在存取點(AP)上啟用安全殼層(SSH)

簡介

本文說明如何設定存取點(AP)，以便啟用安全殼層(SSH)型存取。

必要條件

需求

嘗試此組態之前，請確保符合以下要求：

• 瞭解如何配置Cisco Aironet AP

• 有關SSH和相關安全概念的基本知識

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 執行Cisco IOS®軟體版本12.3(8)JEB的Aironet 1200系列AP

• 採用SSH客戶端實用程式的PC或筆記型電腦

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

訪問Aironet AP上的命令列介面(CLI)

您可以使用以下任何一種方法訪問Aironet AP上的命令列介面(CLI):

• 控制檯埠

• Telnet

• SSH

如果AP具有控制檯埠，並且您可以對AP進行物理訪問，則可以使用控制檯埠登入到AP，並在必要時更改配置。有關如何使用控制檯埠登入到AP的資訊，請參閱文檔首次配置接入點的本地連線到1200系列接入點部分。

如果只能通過乙太網訪問AP，請使用Telnet協定或SSH協定登入到AP。

Telnet通訊協定使用連線埠23進行通訊。Telnet以明文形式傳輸和接收資料。由於資料通訊以明文形式進行，因此駭客可以輕易破解密碼並訪問AP。 RFC 854定義Telnet，並通過許多其他的RFC的選項擴展Telnet。

SSH是一種應用和協定，可為Berkley r-tools提供安全的替代方案。SSH是一種提供到第2層或第3層裝置的安全遠端連線的協定。SSH有兩個版本：SSH版本1和SSH版本2。此軟體版本支援兩個SSH版本。如果未指定版本號，則AP預設為版本2。

SSH比Telnet為遠端連線提供了更高的安全性，因為它在裝置通過身份驗證時提供了強加密。這種加密比Telnet會話有優勢，在該會話中，通訊以明文進行。有關SSH的詳細資訊，請參閱安全外殼(SSH)常見問題。SSH功能具有SSH伺服器和SSH整合客戶端。

客戶端支援以下使用者身份驗證方法：

• RADIUS 

• 本地身份驗證和授權。 

您可以使用CLI或GUI為SSH配置AP。本檔案將說明兩種設定方法。

設定

CLI組態

本節提供有關如何使用CLI配置功能的資訊。

逐步說明

為了在AP上啟用基於SSH的訪問，您必須首先將AP配置為SSH伺服器。要從CLI在AP上配置SSH伺服器，請執行以下步驟：

1. 為AP配置主機名和域名。

   AP#configure terminal
   
   !--- Enter global configuration mode on the AP.
   
   AP<config>#hostname Test
   
   !--- This example uses "Test" as the AP host name.
   
   Test<config>#ip domain name domain
   
   !--- This command configures the AP with the domain name "domain name".
   
   

2. 為您的AP生成Rivest、Shamir和Adelman(RSA)金鑰。

   生成RSA金鑰在AP上啟用SSH。在全域性配置模式下發出以下命令：

   Test<config>#crypto key generate rsa rsa_key_size
   
   
   !--- This generates an RSA key and enables the SSH server.
   
   

   

   註：建議的最小RSA金鑰大小為1024。

3. 在AP上配置使用者身份驗證。

   在AP上，可以將使用者身份驗證配置為使用本地清單或外部身份驗證、授權和記帳(AAA)伺服器。此範例使用本地產生的清單對使用者進行驗證：

   Test<config>#aaa new-model
   
   !--- Enable AAA authentication.
   
   Test<config>#aaa authentication login default local none
   
   !--- Use the local database in order to authenticate users.
   
   Test<config>#username Test password Test123
   
   !--- Configure a user with the name "Test".
   
   Test<config>#username ABC password xyz123
   
   !--- Configure a second user with the name "Domain".
   
   

   此配置將AP配置為使用在AP上配置的本地資料庫執行基於使用者的身份驗證。該示例在本地資料庫中配置兩個使用者：「測試」和「ABC」。 

4. 配置SSH引數

   Test<config>#ip ssh {[timeout seconds] | [authentication-retries integer]}
   
   !--- Configure the SSH control variables on the AP.
   
   

   

   註：可以指定超時時間（秒），但不能超過120秒。預設值為120。這是適用於SSH協商階段的規範。您還可以指定身份驗證重試次數，但不會超過五次身份驗證重試。預設值為3。

GUI配置

您還可以使用GUI在AP上啟用基於SSH的訪問。

逐步說明

請完成以下步驟：

1. 通過瀏覽器登入到AP。

   此時將顯示「彙總狀態」視窗。

2. 在左側選單中按一下Services。

   將顯示「服務摘要」視窗。

3. 按一下「Telnet/SSH」以啟用和設定Telnet/SSH引數。

   此時將顯示「服務：Telnet/SSH」視窗。向下滾動到Secure Shell Configuration區域。按一下Secure Shell旁的Enable，然後輸入SSH引數，如以下示例所示：

   此示例使用以下引數：

   • 系統名稱：測試

   • 域名：域

   • RSA金鑰大小：1024

   • 身份驗證超時：120

   • 身份驗證重試次數：3

4. 按一下「Apply」以儲存變更。

驗證

使用本節內容，確認您的組態是否正常運作。

輸出直譯器工具(OIT)支援某些show 命令。使用OIT檢視show 命令輸出的分析。

• show ip ssh — 驗證AP上是否啟用了SSH，並使您能夠檢查AP上運行的SSH版本。以下輸出提供範例：

• show ssh — 使您能夠檢視SSH伺服器連線的狀態。以下輸出提供範例：

現在，通過運行第三方SSH軟體的PC啟動連線，然後嘗試登入到AP。此驗證使用AP IP地址10.0.0.2。由於您已配置使用者名稱Test，請使用此名稱通過SSH訪問AP:

疑難排解

使用本節內容，對組態進行疑難排解。

如果您的SSH配置命令被拒絕為非法命令，則您尚未成功為AP生成RSA金鑰對。 

禁用SSH

為了在AP上禁用SSH，您必須刪除AP上生成的RSA對。若要刪除RSA配對，請在全域性配置模式下發出crypto key zeroize rsa命令。刪除RSA金鑰對時，將自動禁用SSH伺服器。以下輸出提供範例：

相關資訊

• 安全殼層(SSH)支援頁面
• 思科技術支援與下載