安全与 VPN : 安全壳 SSH

Secure Shell (SSH) 常见问题

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文回答与Secure Shell (SSH) 有关的多数常见问题 (FAQ)。

Q. 如何配置 SSH 终端行访问(也称为反向 telnet)?

A. 这在Cisco IOS�软件版本12.2.2.T一些平台首先介绍。

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/secure-shell-ssh/19143-ssh-faq-1.gif

Router(config)#line line-number [ending-line-number] 
Router(config-line)#no exec 
Router(config-line)#login {local | authentication listname 
Router(config-line)#rotary group 
Router(config-line)#transport input {all | ssh} 
Router(config-line)#exit 
Router(config)#ip ssh port portnum rotary group 


!--- Line 1 SSH Port Number 2001

line 1
   no exec
   login authentication default
   rotary 1
   transport input ssh

!--- Line 2 SSH Port Number 2002

line 2
   no exec
   login authentication default
   rotary 2
   transport input ssh

!--- Line 3 SSH Port Number 2003

line 3
   no exec
   login authentication default
   rotary 3
   transport input ssh
 
ip ssh port 2001 rotary 1 3

命令参考:

ip ssh port
	ip ssh port portnum rotary group

	no ip ssh port portnum rotary group

  • portnum — 指定 SSH 需要连接到的端口,例如 2001。

  • rotary group — 指定需要搜索有效名称的已定义轮循。

Q. Catalyst 2900 是否支持 SSH?

A. 不,它不支持。

Q. 如何能够确定哪些平台和代码版本支持 SSH?

A. 请参阅 Feature Navigator仅限注册用户)并指定 SSH 功能。

Q. 当我尝试从我的路由器删除某些特定 SSH 命令时,它仍然要求我创建 RSA 密钥以启用 SSH。为什么会这样?

A. 此问题的示例显示如下:

804#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
804(config)#no ip ssh time-out 120
Please create RSA keys to enable SSH.
804(config)#no ip ssh authen
Please create RSA keys to enable SSH.
804(config)

您遇到 Cisco Bug ID CSCdv70159仅限注册用户)。

Q. Cisco IOS� SSH版本2是否支持数字签字标准(DSS) ?

A. Cisco IOS SSH 版本 2(派生自 OpenSSH 代码)不支持 DSS。

Q. Cisco IOS SSH 服务器是否支持代理转发?

A. Cisco IOS SSH 不支持代理转发。Cisco IOS SSH 派生自 OpenSSH 代码。它可与所有商业 SSH 实现进行相互操作。

Q. Cisco IOS SSH服务器支持什么客户端验证机制?

A. Cisco IOS SSH版本2 (SSHv2)支持键盘交互和基于密码的认证方法。除这些认证方法之外, RSA主要特点的(开始与Cisco IOS版本15.0(1)M)的联机SSHv2增强支持客户端和服务器的基于RSA的公共密钥验证。关于Cisco IOS SSH服务器支持的认证机制的更多信息,参考的Secure Shell版本2支持

Q. 错误 Local:Corrupted check bytes on input 的含义是什么?

A. 损坏的校验字节意味着接收到的 SSH 数据包未通过其完整性校验。这通常是由于不正确解密造成的。使用一个错误密钥也会造成这种情况。错误密钥是由于丢失一个加密的 SSH 数据包造成的。您或者丢失了一个本应已发送的加密数据包,或者丢失了一个本应已解密的加密数据包。

Q. Cisco IOS 是否支持使用 Blowfish 口令的 SSH?

A. Cisco IOS 不支持使用 Blowfish 口令的 SSH。当 SSH 客户端发送此类不支持的口令时,路由器会显示在 SSH 客户端发送不支持的 (Blowfish) 口令中提及的调试消息。

Q. 使用crypto key generate rsa命令在配置模式时,当我设法生成SSH访问的RSA密钥在路由器,我收到此错误:%无效输入检测在‘^’标记。它不让路由器生成RSA密钥启用路由器的SSH访问。如何解决此问题?

A. 当在路由器使用的镜像不支持crypto key generate rsa命令,此错误出现。安全镜像仅支持此命令。为了解决此错误请使用Cisco IOS路由器的适当的系列的安全镜像使用的。

Q. 加密镜像是否支持强口令以密码器使用SSH例如3DES或AES ?

A. 可以。加密镜像仅支持强口令。为了以密码器使用SSH例如3DES或AES您必须有在您的Cisco设备的加密镜像。

Q. 这些消息在日志被看到,当尝试配置在路由器时的SSH :SSH2 13 :RSA_sign :专用密钥没找到的SSH2 13 :失败的签名创建,状态-1。如何解决这一问题?

A. 这些日志消息被看到的归结于Cisco Bug ID CSCsa83601 (仅限注册用户)和CSCtc41114 (仅限注册用户)。参考这些Bug欲知更多信息。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 19143