SSH与路由访问安全配置

int f0/0
ip add 192.168.1.1 255.255.255.0
no shut
security passwords min-length 8 //设置安全密码最小长度
enable secret cisco123 //实际工程中要满足密码复杂性的要求
service password-encryption //启用密码加密服务提供安全性
service tcp-keepalives-in //路由器没有收到远程系统响应时，会自动关闭连接，减少被DOS攻击的机会
username ccnp privilege 15 secret cisco 123 //创建SSH登入的用户名和密码
access-list 1 permit 192.168.1.0 0.0.0.255 //定义允许SSH访问ACL
line vty 0 4
login local //本地验证
access-class 1 in //限定通过SSH访问路由器的主机，这样可以大大减少被攻击的机会
transport input ssh //指允许用户通过SSH登入到路由器，默认是ALL
exec-timeout 5 30 //配置超时时间，当用户在5分30秒内没有任何输入，将自动注销，这样可以减小因离开等因素带来的安全隐含
line console 0
exec-timeout 5 30
exit
no ip http server //关闭HTTP服务
ip http secure-server //启用HTTPS服务
ip http authentication local //HTTPS服务登入时采用本地验证
login block-for 60 attempts 3 within 30 //配置用户在30内连续输错3次登入失败后，需要等待60秒才能在一次进入，这样黑客在60内只能猜3个密码，降低暴力破解的效率
access-list 2 permit host 192.168.1.2
login quiet-mode access-class 2 //配置过程总，用户输错多次密码后要过60后才能正常登入，但是1.2这台主机厉害。这是为防止黑客登入不了，而网管也登入不了的情况
login delay 10 //配置用户登入成功后，10秒后才能再次登入
login on-failure log //配置登入失败会在日志中记录
login on-success log //配置登入成功会在日志中记录
clock timezone GMT +8 //配置时区
exit
clock set 15:30:00 6 NOV 2013 //配置路由器的系统时间
conf t
ip domain-name https://www.wendangku.net/doc/4f4344272.html, //配置域名，SSH必须配置
crypto key generate rsa general-keys modulus 1024 //产生1024比特的RSA密钥，如果配置SSH版本2,至少要768比特
ip ssh version 2 //配置SSH版本2
ip ssh time-out 120 //配置SSH登入超时时间
ip ssh authentication-retries 3 //配置SSH用户登入验证最大次数









把路由器当做SSH客户端登入
ssh -l 登入名 IP地址