安全殼層(SSH)常見問題

下載選項

  • PDF     (280.1 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (98.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (99.9 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2016 年 8 月 31 日
文件 ID:19143

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文回答與Secure Shell(SSH)相關的最常見問題(FAQ)。 Cisco IOS® SSH代碼是Cisco原始代碼。 

如何配置SSH終端線路訪問(也稱為反向telnet)?

此指令首先在Cisco IOS軟體版本12.2.2.T的某些平台上匯入。

Router(config)#line line-number [ending-line-number] 
Router(config-line)#no exec 
Router(config-line)#login {local | authentication listname 
Router(config-line)#rotary group 
Router(config-line)#transport input {all | ssh} 
Router(config-line)#exit 
Router(config)#ip ssh port portnum rotary group 


!--- Line 1 SSH Port Number 2001

line 1
   no exec
   login authentication default
   rotary 1
   transport input ssh

!--- Line 2 SSH Port Number 2002

line 2
   no exec
   login authentication default
   rotary 2
   transport input ssh

!--- Line 3 SSH Port Number 2003

line 3
   no exec
   login authentication default
   rotary 3
   transport input ssh
 
ip ssh port 2001 rotary 1 3

安裝和升級指南

ip ssh port
	ip ssh port portnum rotary group

	no ip ssh port portnum rotary group

  • portnum — 指定SSH需要連線的埠,例如2001。

  • rotary group — 指定需要搜尋有效名稱的已定義的rotary。

Catalyst 2900是否支援SSH?

不,不是。

如何確定哪些平台和代碼版本支援SSH?

請參閱功能導航器(僅限註冊客戶)並指定SSH功能。

當我嘗試從路由器中刪除某些SSH命令時,它會繼續要求我建立RSA金鑰以啟用SSH。為什麼會這樣?

此問題的示例如下所示:

804#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
804(config)#no ip ssh time-out 120
Please create RSA keys to enable SSH.
804(config)#no ip ssh authen
Please create RSA keys to enable SSH.
804(config)

您遇到Cisco錯誤ID CSCdv70159(僅限註冊客戶)。

Cisco IOS SSH版本2是否支援數位簽章標準(DSS)?

Cisco IOS SSH版本2不支援DSS。

Cisco IOS SSH伺服器是否支援代理轉發?

Cisco IOS SSH不支援代理轉發。它可與所有商業SSH實現互操作。

Cisco IOS SSH伺服器支援哪些客戶端身份驗證機制?

Cisco IOS SSH版本2(SSHv2)支援鍵盤互動和基於密碼的身份驗證方法。除了這些身份驗證方法外,針對RSA金鑰的SSHv2增強功能(在Cisco IOS軟體版本15.0(1)M及更高版本中提供)還支援客戶端和伺服器的基於RSA的公鑰身份驗證。有關Cisco IOS SSH伺服器支援的身份驗證機制的其他資訊,請參閱安全外殼版本2支援

Local:錯誤是什麼?輸入上的損壞檢查位元組是否表示?

損壞的校驗位元組表示收到的SSH資料包未通過完整性檢查。這通常是因為解密不正確。這也是由於使用的金鑰不正確。金鑰不正確的原因是丟棄了加密的SSH資料包。您已經捨棄了應該已傳送的加密封包,或者捨棄了接收到的應該已解密的加密封包。

Cisco IOS是否支援使用Blowfish密碼的SSH?

Cisco IOS不支援使用Blowfish密碼的SSH。當SSH客戶端傳送此類不受支援的密碼時,路由器顯示SSH客戶端傳送不受支援(Blowfish)密碼中提到的調試消息。

在配置模式下使用crypto key generate rsa命令在路由器上嘗試生成SSH訪問的RSA金鑰時,我收到以下錯誤:%「^」標籤處檢測到無效輸入..它不允許路由器生成RSA金鑰以啟用路由器的SSH訪問。如何解決此錯誤?

當路由器上使用的映像不支援crypto key generate rsa命令時,會出現此錯誤。此命令僅在安全映像中受支援。為了解決此錯誤,請使用所用Cisco IOS路由器相應系列的安全映像。

加密映像是否支援強加密以便將SSH與密碼(如3DES或AES)一起使用?

會。只有加密映像支援強式密碼。若要將SSH與密碼(例如3DES或AES)一起使用,您的思科裝置上必須擁有加密映像。

當我嘗試在路由器上配置SSH時,日誌中會顯示以下消息:SSH2 13:RSA_sign:找不到私鑰,SSH2 13:簽名建立失敗,狀態–1。如何解決此問題?

之所以會出現這些日誌消息,是因為Cisco錯誤ID為CSCsa83601(僅註冊客戶)和CSCtc4114(僅註冊客戶)。 如需詳細資訊,請參閱這些錯誤。

相關資訊

TAC Authored

由思科工程師貢獻

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品