5.3.1 配置交换机 SSH 管理和端口安全

5.3.1 实验1:配置交换机基本安全和 SSH管理

1、实验目的

通过本实验可以掌握:

  1. 交换机基本安全配置。
  2. SSH 的工作原理和 SSH服务端和客户端的配置。

2、实验拓扑

交换机基本安全和 SSH管理实验拓扑如图所示。

交换机基本安全和 SSH管理实验拓扑

3、实验步骤

(1)配置交换机S1

复制代码
Switch>enable 
Switch#conf t
Switch(config)#hostname S1
S1(config)#exit
S1#clock set 10:05:30 3 apr 2024    //配置系统时间
S1#conf t
S1(config)#interface vlan 1         //配制交换机SVI
S1(config-if)#ip address 172.16.1.100 255.255.255.0
S1(config-if)#no shutdown
S1(config-if)#exit
S1(config)#ip default-gateway 172.16.1.1   //配置交换机默认网关
S1(config)#enable secret cisco123          //配置enable密码
S1(config)#service password-encryption     //启动密码加密服务,提高安全性
S1(config)#service tcp-keepalives-in
//交换机没有收到远程系统的响应,会自动关闭连接,减少被DOS攻击的机会。
S1(config)#login block-for 120 attempts 3 within 30
//在30秒内尝试3次登录都失败,则120秒内禁止登录
S1(config)#login quiet-mode access-class 10
//前面配置当用户3次登录失败后,交换机将进入120秒的安静期,禁止登录。通过执行该命令安静期内 ACL 10指定的主机仍然可以登录,目的是防止出现黑客登录不了网管主机也不可以登录的情况
S1(config)#login delay 10          //配置用户登录成功后,10秒后才能再次登录
S1(config)#login on-failure log    //配置登录失败会在日志中记录
S1(config)#login on-success log    //配置登录成功会在日志中记录
S1(config)#username zhangsan privilege 15 secret cisco123
//创建SSH登录的用户名和密码,用户ccie权限级别为15
S1(config)#line vty 0 4
S1(config-line)#login local         //用户登录时,从本地数据库匹配用户名和密码
S1(config-line)#transport input ssh
//只允许用户通过SSH远程登录到交换机进行管理。默认是transport input all
S1(config-line)#exec-timeout 5 30
//配置超时时间,当用户在5分30秒内没有任何输入时,将被自动注销,这样可以减少因离开等因素带来的安全隐患
S1(config-line)#exit
S1(config)#ip domain-name cisco.com    //配置域名,配置SSH时必须配置
S1(config)#crypto key generate rsa general-keys modulus 1024
//产生长度为1024比特的RSA密钥
S1(config)#ip ssh version 2            //配置 SSHv2版本
S1(config)#ip ssh time-out 120
//配置SSH登录超时时间,如果超时,TCP连接被切断
S1(config)#ip ssh authentication-retries 3
//配置SSH用户登录重验证最大次数,超过3次,TCP连接被切断

(2)从SSH Client通过SSH登录到交换机S1

4、实验调试

(1)使用命令S1#show ip ssh查看SSH基本信息

复制代码
S1#show ip ssh              //查看SSH版本信息
SSH Enabled - version 2.0   //显示的SSH版本信息
Authentication timeout: 120 secs; Authentication retries: 3
S1#

(2)使用命令S1#show ssh查看ssh会话信息

复制代码
S1#show ssh   //查看SSH会话信息
Connection      Version Mode Encryption  Hmac State             Username
2               1.99    IN   aes128-cbc      hmac-sha1     Session Started         zhangsan
2               1.99    OUT  aes128-cbc      hmac-sha1     Session Started   zhangsan
%No SSHv1 server connections running.
S1#

以上显示了SSH登录的用户名、状态、加密算法、验证算法以及SSH版本等信息

(3)使用命令S1#show users 查看登录到交换机上的用户以及位置信息

复制代码
S1#show users    //查看登录到交换机上的用户以及位置信息
    Line       User       Host(s)              Idle       Location
   0 con 0                idle                 00:09:00 
*  3 vty 0     zhangsan   idle                 00:00:00 

  Interface    User               Mode         Idle     Peer Address
S1#

以上输出显示用户名为zhangsan的用户登录,其中3位VTY线路编号,以路由器作为SSH客户端登录执行SSH命令登录时。可以使用如下命令:

复制代码
S1#ssh -l zhangsan 172.16.1.100        //-l参数后面接用户名
相关推荐
风途科技~7 分钟前
河道流量监测不用下水!雷达水流测速仪非接触测流更安全
人工智能·安全
味悲16 分钟前
XSS、CSRF、SSRF学习笔记
安全·xss·csrf
万点科技码农22 分钟前
紧跟7月9日行业变革,西安万点网络科技一体化服务助力企业数字化安全转型
安全
Chengbei1127 分钟前
SoloXSS:一款现代化的自托管 XSS平台
人工智能·安全·web安全·网络安全·自动化·xss·安全架构
white_ant1 小时前
安全认证与 API 网关
安全
xixixi7777711 小时前
三大 AI 安全里程碑:Akamai 高危风险预警、智能体水印强制落地、PQC 量子安全全产业链统一
大数据·人工智能·安全·ai·大模型·智能体·政策
hz5678914 小时前
电子远程评标系统哪家好?安全、合规、易用平台评测指南
安全·云计算·音视频·实时音视频·信息与通信
MartinYeung514 小时前
[论文学习]大语言模型安全综述:攻击、防御、对齐、度量与护栏的深度解析
学习·安全·语言模型
卓豪终端管理16 小时前
企业数据防泄漏:现代设备控制如何成为终端安全的关键防线
安全
技术不好的崎鸣同学18 小时前
[GXYCTF2019]Ping Ping Ping 思路及解法
网络·安全·web安全