作為網絡管理員的我們是如何管理企業網絡的核心設備——路由器和交換機的呢？如果路由交換設備沒有圖形化管理界面我們使用什么命令去連接到他的管理控制臺呢？恐怕99%的讀者會說采取telnet的方式。然而這種連接方式真的是安全的嗎？答案是否定的，只有我們配置了SSH連接路由交換設備才能實現真正意義上的安全。本文筆者介紹如何在自己的路由交換設備上配置SSH服務，以打造最最安全的路由交換設備。通過SSH連接路由器所傳輸的任何數據都是經過加密的，非法用戶無法通過sniffer等工具進行解密。

一、什么是SSH？
什么是SSH呢？SSH的英文全稱是Secure Shell，是由芬蘭的一家公司開發的。SSH由客戶端和服務端的軟件組成，有1.x和2.x兩個不兼容的版本。SSH的功能強大，既可以代替Telnet，又可以為FTP、POP3和PPP提供一個安全的“通道”。使用SSH可以把傳輸的所有數據進行加密。即使有人截獲到數據也無法得到有用的信息。同時數據經過壓縮，大大地加快了傳輸的速度。

二、如何在路由交換設備上設置SSH服務：
下面就為各位讀者介紹如何在CISCO路由器上配置SSH服務。筆者使用的是GSR 12008，所以以他為例介紹SSH-1的配置方法。

小提示：在Cisco路由器產品系列中只有7200系列，7500系列和12000系列（GSR）等高端產品的IOS支持SSH。一般支持SSH的IOS版本文件名中都帶有K3或者K4字樣，K3代表56bit SSH加密，K4代表168bit SSH加密。目前Cisco的產品都只支持SSH-1，還不支持SSH-2。對于默認不支持SSH的設置例如6509我們可以通過升級IOS來解決。

第一步：配置主機名（hostname）和ip地址的域名（domain-name）
Router#configure terminal
//進入配置模式
Router(config)#hostname softer
//設置路由器主機名為softer
softer(config)#ip domain-name softer.com
//設置IP地址的域名為softer.com。

第二步：配置登錄用戶名和密碼（以本地認證為例）
softer(config)#username softer password 0 111111
//添加一個用戶,用戶名為softer,密碼為111111。
softer(config)#line vty 0 4
//設置容許這個用戶通過網絡遠程管理
softer(config-line)#login local
//設置本地登錄路由器需要輸入用戶名和密碼才行，默認的只需要輸入密碼，使用用戶驗證的方式能夠更好的管理路由器。

小提示：在輸入login local命令時要特別注意，筆者就曾經過于著急的輸入這個命令造成無法登錄路由器了。因為一旦輸入這個login local命令后登錄路由器就必須輸入用戶名和密碼兩條信息了。

第三步：配置SSH服務
softer(config)#crypto key generate rsa
設置SSH連接的關鍵字，一般來說關鍵字就是主機名和域名結合而來的，例如本例主機名為softer,域名為softer.com。那么這個關鍵字就是softer.softer.com

接著會出現英文提示——How many bits in the modulus [512]:
這是讓我們選擇加密位數，用默認的512就行了。

softer(config)#end
結束SSH服務設置

softer#write
保存設置到start文件中。

第四步：檢查SSH設置
如何檢查SSH是否設置成功了呢？使用命令“show ip ssh”即可。會顯示出如下信息。
SSH Enabled-version 1.5
Authentication timeout: 120 secs
Authentication retries: 3

這就表明SSH服務已經啟動。

小提示：如果我們希望將已經啟動的SSH服務關閉的話，可以輸入用以下命令softer(config)#crypto key zeroize rsa

第五步：設置SSH參數
配置好SSH之后，通過show run命令我們可以看到SSH默認的參數，其中超時限定為120秒，認證重試次數為3次，當然我們還可以通過下面命令進行修改。

softer(config)#ip ssh {[time-out seconds]} | [authentication-retries interger]}

例如如果要把超時限定改為180秒，則應該用softer(config)#ip ssh time-out 180命令；如果要把重試次數改成5次，則應該用softer(config)#ip ssh authentication-retries 5命令。

經過更加具體的配置后SSH就已經在路由器上成功建立了，用戶就能夠通過SSH進行安全登錄了。

三、在客戶機上登錄開啟SSH服務的路由交換設備：
路由器上啟用了SSH服務后還需要在客戶機上安裝SSH工具。網絡上提供SSH連接傳輸功能的工具比較多，有興趣的讀者可以自行搜索并下載安裝。筆者只介紹一個小巧的SSH客戶端工具——WiSSH。

WiSSH小檔案：
軟件版本： Standard Edition V2.60
軟件大小：  3215 KB
軟件語言：  英文
軟件類別：  共享軟件
應用平臺：  Win9x/NT/2000/XP/2003
下載地址：
http://count.skycn.com/softdownload.php?id=18218&url=http://yncnc.driversky.com/down/se260_setup.exe

下載該軟件后直接安裝，然后啟動該軟件，選擇“LOGIN”標簽，輸入SSH服務器的IP地址，并且還需要輸入在上面建立的訪問用戶，用戶名為softer,密碼是111111。設置好后點“connect”按鈕連接即可。整個過程非常簡單，非常好上手。（如圖1）

四、總結：
使用SSH加密連接路由器后任何設置和命令都不會被黑客通過sniffer截獲了，一方面提高了企業路由器的安全，另一方面由于傳輸的數據得到了加密與壓縮，所以在速度上得到了一定的提升。