一、SSH配置DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
R1(config)# username cisco privilege 15 secret 123456DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
//用户名(cisco)和密码(123456),用于SSH远程登录;privilege15:该用户权限为15级(级别最高),无需输入enable,可直接进入特权模式(默认级别为1,级别最低)DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
R1(config)# crypto key generate rsa modulus 2048 label r1sshkeyDBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
//不配置主机名或域名的情况下,在生成密钥的时候可以使用label后面跟上密钥的名字;新设备SSH的密钥长度建议配置为2048以上,较老的设备可以使用1024DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
以下为可选命令:DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
R1(config)# ip ssh version 2 //只启用ssh v2版本,即禁用v1版本(默认是1.99,即同时使用v1和v2)DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
R1(config)# ip ssh rsa keypair-name r1sshkey //指定使用的密钥,如果只有一个密钥该命令可忽略DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
R1(config)# ip ssh authentication-retries 5 //重试次数改成5次(默认3次,可选)DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
R1(config)# ip ssh time-out 30 //配置超时时间为30秒(默认120秒,可选)DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
R1(config)# ip access-list standard ssh_allow //为SSH写一条ACL,没有需求可以不必要写DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
R1(config-std-nacl)# permit host 192.168.10.12 //只允许地址为192.168.10.12的设备DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
二、开启DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
R1(config)# line vty 0 4DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
R1(config-line)# transport input ssh // 0到4线路,只允许SSH登录DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
R1(config-line)# login local //使用本地定义的用户名和密码登录DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
R1(config-line)# access-class ssh_allow in //应用ACL列表DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
三、验证DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
R1# show crypto key mypubkey rsa //查看生成的密钥信息DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
R1# show ip ssh //查看SSH信息DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网
R2# ssh -v 2 -l cisco 192.168.10.11 //在另外一台思科设备上登录,-v 2:使用ssh v2;-l:指定用户名登录DBC电脑_数码_手机应用问题解决的IT技术网站 - 云狐网