关闭CISCO路由器不需要的服务

关闭Cisco不需要的服务这里假设路由器有Ethernet0和Ethernet1端口Router(config)#nocdprun//关闭CDP协议，CDP使用多播地址，能够发现对端路由器的Hostname,硬件设备类型，IOS版本，三层接口地址，发送CDP多播的地址Router(config)#noservicetcp-small-serversRouter(config)#noserviceudp-small-servers/关闭TCP和UDP的一些无用的小服务，这些小服务的端口小于19,通常用在以前的UNIX环境中，如chargen,daytime等Router(config)#noservicefinger//finger通常用在UNIX中，用来确定谁登陆到设备上：telnet192.168.1.254fingerRouter(config)#noipfinger//关闭对于finger查询的应答Router(config)#noipidentd//关闭用户认证服务，一个设备发送一个请求到Ident接口(TCP113),目标会回答一个身份识别，如host名称或者设备名称Router(config)#noipsource-route//关闭IP源路由，通过源路由，能够在IP包头中指定数据包实际要经过的路径Router(config)#noftp-serverenable//关闭FTP服务Router(config)#noiphttpserver//关闭HTTP路由器登陆服务Router(config)#noiphttpsecure-server//关闭HTTPS路由器登陆服务Router(config)#nosnmp-servercommunitypublicRORouter(config)#nosnmp-servercommunityprivateRWRouter(config)#nosnmp-serverenabletrapsRouter(config)#nosnmp-serversystem-shutdownRouter(config)#nosnmp-servertrap-authRouter(config)#nosnmp-server//关闭SNMP服务Router(config)#noipdomain-lookup//关闭DNS域名查找Router(config)#noipbootpserver//bootp服务通常用在无盘站中，为主机申请IP地址Router(config)#noservicedhcp//关闭DHCP服务Router(config)#noservicepad//pad服务一般用在X.25网络中为远端站点提供可靠连接Router(config)#nobootnetwork//关闭路由器通过TFTP加载IOS启动Router(config)#noserviceconfig//关闭路由器加载IOS成功后通过TFTP加载配置文件Router(config)#interfaceethernet0Router(config-if)#noipproxy-arp//关闭代理ARP服务Router(config-if)#noipdirected-broadcast//关闭直连广播，因为直连广播是能够被路由的Router(config-if)#noipunreachableRouter(config-if)#noipredirectRouter(config-if)#noipmask-reply//关闭三种不可靠的ICMP消息Router(config-if)#exit注意：使用showipinterface查看接口启用的服务Router(config)#interfaceethernet0Router(config-if)#shutdown〃手动关闭没有使用的接口Router(config-if)#exitRouter(config)#servicetcp-keepalives-inRouter(config)#servicetcp-keepalives-out〃对活动的tcp连接进行监视，及时关闭已经空闲超时的tcp连接，通常和telnet,ssh起使用Router(config)#usernameadmin1privilege15secretgeekboyRouter(config)#hostnamejwyBullmastiff(config)#ipdomain-Bullmastiff(config)#cryptokeygeneratersaBullmastiff(config)#linevty04Bullmastiff(config-line)#loginlocalBullmastiff(config-line)#transportinputsshBullmastiff(config-line)#transportoutputssh〃只允许其他设备通过SSH登陆到路由器安全连接：用ssh替代Telnet如果你一直利用Telnet控制网络设备，你可以考虑采用其他更安全的方式。

本文告诉你如何用SSH替换Telnet使用Telnet这个用来访问远程计算机的TCP/IP协议以控制你的网络设备相当于在离开某个建筑时大喊你的用户名和口令很快地，会有人进行监听，并且他们会利用你安全意识的缺乏SSH是替代Telnet和其他远程控制台管理应用程序的行业标准SSH命令是加密的并以几种方式进行保密在使用SSH的时候，一个数字证书将认证客户端（你的工作站）和服务器（你的网络设备）之间的连接，并加密受保护的口令SSH1使用RSA加密密钥，SSH2使用数字签名算法（DSA）密钥保护连接和认证加密算法包括Blowfish，数据加密标准（DES）,以及三重DES（3DES）SSH保护并且有助于防止欺骗，“中间人”攻击，以及数据包监听实施SSH的第一步是验证你的设备支持SSH请登录你的路由器或交换机，并确定你是否加载了一个支持SSH的IPSecIOS镜像在我们的例子中，我们将使用CiscoIOS命令运行下面的命令：Router〉Showflash该命令显示已加载的IOS镜像名称你可以用结果对比你的供应商的支持特性列表在你验证了你的设备支持SSH之后，请确保设备拥有一个主机名和配置正确的主机域,就像下面的一样：Router〉configterminalRouter（config）#hostnamehostnameRouter（config）#ipdomain-namedomainname在这个时候，你就可以启用路由器上的SSH服务器。

要启用SSH服务器，你首先必须利用下面的命令产生一对RSA密钥：Router(config)#cryptokeygeneratersa在路由器上产生一对RSA密钥就会自动启用SSH如果你删除这对RSA密钥，就会自动禁用该SSH服务器实施SSH的最后一步是启用认证，授权和审计(AAA)在你配置AAA的时候，请指定用户名和口令，会话超时时间，一个连接允许的尝试次数像下面这样使用命令：Router(config)#aaanew-modelRouter(config)#usernamepasswordRouter(config)#ipsshtime-outRouter(config)#ipsshauthentication-retries要验证你已经配置了SSH并且它正运行在你的路由器上，执行下面的命令：Router#showipssh在验证了配置之后，你就可以强制那些你在AAA配置过程中添加的用户使用SSH，而不是Telnet你也可以在虚拟终端(vty)连接中应用SSH而实现同样的目的这里给出一个例子：Router(config)#linevty04Router(config-line)#transportinputSSHssh-lgcs192.168.1.254在你关闭现存的Telnet会话之前，你需要一个SSH终端客户端程序以测试你的配置。

我极力推荐PuTTY；它是免费的，而且它是一个优秀的终端软件路由器配置：Router>enableRouter#configtRouter(config)#hostjintianjintian(config)#enablepassword123jintian(config)#intfaO/Ojintian(config-if)#ipadd192.168.1.1255.255.255.0jintian(config-if)#noshutjintian(config-if)#exitjintian(config)usernamejintianpasswordjintianjintian(config)#ipdomain-jintian(config)#cryptokeygeneratersaThenameforthekeyswillbe:Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:512jintian(config)#linevty04jintian(config-line)#transportinputsshjintian(config-line)#loginlocaljintian(config-line)#测试：在PC上：PacketTracerPCCommandLine1.0PC>ping192.168.1.1Pinging192.168.1.1with32bytesofdata:Replyfrom192.168.1.1:bytes=32time=62msTTL=255Replyfrom192.168.1.1:bytes=32time=32msTTL=255Replyfrom192.168.1.1:bytes=32time=32msTTL=255Replyfrom192.168.1.1:bytes=32time=31msTTL=255Pingstatisticsfor192.168.1.1:Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:Minimum=31ms,Maximum=62ms,Average=39msPC>ssh-ljintian192.168.1.1Password:jintian>enPassword:jintian#R2(config)#aaanew-model启用AAAR2(config)#aaaauthenticationlogindefaultlocal启用aaa认证，设置在本地服务器上进行认证R2(config)#usernameciscopasscisco仓U建一个用户cisco并设置其密码为cisco用于SSH客户端登录R2(config)#linevty04R2(config-line)#loginauthenticationdefault设置使用AAA的default来进行认证R2(config-line)#exitR2(config)#2.4.3配置Telnet和SSH2.4.3配置Telnet和SSH2009-04-1416:24思科系统公司人民邮电出版社我要评论(0)字号：TIT《思科网络技术学院教程CCNAExplorations：LAN交换和无线》为思科网络技术学院CCNAExploration第4版课程的配套书面教材，第2章讲述的是交换机基本概念和配置。

本节说的是配置Telnet和SSH2.4.3配置Telnet和SSH老式交换机可能不支持使用安全外壳（SSH）的安全通信本节将帮助您选择与交换机通信的方法：Telnet和SSHTelnet是早期型号的Cisco交换机上支持的最初方法Telnet是用于终端访问的常用协议，因为大部分最新的操作系统都附带内置的Telnet客户端但是Telnet不是访问网络设备的安全方法，因为它在网络上以明文发送所有通信攻击者使用网络监视软件可以读取在Telnet客户端和Cisco交换机的Telnet服务之间发送的每一个击键由于Telnet协议存在安全性问题，因此SSH成为用于远程访问Cisco设备虚拟终端线路的首选协议SSH提供与Telnet相同类型的访问，但是增加了安全性SSH客户端和SSH服务器之间的通信是加密的oSSH已经经历了多个版本，Cisco设备目前支持SSHv1和SSHv2o建议尽可能实施SSHv2,因为它使用比SSHvl更强的安全加密算法1.配置TelnetTelnet是Cisco交换机上支持vty的默认协议如果为Cisco交换机分配了管理IP地址，就可以使用Telnet客户端连接到交换机最初，vty线路并不安全，试图连接vty线路的任何用户都能接入交换机。

前一节中介绍了如何通过要求密码身份验证来保护通过vty线路对交换机的访问这可略微提高Telnet服务的安全性因为Telnet是vty线路的默认传输方式，因此在执行交换机初始配置之后，不需要指定Telnet但是，如果已将vty线路的传输协议更改为只允许SSH,则需要手动启用Telnet协议以允许Telnet访问如果需要在Cisco2960交换机上重新启用Telnet协议，可在线路配置模式下使用以下命令：(config-line)#transportinputtelnet或(config-line)#transportinputall如果允许所有传输协议，则不仅允许Telnet访问，而且仍允许通过SSH访问交换机2.配置SSHSSH是受到导出限制的一种加密安全功能要使用此功能，交换机上必须安装加密映像SSH功能有SSH服务器和SSH集成客户端，后者是在交换机上运行的应用程序可以使用PC上运行的任何SSH客户端或交换机上运行的CiscoSSH客户端来连接运行SSH服务器的交换机对于服务器组件，交换机支持SSHv1或SSHv2对于客户端组件，交换机只支持SSHvlSSH支持数据加密标准（DES）算法、三重DES（3DES）算法和基于密码的用户身份验证。

DES提供56位加密，而3DES提供168位加密加密需要时间，但是DES加密文本的时间比3DES少通常情况下，加密标准由客户指定，因此如果必须配置SSH，请询问客户使用哪一种标准（关于数据加密方法的讨论不属于本课程的范围）要实施SSH，需要生成RSA密钥RSA涉及公钥和私钥，公钥保留在公共RSA服务器上，而私钥仅由发送方和接收方保留公钥可对所有人公开，并用于加密消息用公钥加密的消息只能使用私钥解密这称为非对称加密非对称加密将在"AccessingtheWAN,CCNAExplorationCompanionGuide"课程中更详细地讨论如果要将交换机配置为SSH服务器，则需要从特权执行模式下开始，按照下面的步骤配置步骤1使用configureterminal命令进入全局配置模式步骤2使用hostnamehostname命令配置交换机的主机名步骤3使用ipdomain-namedomain_name命令配置交换机的主机域步骤4在交换机上启用SSH服务器以进行本地和远程身份验证，然后使用cryptokeygeneratersa命令生成RSA密钥对生成RSA密钥时，系统提示用户输入模数长度Cisco建议使用1024位的模数长度。

模数长度越长越安全，但是生成和使用模数的时间也越长这一步完成SSH服务器的基本配置，剩下的步骤描述优化SSH配置可以使用的几个选项步骤5使用end命令返回到特权执行模式步骤6使用showipssh或showssh命令显示交换机上的SSH服务器的状态步骤7使用configureterminal命令进入全局配置模式步骤8（可选）使用ipsshversion[1|2命令将交换机配置为运行SSHv1或SSHv2如果未输入此命令或未指定关键字选项1或2,SSH服务器将选择SSH客户端支持的最高SSH版本例如，如果SSH客户端支持SSHv1和SSHv2，则SSH服务器选择SSHv2步骤9配置SSH控制参数：以秒为单位指定超时值；默认值为120秒该值的范围为0~120秒为了建立SSH连接，必须完成很多阶段，例如连接、协议协商和参数协商超时值规定了交换机为建立连接而留出的时间量默认情况下，最高可以有5个并存的加密SSH连接用于多个基于CLI的网络会话（会话0到会话4）在执行外壳启动后，基于CLI的会话的超时值将恢复为默认的10分钟指定客户端可向服务器重新验证身份的次数默认值为3；取值范围为0〜5例如，用户可以允许SSH会话在终止之前连续3次持续10分钟以上。

当配置这两个参数时，请重复执行本步骤要配置这两个参数，请使用ipssh{timeoutseconds|authentication-retriesnumber}命令步骤10使用end命令返回到特权执行模式步骤11使用showipssh或showssh命令显示交换机上的SSH服务器连接的状态步骤12（可选）使用copyrunning-configstartup-config命令在配置文件中保存您的输入要删除RSA密钥对，可使用cryptokeyzeroizersa全局配置命令、RSA密钥对删除之后，SSH服务器自动被禁用如果要阻止非SSH连接，可在线路配置模式下添加transportinputssh命令，将交换机限制为仅允许SSH连接直接（非SSH）Telnet连接将被拒绝例2-10列出了在Catalyst2960交换机上启用SSH的一套命令SSH默认版本为第2版，但我们可以任意配置它这种配置可以阻止虚拟终端线路上的Telnet访问假设本地用户数据库和vty口令已被设定，前面操作过程中的第3、4步会使用最少的命令来启动SSH例2-10在Catalyst2960上启动SSH服务31sryptfllayfiiicrmfib£1；«nfip理hwrtlwi去S1config)#lin#卑纤QISjKJi*wLSi(confia-3iRBi*trimporIInput暮■!!。