文章总结: 文档详细讲解在思科交换机上启用SSH以替代明文传输Telnet的完整流程。内容涵盖启用SSH的安全必要性、前置条件检查、核心配置步骤包括密钥生成、版本设置、VTY限制及账号创建以及最终的验证测试方法。提供了标准配置模板与ACL加固建议,旨在帮助网络工程师提升设备安全性以满足合规要求,具有较强的实操指导意义。 综合评分: 89 文章分类: 网络安全,安全建设,实战经验
如何在思科交换机上启用SSH?
原创
圈圈 圈圈
网络技术干货圈
2026年3月3日 09:03 江苏
点击上方 网络技术干货圈,选择 设为星标
优质文章,及时送达
转载请注明以下内容:
来源:公众号【网络技术干货圈】
作者:圈圈
ID:wljsghq
为什么突然讲这个?因为上个月我们审计发现,还有几台核心交换机仍只开放Telnet!Telnet明文传输账号密码,在如今勒索病毒横行的时代,简直是把大门敞开给攻击者。SSH不仅加密传输,还支持密钥认证、多因素、端口跳跃等高级防护,是每一位网络工程师必须掌握的“保命技能”。
传统思科交换机出厂默认支持Telnet,这在10年前没问题。但现在呢?
Telnet:明文传输,Wireshark一抓就能看到用户名密码。
SSH:基于RSA/ECDSA加密,至少128位密钥,传输全程加密。
企业合规要求(等保2.0、ISO27001、GDPR)明确禁止明文管理协议。
2024-2025年多起勒索病毒事件,就是因为交换机被Telnet爆破后作为跳板入侵核心系统。
启用SSH后,我们还能实现:
- SSH v2(禁用v1,防中间人攻击)
- 密钥登录(无密码)
- VTY ACL限制仅公司IP段可登录
- AAA集成域账号(与AD/ Radius对接)
一句话:不启用SSH = 自掘坟墓。
启用SSH的前置条件检查
在开始配置前,必须满足以下条件,否则会报错:
- 交换机型号与IOS版本:
Catalyst 2960/3560/3750/3850/9300/9500等主流系列均支持。
IOS版本至少12.2(25)SEE或15.0(2)SE以上(推荐16.9+或17.x)。
检查命令:show version
- 已配置基础IP:
交换机必须有管理VLAN IP(通常VLAN1或专用管理VLAN)。
示例:
interface vlan 10 ip address 192.168.10.1 255.255.255.0
- 时间同步:SSH证书有效期依赖系统时钟。
建议配置NTP:
ntp server 192.168.1.100clock timezone CST 8clock summer-time CST recurring
- 足够Flash空间:生成RSA密钥需要空间(1024位约几KB,4096位更大)。
检查:dir flash:
- 本地或AAA认证已准备:至少有一个本地账号(后面会讲)。
全部OK后,进入全局配置模式:configure terminal
核心配置步骤
步骤1:设置主机名和域名(必须!)
RSA密钥生成依赖“hostname + domain-name”。
hostname Core-SW01ip domain-name company.local
hostname随便起(建议带位置+编号),domain-name必须是合法域名格式,哪怕是假的也行。
步骤2:生成RSA密钥(最关键一步)
crypto key generate rsa modulus 2048
推荐2048位(平衡安全与性能),生产环境可上4096位(但生成慢)。
执行后会提示:
% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]
生成成功后会自动启用SSH。
步骤3:配置SSH版本与超时
ip ssh version 2ip ssh time-out 60ip ssh authentication-retries 3ip ssh rsa keypair-name Core-SW01.company.local
- version 2:强制禁用脆弱的v1
- time-out 60秒:防止挂死会话
- retries 3:最多错3次密码就断
步骤4:配置VTY线路(允许SSH,禁用Telnet)
line vty 0 15 transport input ssh login local exec-timeout 5 0
关键点:
transport input ssh:只允许SSH(彻底关闭Telnet)login local:使用本地账号(后面可改AAA)exec-timeout 5 0:5分钟无操作自动登出
步骤5:创建本地管理账号(强烈建议)
username admin privilege 15 secret Cisco123!StrongPass
secret使用MD5加密,密码至少12位+特殊字符。生产环境建议改成超复杂密码或直接上密钥。
步骤6:(可选但推荐)添加VTY ACL,只允许公司网段
access-list 10 permit 192.168.0.0 0.0.255.255access-list 10 deny any log!line vty 0 15 access-class 10 in
这样即使密码泄露,只有公司内网IP能登录。
步骤7:保存配置
endwrite memory
完整一键配置模板(直接复制粘贴,改主机名和密码即可):
hostname Core-SW01ip domain-name company.localcrypto key generate rsa modulus 2048ip ssh version 2ip ssh time-out 60line vty 0 15 transport input ssh login local exec-timeout 5 0username admin privilege 15 secret YourStrongPass123!endwr
验证与测试(配置完立刻验证)
配置完成后,务必执行以下命令检查:
show ip ssh
应该显示:
SSH Enabled - version 2.0Authentication timeout: 60 secs; Authentication retries: 3
show crypto key mypubkey rsa
确认密钥已生成。
show line vty 0 15 | include transport
显示“transport input ssh”
- 从PC测试:
使用PuTTY或SecureCRT,输入交换机IP,端口22,选择SSH。
成功登录后输入show version确认。
如果从外网跳板机测试,可用命令行:
ssh -l admin 192.168.10.1
—END— 重磅!网络技术干货圈-技术交流群已成立 扫码可添加小编微信,申请进群。 一定要备注:工种+地点+学校/公司+昵称(如网络工程师+南京+苏宁+猪八戒),根据格式备注,可更快被通过且邀请进群 
▲长按加群
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络技术干货圈 圈圈 圈圈《如何在思科交换机上启用SSH?》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论