# SSH  ##### 1.首先验证设备是否支持SSH ``` show ip ssh ``` 能够识别这条命令就说明支持。 ##### 2.配置IP域名 ``` ip domain-name xxx #全局配置模式命令配置网络 IP 域名 ``` ##### 3.生成 RSA 密钥对 生成 RSA 密钥对将自动启用 SSH。使用 config#crypto key generate rsa 全局配置模式命令在交换机上启用 SSH 服务器并生成 RSA 密钥对。当生成 RSA 密钥时，系统会提示管理员输入模数长度。模数长度越长越安全，但生成和使用模数的时间也越长。 PS:并非所有的设备都支持SSH版本2，并且至少需要768bits的模长才能使用版本2。 ``` crypto key generate rsa ``` 要**删除 RSA 密钥对**，请使用 crypto key zeroize rsa 全局配置模式命令。删除 RSA 密钥对之后，SSH 服务器将自动禁用。 ``` crypto key zeroize rsa ``` ##### 4.配置用户身份验证 SSH登陆需要用户名和密码，所以必须要配置用户。 SSH 服务器可以对用户进行本地身份验证或使用身份验证服务器。要使用本地身份验证方法，请使用 username 用户名 secret 密码 全局配置模式命令创建用户名和密码对。 ##### 5.配置 vty 线路 在vty线路配置模式下使用 transport input ssh 命令启用 vty 线路上的 SSH 协议。Catalyst 2960 的 vty 线路范围为 0 到 15。该配置将阻止除 SSH 之外的连接（如 Telnet），将交换机设置为只接受 SSH 连接。然后使用 login local 线路配置模式命令来要求从本地用户名数据库进行 SSH 连接的本地身份验证。 至此配置登陆的过程已经完成，下面来测试连接。 从R1登陆R2 ``` ssh -v 2 -l man 192.168.1.2 默认版本号为1 ``` 当然如果想要进入特权模式，还需要为特权模式设置密码。 还有： **可选条件** ``` R2(config)#ip ssh time-out 120 //修改超时时间 R2(config)#ip ssh authentication-retries 1 //修改重认证次数。 R2(config)#ip ssh version 2 //修改版本 ``` ##### 配置过程 ``` R2(config)#ip domain-name man.com //配置域名为man.com R2(config)#crypto key generate rsa //生成加密密钥 1024 R2(config)#username man secret cisco //在本地创建一个用户名为man并且加密密码为cisco的用户。 line vty 0 4 R2(config-line)#transport input ssh //启用SSH登陆 R2(config-line)#login local //采用本地验证 ```