设置交换机 SSH 管理和端口安全

实验1:设置交换机根本安全和 SSH管理

1、实验目的

通过本实验可以掌握：

• 交换机根本安全设置。
  
• SSH 的工作原理和 SSH服务端和客户端的设置。
  

2、实验拓扑

交换机根本安全和 SSH管理实验拓扑如图所示。

3、实验步调

（1）设置交换机S1

1. Switch>enable
2. Switch#conf t
3. Switch(config)#hostname S1
4. S1(config)#exit
5. S1#clock set 10:05:30 3 apr 2024    //配置系统时间
6. S1#conf t
7. S1(config)#interface vlan 1         //配制交换机SVI
8. S1(config-if)#ip address 172.16.1.100 255.255.255.0
9. S1(config-if)#no shutdown
10. S1(config-if)#exit
11. S1(config)#ip default-gateway 172.16.1.1   //配置交换机默认网关
12. S1(config)#enable secret 123456          //配置enable密码
13. S1(config)#service password-encryption     //启动密码加密服务，提高安全性
14. S1(config)#service tcp-keepalives-in
15. //交换机没有收到远程系统的响应，会自动关闭连接，减少被DOS攻击的机会。
16. S1(config)#login block-for 120 attempts 3 within 30
17. //在30秒内尝试3次登录都失败,则120秒内禁止登录
18. S1(config)#login quiet-mode access-class 10
19. //前面配置当用户3次登录失败后，交换机将进入120秒的安静期，禁止登录。通过执行该命令安静期内 ACL 10指定的主机仍然可以登录，目的是防止出现黑客登录不了网管主机也不可以登录的情况
20. S1(config)#login delay 10          //配置用户登录成功后,10秒后才能再次登录
21. S1(config)#login on-failure log    //配置登录失败会在日志中记录
22. S1(config)#login on-success log    //配置登录成功会在日志中记录
23. S1(config)#username andy privilege 15 secret 123456
24. //创建SSH登录的用户名和密码,用户ccie权限级别为15
25. S1(config)#line vty 0 4
26. S1(config-line)#login local         //用户登录时，从本地数据库匹配用户名和密码
27. S1(config-line)#transport input ssh
28. //只允许用户通过SSH远程登录到交换机进行管理。默认是transport input all
29. S1(config-line)#exec-timeout 5 30
30. //配置超时时间，当用户在5分30秒内没有任何输入时，将被自动注销，这样可以减少因离开等因素带来的安全隐患
31. S1(config-line)#exit
32. S1(config)#ip domain-name cisco.com    //配置域名，配置SSH时必须配置
33. S1(config)#crypto key generate rsa general-keys modulus 1024
34. //产生长度为1024比特的RSA密钥
35. S1(config)#ip ssh version 2            //配置 SSHv2版本
36. S1(config)#ip ssh time-out 120
37. //配置SSH登录超时时间，如果超时，TCP连接被切断
38. S1(config)#ip ssh authentication-retries 3
39. //配置SSH用户登录重验证最大次数，超过3次，TCP连接被切断

复制代码

（2）从SSH Client通过SSH登录到交换机S1

4、实验调试

（1）利用命令S1#show ip ssh查看SSH根本信息

1. S1#show ip ssh              //查看SSH版本信息
2. SSH Enabled - version 2.0   //显示的SSH版本信息
3. Authentication timeout: 120 secs; Authentication retries: 3
4. S1#

复制代码

（2）利用命令S1#show ssh查看ssh会话信息

1. S1#show ssh   //查看SSH会话信息
2. Connection      Version Mode Encryption  Hmac State             Username
3. 2               1.99    IN   aes128-cbc      hmac-sha1     Session Started         andy
4. 2               1.99    OUT  aes128-cbc      hmac-sha1     Session Started   andy
5. %No SSHv1 server connections running.
6. S1#

复制代码

以上显示了SSH登录的用户名、状态、加密算法、验证算法以及SSH版本等信息
（3）利用命令S1#show users 查看登录到交换机上的用户以及位置信息

1. S1#show users    //查看登录到交换机上的用户以及位置信息
2.     Line       User       Host(s)              Idle       Location
3.    0 con 0                idle                 00:09:00
4. *  3 vty 0     andy   idle                 00:00:00
6.   Interface    User               Mode         Idle     Peer Address
7. S1#

复制代码

以上输出显示用户名为zhangsan的用户登录，此中3位VTY线路编号，以路由器作为SSH客户端登录实行SSH命令登录时。可以利用如下命令：

1. S1#ssh -l andy 172.16.1.100        //-l参数后面接用户名

复制代码

至此实验竣事。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。