使用Telnet/SSH去管理远程设备cisco

ere2w

一、案例拓扑图


二、为什么我们需要远程登陆？
    很多情况下，你也许不能在设备前使用console线来管理，这时就需要通过telnet或SSH访问其CLI远程管理它，为了能够远程访问，必须先设置虚拟类型终端（VTY）；

三、telnet和ssh

• Telnet：基于TCP协议，端口号23，是一组提供远程登录方法的程序，所有传输的信息（包括用户名和密码）都是明文的；
  
• SSH：基于TCP协议，端口号22，使用RSA算法对所有传输的信息（包括用户名和密码）进行加密，另一个优点是其传输的数据是经过压缩的，所以可以加快传输的速度，目前SSH存在两种版本（版本1和版本2），版本1有一些加密算法存在漏洞，并且已经被破解，攻击者可以插入数据，版本2修复了这些漏洞，并且版本2可以兼容版本1；
  
  

四、实战目的：
    配置sw1，使之能够通过telnet/SSH访问，并且限制只有PC1的IP地址才能够管理。

五、实验步骤
1.首先确保管理客户端能够ping通交换机；
2.先在交换机上配置telnet，并配置密码，使PC能够通过telnet去管理交换机；
3.在交换机上配置，使客户端需要输入用户和密码才能访问到设备；
4.配置ACL，并在vty中调用，限制只有某个IP地址可以访问该设备；
5.在设备上启用SSH协议，并配置客户端通过SSH访问并管理设备；


六、配置命令
1.Telnet配置规则（只需密码）
在PC上（把router当做PC）配置

Router>enable
Router#configure terminal
Router(config)#hostname PC
PC(config)#interface fastEthernet 0/0
PC(config-if)#ip address  10.10.10.1 255.255.255.0
PC(config-if)#no shutdown
PC(config-if)#end
PC#write memory

在交换机SW1上配置
Switch>enable
Switch#configure terminal
Switch(config)#hostname SW1
SW1(config)#enable secret cisco
SW1(config)#enable password cisco  
SW1(config)#interface vlan 1
SW1(config-if)#ip address 10.10.10.254 255.255.255.0
SW1(config-if)#no shutdown                
SW1(config-if)#exit
SW1(config)#line console 0
SW1(config-line)#password cisco
SW1(config-line)#login             
SW1(config-line)#exit
SW1(config)#line vty 0 4
SW1(config-line)#password cisco
SW1(config-line)#login                         打开远程登录
SW1(config-line)#end
SW1#write memory

在PC上测试
PC#telnet 10.10.10.254
Trying 10.10.10.254 ...Open


User Access Verification

Password:
SW1>enable
Password:
SW1#

2.Telnet配置规则（需要用户名和密码）
在交换机SW1上配置
SW1#erase startup-config
SW1#reload
Switch>enable
Switch#configure terminal
Switch(config)#hostname SW1
SW1(config)#enable secret cisco
SW1(config)#enable password cisco  
SW1(config)#interface vlan 1
SW1(config-if)#ip address 10.10.10.254 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#line console 0
SW1(config-line)#password cisco
SW1(config-line)#login
SW1(config-line)#exit
SW1(config)#username cisco password cisco
SW1(config)#line vty 0 4
SW1(config-line)#login local             配置登录时，使用本地用户名和密码进行验证
SW1(config-line)#access-class 101 in
SW1(config-line)#exit
SW1(config)#access-list 101 permit ip host 10.10.10.1 any


在PC上测试
PC#telnet 10.10.10.254
Trying 10.10.10.254 ...Open


User Access Verification

Username: cisco
Password:
SW1>en
SW1>enable
Password:
SW1#

3.SSH配置规则
交换机SW1上的配置
SW1#erase startup-config
SW1#reload
Switch>enable
Switch#configure terminal
Switch(config)#hostname SW1
SW1(config)#enable secret cisco
SW1(config)#enable password cisco  
SW1(config)#interface vlan 1
SW1(config-if)#ip address 10.10.10.254 255.255.255.0
SW1(config-if)#no shutdown
SW1(config-if)#exit
SW1(config)#line console 0
SW1(config-line)#password cisco
SW1(config-line)#login
SW1(config-line)#exit
SW1(config)#ip domain-name cisco.com
SW1(config)#crypto key generate rsa
SW1(config)#ip ssh version 1
SW1(config)#username cisco password cisco          配置本地用户名和密码
SW1(config)#line vty 0 4
SW1(config-line)#login local
SW1(config-line)#transport input none
SW1(config-line)#transport input ssh               允许ssh 访问进入
SW1(config-line)#transport output telnet           允许用telnet去访问其他设备
SW1(config-line)#end
SW1#write memory


在PC上测试
PC#ssh -l cisco -v 1 10.10.10.254
Open
Password:



SW1>enable
Password:
SW1#

七、总结
在远程管理设备上配置telnet可以限制只有某个ip能登陆，ssh则没有此功能。                   

天涯海角lzp

我做到最下面的ssh登陆的时候出现了连接不上的问题

天涯海角lzp

Router#
Router#ssh -l cisco -v 1 192.168.56.254
Open

[Connection to 192.168.56.254 closed by foreign host]

天涯海角lzp

没事了刚才拉的交换机是3560-24的ssh就是起不来，贼气，想了下会不会是不支持ssh,换了你的2950-24的，发现在配ssh时会比前面多弹些命令出来，crypto key generate rsa
The name for the keys will be: sw2.cisco.com
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]:
% Generating 512 bit RSA keys, keys will be non-exportable...[OK]
最后ssh可以了。看来是交换机的版本有问题。

明天会更好

很详细，学习了

明天会更好

你好，灌水狂魔来了