实验四SSH

背景信息

SSH 应替代 Telnet 来管理连接。 Telnet 使用不安全的纯文本通信。 SSH 通过为设备之间的所有传输数据提供强加密，确保远程连接的安全。 在本练习中，您将使用密码加密和 SSH 来保护远程交换机。

第 1 部分：   保护密码
a.     使用 PC1 上的命令提示符，通过 Telnet 连接到 S1。 用户执行和特权执行密码为 cisco。

b.     保存当前配置，以便可通过切换 S1 的电源修复您可能做出的任何错误操作。

c.     显示当前配置，注意密码都以明文显示。 输入加密纯文本密码的命令。

d.     验证密码是否已加密。

第 2 部分：   加密通信
步骤 1：    设置 IP 域名并生成安全密钥。

通常，使用 Telnet 并不安全，因为数据是以纯文本形式传输。 因此，只要 SSH 可用，就应使用 SSH。

a.     将域名配置为 netacad.pka。

b.     需要使用安全密钥加密数据。 使用 1024 密钥长度生成 RSA 密钥。

步骤 2：    创建 SSH 用户，并将 VTY 线路重新配置为仅限 SSH 访问。

a.     使用 cisco 作为加密密码创建 administrator 用户。

b.     配置 VTY 线路以检查本地用户名数据库的登录凭证，并只允许 SSH 进行远程访问。 删除现有 vty 线路密码。

第 3 部分：   验证 SSH 实施
a.     退出 Telnet 会话并尝试使用 Telnet 重新登录。 该尝试应该会失败。

b.     尝试使用 SSH 登录。 键入 ssh，然后按 Enter，不使用任何参数显示命令使用情况说明。 提示：-l 选项为字母“L”，而不是数字 1。

c.     在成功登录后，进入特权 EXEC 模式并保存配置。 如果您无法成功访问 S1，则切换电源，然后再次从第 1 部分开始。

拓扑图：

大体的分析以及步骤

1、在思科平台给的实验拓扑中，已经将telnet连接的相关内容配置完毕，Telnet登录密码为:cisco，进入特权的密码为:cisco，可以直接通过PC1进行远程访问并配置。

2、此时的Telnet的密码等信息采用明文存储，因此，在特权模式下使用命令service password-encryption 进行明文的加密。

3、但是鉴于telnet本身的不安全性，所以，在设备支持SSH的情况下，尽量采用SSH方式进行登录，登录步骤入下图

（1）首先设置域名（特权模式下）

ip domain-name netacad.pka

（2）采用1024位的RSA加密方式

crypto key generate rsa

1024（输入上调命令之后会让你输入加密位数）

（3）配置SSH登录使用的用户名和密码

username administrator secret cisco

（4）设置远程登录权限，设置只允许SSH登录，设置SSH，使用本地数据库进行检查，同时删除此时现存的vty线路密码(Telnet密码)

line vty 0 15

trankport input ssh

login local 

no password cisco

exit

（5）升级SSH的版本

ip ssh version2

exit

完成

随后PC使用ssh -l administrator 10.10.10.2

后面是截图