Telnet缺少安全的认证方式,而且传输过程采用TCP进行明文传输,存在很大的安全隐患。与Telnet相比,SSH提供了在一个传统不安全的网络环境中,服务器通过对客户端的认证及双向的数据加密,为网络终端访问提供了安全的服务。SSH协议支持STelnet。
STelnet是一种安全的Telnet服务,SSH用户可以像使用Telnet服务一样操作STelnet服务。
拓扑:
用cloud模拟客户端,桥接关联本地网卡,本地网卡地址为10.1.1.1/24。(如果不会桥接网卡,可以参考TFTP实验。)
传送门:看一篇文章
本地网卡地址设置如下:
配置:
路由器AR1
基本配置:
interface GigabitEthernet0/0/1 //配置接口ip地址
ip address 10.1.1.254 255.255.255.0
[AR1]ping 10.1.1.1 //测试本地网络的连通性,可以访问本地接口地址10.1.1.1
PING 10.1.1.1: 56 data bytes, press CTRL_C to break
Reply from 10.1.1.1: bytes=56 Sequence=1 ttl=128 time=30 ms
Reply from 10.1.1.1: bytes=56 Sequence=2 ttl=128 time=1 ms
Reply from 10.1.1.1: bytes=56 Sequence=3 ttl=128 time=10 ms
Reply from 10.1.1.1: bytes=56 Sequence=4 ttl=128 time=10 ms
Reply from 10.1.1.1: bytes=56 Sequence=5 ttl=128 time=10 ms
--- 10.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/12/30 ms
1.使能STelnet服务器功能。
缺省情况下,路由器的STelnet服务器功能没有使能,只有使能了此功能后,客户端才能以STelnet方式与路由器建立连接。
stelnet server enable //使能STelnet服务器功能。
2.配置VTY用户界面支持SSH协议
user-interface vty 0 4
authentication-mode aaa //设置验证方式为AAA验证
protocol inbound ssh //配置VTY支持SSH协议
3.配置SSH用户并指定服务方式包含STelnet
SSH支持RSA、password、password-rsa和all四种认证方式。
password认证依靠AAA实现,所以当用户使用password或password-rsa认证方式登录路由器时,需要在AAA视图下创建同名的本地用户。
产生本地RSA密钥对是成功完成SSH登录的首要操作。如果SSH用户使用password验证,则需要在SSH服务器端生成本地RSA密钥。如果SSH用户使用RSA验证,则在服务器端和客户端都需要生成本地RSA密钥。
[AR1]ssh user qytang authentication-type password //对SSH用户配置Password验证。
Authentication type setted, and will be in effect next time
aaa //进入AAA视图。
local-user qytang password cipher huawei //配置本地用户名和密码。
local-user qytang privilege level 3 //配置本地用户权限等级为3
local-user qytang service-type ssh //配置本地用户服务类型SSH
[AR1]rsa local-key-pair create //创建产生本地RSA密钥对
The key name will be: Host
% RSA keys defined for Host already exist.
Confirm to replace them? (y/n)[n]:y
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
It will take a few minutes.
Input the bits in the modulus[default = 512]:1024 //输入1024
Generating keys...
..........++++++
.............++++++
......++++++++
........................++++++++
-
(可选)配置STelnet服务器参数
ssh server compatible-ssh1x enable //使能兼容低版本功能。缺省情况下,SSH2.0协议的服务器是兼容SSH1.X服务器功能的。如果不允许SSH1.3~SSH1.99(SSH的协议版本号大于等于1.3且小于等于1.99)的客户端登录
undo ssh server compatible-ssh1x enable //去使能兼容低版本功能
ssh server rekey-interval interval 20 //设置服务器密钥的更新时间为20小时。SSH服务器密钥对的更新时间间隔为0,表示永不更新。
ssh server timeout 120 //设置SSH认证超时时间为120s。缺省情况下,SSH连接认证超时时间为60秒。
ssh server authentication-retries 2 //设置SSH验证重试次数2。缺省情况下,SSH连接的验证重试次数为3。 - 用户通过终端STelnet登录到系统
在本地电脑上,通过SecureCRT软件使用STelnet方式登录到路由器AR1,从而实现对路由器的远程维护。
输入之前设置的用户名qytang密码huawei
另外可以选择保存用户名和密码。
<AR1>
6.检查配置结果
<AR1>dis rsa local-key-pair public //查看本地密钥对中的公钥部分信息。
=====================================================
Time of Key pair created: 2019-11-13 14:08:28-08:00
Key name: Host
Key type: RSA encryption Key
Key code:
308188
028180
CF908A31 54F4881B B153C37A C57C7881 CBCBE5BE
BB9E2004 180C0733 903372CA 6D2B6747 4C398FE4
AB51DCE0 527E12C9 C2B7D3D5 BF12E4A2 B03AD3F3
DF5889EC 02CF8B4F 5A44736C 1DA596E6 204AB8C8
2CC0CB32 16FB2B44 D117DD6C 9BFEDFFB 2097246A
CF3BD067 04A2D2BA C2BBA342 DAA805AF 378336A4
10A2A65E 0E6F31E5
0203
010001
=====================================================
Time of Key pair created: 2019-11-13 14:08:31-08:00
Key name: Server
Key type: RSA encryption Key
Key code:
3067
0260
B09964E3 E6CAD99C A50763A8 D59FEFF6 5334A601
BDCB1B4D 57FDC32B B9B8F08D 4CB6377D E4E087C7
8C77B1E7 191B04C5 B7A07758 488B52F9 1BDC97A7
AE892FB6 A423D83B 8873CF92 0B9DBB4C 2E26A5A8
C9D23F43 780652EA 94C28713 F818C849
0203
010001
<AR1>dis ssh server status //查看SSH服务器全局配置信息
SSH version :2.0
SSH connection timeout :60 seconds
SSH server key generating interval :0 hours
SSH Authentication retries :3 times
SFTP Server :Disable
Stelnet server :Enable