實(shí)驗(yàn)1:配置交換機(jī)基本安全和 SSH管理

1、實(shí)驗(yàn)?zāi)康?/h4>

通過本實(shí)驗(yàn)可以掌握：

1. 交換機(jī)基本安全配置。
2. SSH 的工作原理和 SSH服務(wù)端和客戶端的配置。

2、實(shí)驗(yàn)拓?fù)?/h4>

交換機(jī)基本安全和 SSH管理實(shí)驗(yàn)拓?fù)淙鐖D所示。

3、實(shí)驗(yàn)步驟

（1）配置交換機(jī)S1

Switch>enable 
Switch#conf t
Switch(config)#hostname S1
S1(config)#exit
S1#clock set 10:05:30 3 apr 2024    //配置系統(tǒng)時(shí)間
S1#conf t
S1(config)#interface vlan 1         //配制交換機(jī)SVI
S1(config-if)#ip address 172.16.1.100 255.255.255.0
S1(config-if)#no shutdown
S1(config-if)#exit
S1(config)#ip default-gateway 172.16.1.1   //配置交換機(jī)默認(rèn)網(wǎng)關(guān)
S1(config)#enable secret 123456          //配置enable密碼
S1(config)#service password-encryption     //啟動(dòng)密碼加密服務(wù)，提高安全性
S1(config)#service tcp-keepalives-in
//交換機(jī)沒有收到遠(yuǎn)程系統(tǒng)的響應(yīng)，會(huì)自動(dòng)關(guān)閉連接，減少被DOS攻擊的機(jī)會(huì)。
S1(config)#login block-for 120 attempts 3 within 30
//在30秒內(nèi)嘗試3次登錄都失敗,則120秒內(nèi)禁止登錄
S1(config)#login quiet-mode access-class 10
//前面配置當(dāng)用戶3次登錄失敗后，交換機(jī)將進(jìn)入120秒的安靜期，禁止登錄。通過執(zhí)行該命令安靜期內(nèi) ACL 10指定的主機(jī)仍然可以登錄，目的是防止出現(xiàn)黑客登錄不了網(wǎng)管主機(jī)也不可以登錄的情況
S1(config)#login delay 10          //配置用戶登錄成功后,10秒后才能再次登錄
S1(config)#login on-failure log    //配置登錄失敗會(huì)在日志中記錄
S1(config)#login on-success log    //配置登錄成功會(huì)在日志中記錄
S1(config)#username andy privilege 15 secret 123456
//創(chuàng)建SSH登錄的用戶名和密碼,用戶ccie權(quán)限級別為15
S1(config)#line vty 0 4
S1(config-line)#login local         //用戶登錄時(shí)，從本地?cái)?shù)據(jù)庫匹配用戶名和密碼
S1(config-line)#transport input ssh
//只允許用戶通過SSH遠(yuǎn)程登錄到交換機(jī)進(jìn)行管理。默認(rèn)是transport input all
S1(config-line)#exec-timeout 5 30
//配置超時(shí)時(shí)間，當(dāng)用戶在5分30秒內(nèi)沒有任何輸入時(shí)，將被自動(dòng)注銷，這樣可以減少因離開等因素帶來的安全隱患
S1(config-line)#exit
S1(config)#ip domain-name cisco.com    //配置域名，配置SSH時(shí)必須配置
S1(config)#crypto key generate rsa general-keys modulus 1024
//產(chǎn)生長度為1024比特的RSA密鑰
S1(config)#ip ssh version 2            //配置 SSHv2版本
S1(config)#ip ssh time-out 120
//配置SSH登錄超時(shí)時(shí)間，如果超時(shí)，TCP連接被切斷
S1(config)#ip ssh authentication-retries 3
//配置SSH用戶登錄重驗(yàn)證最大次數(shù)，超過3次，TCP連接被切斷

（2）從SSH Client通過SSH登錄到交換機(jī)S1

4、實(shí)驗(yàn)調(diào)試

（1）使用命令S1#show ip ssh查看SSH基本信息

S1#show ip ssh              //查看SSH版本信息
SSH Enabled - version 2.0   //顯示的SSH版本信息
Authentication timeout: 120 secs; Authentication retries: 3
S1#

（2）使用命令S1#show ssh查看ssh會(huì)話信息

S1#show ssh   //查看SSH會(huì)話信息
Connection      Version Mode Encryption  Hmac State             Username
2               1.99    IN   aes128-cbc      hmac-sha1     Session Started         andy
2               1.99    OUT  aes128-cbc      hmac-sha1     Session Started   andy
%No SSHv1 server connections running.
S1#

以上顯示了SSH登錄的用戶名、狀態(tài)、加密算法、驗(yàn)證算法以及SSH版本等信息

（3）使用命令S1#show users?查看登錄到交換機(jī)上的用戶以及位置信息

S1#show users    //查看登錄到交換機(jī)上的用戶以及位置信息Line       User       Host(s)              Idle       Location0 con 0                idle                 00:09:00 
*  3 vty 0     andy   idle                 00:00:00 Interface    User               Mode         Idle     Peer Address
S1#

以上輸出顯示用戶名為zhangsan的用戶登錄，其中3位VTY線路編號，以路由器作為SSH客戶端登錄執(zhí)行SSH命令登錄時(shí)。可以使用如下命令：

S1#ssh -l andy 172.16.1.100        //-l參數(shù)后面接用戶名

至此實(shí)驗(yàn)結(jié)束。