在接入点(AP)上启用安全外壳(SSH)

简介

本文档介绍如何配置接入点(AP)以启用基于Secure Shell(SSH)的访问。

先决条件

要求

尝试进行此配置之前，请确保满足以下要求：

• 了解如何配置Cisco Aironet AP

• SSH及相关安全概念的基础知识

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 运行Cisco IOS®软件版本12.3(8)JEB的Aironet 1200系列AP

• 具有SSH客户端实用程序的PC或笔记本电脑

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

访问Aironet AP上的命令行界面(CLI)

您可以使用以下任何方法访问Aironet AP上的命令行界面(CLI):

• 控制台端口

• Telnet

• SSH

如果AP具有控制台端口，并且您可以实际访问AP，则可以使用控制台端口登录到AP，并在必要时更改配置。有关如何使用控制台端口登录到AP的信息，请参阅文档首次配置接入点的“本地连接到1200系列接入点”部分。

如果只能通过以太网访问AP，请使用Telnet协议或SSH协议登录到AP。

Telnet协议使用端口23进行通信。Telnet以明文传输和接收数据。由于数据通信以明文形式进行，因此黑客很容易入侵密码并访问AP。  RFC 854定义Telnet，并通过许多其他RFC的选项扩展Telnet。

SSH是一种应用和协议，可安全替代Berkley r-tools。SSH是一种提供到第2层或第3层设备的安全远程连接的协议。SSH有两个版本：SSH第1版和SSH第2版。此软件版本支持两个SSH版本。如果不指定版本号，则AP默认为版本2。

SSH比Telnet为远程连接提供了更高的安全性，因为它在设备通过身份验证时提供了强加密。与Telnet会话相比，这种加密是一种优势。在Telnet会话中，通信以明文进行。有关SSH的详细信息，请参阅安全外壳(SSH)常见问题。SSH功能具有SSH服务器和SSH集成客户端。

客户端支持以下用户身份验证方法：

• RADIUS 

• 本地身份验证和授权。 

您可以使用CLI或GUI为SSH配置AP。本文档介绍了两种配置方法。

配置

CLI 配置

本节提供有关如何使用CLI配置功能的信息。

逐步指导

要在AP上启用基于SSH的访问，必须先将AP配置为SSH服务器。要从CLI在AP上配置SSH服务器，请执行以下步骤：

1. 为AP配置主机名和域名。

   AP#configure terminal
   
   !--- Enter global configuration mode on the AP.
   
   AP<config>#hostname Test
   
   !--- This example uses "Test" as the AP host name.
   
   Test<config>#ip domain name domain
   
   !--- This command configures the AP with the domain name "domain name".
   
   

2. 为AP生成Rivest、Shamir和Adelman(RSA)密钥。

   生成RSA密钥会在AP上启用SSH。在全局配置模式下发出以下命令：

   Test<config>#crypto key generate rsa rsa_key_size
   
   
   !--- This generates an RSA key and enables the SSH server.
   
   

   

   注意：建议的最小RSA密钥大小为1024。

3. 在AP上配置用户身份验证。

   在AP上，可以将用户身份验证配置为使用本地列表或外部身份验证、授权和记帐(AAA)服务器。此示例使用本地生成的列表对用户进行身份验证：

   Test<config>#aaa new-model
   
   !--- Enable AAA authentication.
   
   Test<config>#aaa authentication login default local none
   
   !--- Use the local database in order to authenticate users.
   
   Test<config>#username Test password Test123
   
   !--- Configure a user with the name "Test".
   
   Test<config>#username ABC password xyz123
   
   !--- Configure a second user with the name "Domain".
   
   

   此配置将AP配置为使用在AP上配置的本地数据库执行基于用户的身份验证。示例在本地数据库中配置两个用户，即“Test”和“ABC”。 

4. 配置SSH参数

   Test<config>#ip ssh {[timeout seconds] | [authentication-retries integer]}
   
   !--- Configure the SSH control variables on the AP.
   
   

   

   注意：您可以指定超时（以秒为单位），但不要超过120秒。默认值为120。这是适用于SSH协商阶段的规范。您还可以指定身份验证重试次数，但不会超过五次身份验证重试。默认值为3。

GUI 配置

您还可以使用GUI在AP上启用基于SSH的访问。

逐步指导

完成这些步骤：

1. 通过浏览器登录到AP。

   系统随即会显示“摘要状态”窗口。

2. 在左侧菜单中单击Services。

   系统随即会显示“服务摘要”窗口。

3. 单击Telnet/SSH以启用和配置Telnet/SSH参数。

   服务:Telnet/SSH窗口显示。向下滚动到Secure Shell Configuration区域。单击Secure Shell旁边的Enable，然后使用以下参数输入SSH参数（如以下示例所示）：

   • 系统名称:测试

   • 域名：域

   • RSA密钥大小：1024

   • Authentication timeout:120

   • 身份认证重试：3

4. 单击 Apply 以保存更改。

验证

使用本部分可确认配置能否正常运行。

输出解释程序工具(OIT)支持某些show命令。使用 OIT 可查看对 show 命令输出的分析。

• show ip ssh — 验证AP上是否启用了SSH，并使您能够检查AP上运行的SSH版本。此输出提供了一个示例。

• show ssh — 用于查看SSH服务器连接的状态。此输出提供了一个示例。

现在，通过运行第三方SSH软件的PC发起连接，然后尝试登录到AP。此验证使用AP IP地址10.0.0.2。由于您已配置用户名Test，请使用此名称以通过SSH访问AP:

故障排除

使用本部分可排除配置故障。

如果您的SSH配置命令被拒绝为非法命令，则您尚未成功为AP生成RSA密钥对。 

禁用SSH

要在AP上禁用SSH，必须删除AP上生成的RSA对。要删除RSA对，请在全局配置模式下发出crypto key zeroize rsa命令。删除RSA密钥对时，会自动禁用SSH服务器。此输出提供了一个示例。

相关信息

• 安全外壳(SSH)支持页
• 思科技术支持和下载