關閉CISCO路由器不需要的服務

關閉Cisco不需要的服務這里假設路由器有Ethernet0和Ethernet1端口Router(config)#nocdprun//關閉CDP協議，CDP使用多播地址，能夠發(fā)現對端路由器的Hostname,硬件設備類型，IOS版本，三層接口地址，發(fā)送CDP多播的地址Router(config)#noservicetcp-small-serversRouter(config)#noserviceudp-small-servers/關閉TCP和UDP的一些無用的小服務，這些小服務的端口小于19,通常用在以前的UNIX環(huán)境中，如chargen,daytime等Router(config)#noservicefinger//finger通常用在UNIX中，用來確定誰登陸到設備上：telnet192.168.1.254fingerRouter(config)#noipfinger//關閉對于finger查詢的應答Router(config)#noipidentd//關閉用戶認證服務，一個設備發(fā)送一個請求到Ident接口(TCP113),目標會回答一個身份識別，如host名稱或者設備名稱Router(config)#noipsource-route//關閉IP源路由，通過源路由，能夠在IP包頭中指定數據包實際要經過的路徑Router(config)#noftp-serverenable//關閉FTP服務Router(config)#noiphttpserver//關閉HTTP路由器登陸服務Router(config)#noiphttpsecure-server//關閉HTTPS路由器登陸服務Router(config)#nosnmp-servercommunitypublicRORouter(config)#nosnmp-servercommunityprivateRWRouter(config)#nosnmp-serverenabletrapsRouter(config)#nosnmp-serversystem-shutdownRouter(config)#nosnmp-servertrap-authRouter(config)#nosnmp-server//關閉SNMP服務Router(config)#noipdomain-lookup//關閉DNS域名查找Router(config)#noipbootpserver//bootp服務通常用在無盤站中，為主機申請IP地址Router(config)#noservicedhcp//關閉DHCP服務Router(config)#noservicepad//pad服務一般用在X.25網絡中為遠端站點提供可靠連接Router(config)#nobootnetwork//關閉路由器通過TFTP加載IOS啟動Router(config)#noserviceconfig//關閉路由器加載IOS成功后通過TFTP加載配置文件Router(config)#interfaceethernet0Router(config-if)#noipproxy-arp//關閉代理ARP服務Router(config-if)#noipdirected-broadcast//關閉直連廣播，因為直連廣播是能夠被路由的Router(config-if)#noipunreachableRouter(config-if)#noipredirectRouter(config-if)#noipmask-reply//關閉三種不可靠的ICMP消息Router(config-if)#exit注意：使用showipinterface查看接口啟用的服務Router(config)#interfaceethernet0Router(config-if)#shutdown〃手動關閉沒有使用的接口Router(config-if)#exitRouter(config)#servicetcp-keepalives-inRouter(config)#servicetcp-keepalives-out〃對活動的tcp連接進行監(jiān)視，及時關閉已經空閑超時的tcp連接，通常和telnet,ssh起使用Router(config)#usernameadmin1privilege15secretgeekboyRouter(config)#hostnamejwyBullmastiff(config)#ipdomain-Bullmastiff(config)#cryptokeygeneratersaBullmastiff(config)#linevty04Bullmastiff(config-line)#loginlocalBullmastiff(config-line)#transportinputsshBullmastiff(config-line)#transportoutputssh〃只允許其他設備通過SSH登陸到路由器安全連接：用ssh替代Telnet如果你一直利用Telnet控制網絡設備，你可以考慮采用其他更安全的方式。

本文告訴你如何用SSH替換Telnet使用Telnet這個用來訪問遠程計算機的TCP/IP協議以控制你的網絡設備相當于在離開某個建筑時大喊你的用戶名和口令很快地，會有人進行監(jiān)聽，并且他們會利用你安全意識的缺乏SSH是替代Telnet和其他遠程控制臺管理應用程序的行業(yè)標準SSH命令是加密的并以幾種方式進行保密在使用SSH的時候，一個數字證書將認證客戶端（你的工作站）和服務器（你的網絡設備）之間的連接，并加密受保護的口令SSH1使用RSA加密密鑰，SSH2使用數字簽名算法（DSA）密鑰保護連接和認證加密算法包括Blowfish，數據加密標準（DES）,以及三重DES（3DES）SSH保護并且有助于防止欺騙，“中間人”攻擊，以及數據包監(jiān)聽實施SSH的第一步是驗證你的設備支持SSH請登錄你的路由器或交換機，并確定你是否加載了一個支持SSH的IPSecIOS鏡像在我們的例子中，我們將使用CiscoIOS命令運行下面的命令：Router〉Showflash該命令顯示已加載的IOS鏡像名稱你可以用結果對比你的供應商的支持特性列表在你驗證了你的設備支持SSH之后，請確保設備擁有一個主機名和配置正確的主機域,就像下面的一樣：Router〉configterminalRouter（config）#hostnamehostnameRouter（config）#ipdomain-namedomainname在這個時候，你就可以啟用路由器上的SSH服務器。

要啟用SSH服務器，你首先必須利用下面的命令產生一對RSA密鑰：Router(config)#cryptokeygeneratersa在路由器上產生一對RSA密鑰就會自動啟用SSH如果你刪除這對RSA密鑰，就會自動禁用該SSH服務器實施SSH的最后一步是啟用認證，授權和審計(AAA)在你配置AAA的時候，請指定用戶名和口令，會話超時時間，一個連接允許的嘗試次數像下面這樣使用命令：Router(config)#aaanew-modelRouter(config)#usernamepasswordRouter(config)#ipsshtime-outRouter(config)#ipsshauthentication-retries要驗證你已經配置了SSH并且它正運行在你的路由器上，執(zhí)行下面的命令：Router#showipssh在驗證了配置之后，你就可以強制那些你在AAA配置過程中添加的用戶使用SSH，而不是Telnet你也可以在虛擬終端(vty)連接中應用SSH而實現同樣的目的這里給出一個例子：Router(config)#linevty04Router(config-line)#transportinputSSHssh-lgcs192.168.1.254在你關閉現存的Telnet會話之前，你需要一個SSH終端客戶端程序以測試你的配置。

我極力推薦PuTTY；它是免費的，而且它是一個優(yōu)秀的終端軟件路由器配置：Router>enableRouter#configtRouter(config)#hostjintianjintian(config)#enablepassword123jintian(config)#intfaO/Ojintian(config-if)#ipadd192.168.1.1255.255.255.0jintian(config-if)#noshutjintian(config-if)#exitjintian(config)usernamejintianpasswordjintianjintian(config)#ipdomain-jintian(config)#cryptokeygeneratersaThenameforthekeyswillbe:Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:512jintian(config)#linevty04jintian(config-line)#transportinputsshjintian(config-line)#loginlocaljintian(config-line)#測試：在PC上：PacketTracerPCCommandLine1.0PC>ping192.168.1.1Pinging192.168.1.1with32bytesofdata:Replyfrom192.168.1.1:bytes=32time=62msTTL=255Replyfrom192.168.1.1:bytes=32time=32msTTL=255Replyfrom192.168.1.1:bytes=32time=32msTTL=255Replyfrom192.168.1.1:bytes=32time=31msTTL=255Pingstatisticsfor192.168.1.1:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=31ms,Maximum=62ms,Average=39msPC>ssh-ljintian192.168.1.1Password:jintian>enPassword:jintian#R2(config)#aaanew-model啟用AAAR2(config)#aaaauthenticationlogindefaultlocal啟用aaa認證，設置在本地服務器上進行認證R2(config)#usernameciscopasscisco倉U建一個用戶cisco并設置其密碼為cisco用于SSH客戶端登錄R2(config)#linevty04R2(config-line)#loginauthenticationdefault設置使用AAA的default來進行認證R2(config-line)#exitR2(config)#2.4.3配置Telnet和SSH2.4.3配置Telnet和SSH2009-04-1416:24思科系統(tǒng)公司人民郵電出版社我要評論(0)字號：TIT《思科網絡技術學院教程CCNAExplorations：LAN交換和無線》為思科網絡技術學院CCNAExploration第4版課程的配套書面教材，第2章講述的是交換機基本概念和配置。

本節(jié)說的是配置Telnet和SSH2.4.3配置Telnet和SSH老式交換機可能不支持使用安全外殼（SSH）的安全通信本節(jié)將幫助您選擇與交換機通信的方法：Telnet和SSHTelnet是早期型號的Cisco交換機上支持的最初方法Telnet是用于終端訪問的常用協議，因為大部分最新的操作系統(tǒng)都附帶內置的Telnet客戶端但是Telnet不是訪問網絡設備的安全方法，因為它在網絡上以明文發(fā)送所有通信攻擊者使用網絡監(jiān)視軟件可以讀取在Telnet客戶端和Cisco交換機的Telnet服務之間發(fā)送的每一個擊鍵由于Telnet協議存在安全性問題，因此SSH成為用于遠程訪問Cisco設備虛擬終端線路的首選協議SSH提供與Telnet相同類型的訪問，但是增加了安全性SSH客戶端和SSH服務器之間的通信是加密的oSSH已經經歷了多個版本，Cisco設備目前支持SSHv1和SSHv2o建議盡可能實施SSHv2,因為它使用比SSHvl更強的安全加密算法1.配置TelnetTelnet是Cisco交換機上支持vty的默認協議如果為Cisco交換機分配了管理IP地址，就可以使用Telnet客戶端連接到交換機最初，vty線路并不安全，試圖連接vty線路的任何用戶都能接入交換機。

前一節(jié)中介紹了如何通過要求密碼身份驗證來保護通過vty線路對交換機的訪問這可略微提高Telnet服務的安全性因為Telnet是vty線路的默認傳輸方式，因此在執(zhí)行交換機初始配置之后，不需要指定Telnet但是，如果已將vty線路的傳輸協議更改為只允許SSH,則需要手動啟用Telnet協議以允許Telnet訪問如果需要在Cisco2960交換機上重新啟用Telnet協議，可在線路配置模式下使用以下命令：(config-line)#transportinputtelnet或(config-line)#transportinputall如果允許所有傳輸協議，則不僅允許Telnet訪問，而且仍允許通過SSH訪問交換機2.配置SSHSSH是受到導出限制的一種加密安全功能要使用此功能，交換機上必須安裝加密映像SSH功能有SSH服務器和SSH集成客戶端，后者是在交換機上運行的應用程序可以使用PC上運行的任何SSH客戶端或交換機上運行的CiscoSSH客戶端來連接運行SSH服務器的交換機對于服務器組件，交換機支持SSHv1或SSHv2對于客戶端組件，交換機只支持SSHvlSSH支持數據加密標準（DES）算法、三重DES（3DES）算法和基于密碼的用戶身份驗證。

DES提供56位加密，而3DES提供168位加密加密需要時間，但是DES加密文本的時間比3DES少通常情況下，加密標準由客戶指定，因此如果必須配置SSH，請詢問客戶使用哪一種標準（關于數據加密方法的討論不屬于本課程的范圍）要實施SSH，需要生成RSA密鑰RSA涉及公鑰和私鑰，公鑰保留在公共RSA服務器上，而私鑰僅由發(fā)送方和接收方保留公鑰可對所有人公開，并用于加密消息用公鑰加密的消息只能使用私鑰解密這稱為非對稱加密非對稱加密將在"AccessingtheWAN,CCNAExplorationCompanionGuide"課程中更詳細地討論如果要將交換機配置為SSH服務器，則需要從特權執(zhí)行模式下開始，按照下面的步驟配置步驟1使用configureterminal命令進入全局配置模式步驟2使用hostnamehostname命令配置交換機的主機名步驟3使用ipdomain-namedomain_name命令配置交換機的主機域步驟4在交換機上啟用SSH服務器以進行本地和遠程身份驗證，然后使用cryptokeygeneratersa命令生成RSA密鑰對生成RSA密鑰時，系統(tǒng)提示用戶輸入模數長度Cisco建議使用1024位的模數長度。

模數長度越長越安全，但是生成和使用模數的時間也越長這一步完成SSH服務器的基本配置，剩下的步驟描述優(yōu)化SSH配置可以使用的幾個選項步驟5使用end命令返回到特權執(zhí)行模式步驟6使用showipssh或showssh命令顯示交換機上的SSH服務器的狀態(tài)步驟7使用configureterminal命令進入全局配置模式步驟8（可選）使用ipsshversion[1|2命令將交換機配置為運行SSHv1或SSHv2如果未輸入此命令或未指定關鍵字選項1或2,SSH服務器將選擇SSH客戶端支持的最高SSH版本例如，如果SSH客戶端支持SSHv1和SSHv2，則SSH服務器選擇SSHv2步驟9配置SSH控制參數：以秒為單位指定超時值；默認值為120秒該值的范圍為0~120秒為了建立SSH連接，必須完成很多階段，例如連接、協議協商和參數協商超時值規(guī)定了交換機為建立連接而留出的時間量默認情況下，最高可以有5個并存的加密SSH連接用于多個基于CLI的網絡會話（會話0到會話4）在執(zhí)行外殼啟動后，基于CLI的會話的超時值將恢復為默認的10分鐘指定客戶端可向服務器重新驗證身份的次數默認值為3；取值范圍為0?5例如，用戶可以允許SSH會話在終止之前連續(xù)3次持續(xù)10分鐘以上。

當配置這兩個參數時，請重復執(zhí)行本步驟要配置這兩個參數，請使用ipssh{timeoutseconds|authentication-retriesnumber}命令步驟10使用end命令返回到特權執(zhí)行模式步驟11使用showipssh或showssh命令顯示交換機上的SSH服務器連接的狀態(tài)步驟12（可選）使用copyrunning-configstartup-config命令在配置文件中保存您的輸入要刪除RSA密鑰對，可使用cryptokeyzeroizersa全局配置命令、RSA密鑰對刪除之后，SSH服務器自動被禁用如果要阻止非SSH連接，可在線路配置模式下添加transportinputssh命令，將交換機限制為僅允許SSH連接直接（非SSH）Telnet連接將被拒絕例2-10列出了在Catalyst2960交換機上啟用SSH的一套命令SSH默認版本為第2版，但我們可以任意配置它這種配置可以阻止虛擬終端線路上的Telnet訪問假設本地用戶數據庫和vty口令已被設定，前面操作過程中的第3、4步會使用最少的命令來啟動SSH例2-10在Catalyst2960上啟動SSH服務31sryptfllayfiiicrmfib￡1；?nfip理hwrtlwi去S1config)#lin#卑纖QISjKJi*wLSi(confia-3iRBi*trimporIInput暮■!!。