录失败重试次数,3次
注意:如果用ubuntu登录cisco路由器SSH服务,在创建密钥时不能使用512bit,必须使用716bit以上密钥。如果已经使用了512bit密钥,可以使用如下命令:
crypto key zeroize rsa //清除现存RSA KEY
crypto key generate rsa general-keys modulus 1024 //生成新的1024bit RSA KEY
===================================================
PIX防火墙篇
host pix515 //修改主机名
domain-name cisco.com //设置域名,必须的
crypto key generate rsa //创建密钥对
ssh 0 0 outside //设置任何IP地址都可以从outside口访问ssh
ssh timeout 60 //设置ssh客户端超时时间
客户端登陆:
ssh -l pix 192.168.1.253 //使用PIX用户名登陆SSH,PIX为设备内置帐户,默认密码为cisco,如果想修改密码,可以在PIX上全局模式输入:passwd 12345 来修改。
是不是觉得very不安全,那么下面来看看怎么设置自定义的用户和密码来进行SSH认证。
全局模式下:
pix(config)# username test password test //设置本地用户名和密码
pix(config)# aaa authentication ssh console LOCAL //让ssh的认证使用本地数据库。
