如何在思科交换机上启用SSH?
为什么突然讲这个?因为上个月我们审计发现,还有几台核心交换机仍只开放Telnet!Telnet明文传输账号密码,在如今勒索病毒横行的时代,简直是把大门敞开给攻击者。SSH不仅加密传输,还支持密钥认证、多因素、端口跳跃等高级防护,是每一位网络工程师必须掌握的“保命技能”。
传统思科交换机出厂默认支持Telnet,这在10年前没问题。但现在呢?
Telnet:明文传输,Wireshark一抓就能看到用户名密码。
SSH:基于RSA/ECDSA加密,至少128位密钥,传输全程加密。
企业合规要求(等保2.0、ISO27001、GDPR)明确禁止明文管理协议。
2024-2025年多起勒索病毒事件,就是因为交换机被Telnet爆破后作为跳板入侵核心系统。
启用SSH后,我们还能实现:
- SSH v2(禁用v1,防中间人攻击)
- 密钥登录(无密码)
- VTY ACL限制仅公司IP段可登录
- AAA集成域账号(与AD/ Radius对接)
一句话:不启用SSH = 自掘坟墓。
启用SSH的前置条件检查
在开始配置前,必须满足以下条件,否则会报错:
- 交换机型号与IOS版本:
Catalyst 2960/3560/