# 思科交换机远程登录配置:Telnet 和 SSH
## Telnet 配置
Telnet 是一种不加密的远程登录协议,配置简单但不安全,适用于内部可信网络环境。
### 基本配置步骤:
1. **进入配置模式**:
```
enable
configure terminal
```
2. **配置VTY线路**:
```
line vty 0 15
password [设置密码]
login
transport input telnet
exit
```
3. **设置特权模式密码(可选但推荐)**:
```
enable secret [特权密码]
```
4. **配置管理接口IP地址**:
```
interface vlan 1
ip address [IP地址] [子网掩码]
no shutdown
exit
```
5. **保存配置**:
```
write memory
```
## SSH 配置
SSH 是加密的远程登录协议,安全性高,推荐在生产环境中使用。
### 基本配置步骤:
1. **配置主机名和域名(必需)**:
```
configure terminal
hostname [交换机名称]
ip domain-name [域名]
```
2. **生成RSA密钥(密钥长度至少768位,推荐2048)**:
```
crypto key generate rsa
```
3. **配置SSH版本(推荐使用v2)**:
```
ip ssh version 2
```
4. **配置SSH超时和认证重试次数**:
```
ip ssh time-out 60
ip ssh authentication-retries 3
```
5. **配置VTY线路使用SSH**:
```
line vty 0 15
transport input ssh
login local
exit
```
6. **创建本地用户账户**:
```
username [用户名] privilege 15 secret [密码]
```
7. **启用AAA认证(可选但推荐)**:
```
aaa new-model
aaa authentication login default local
```
8. **保存配置**:
```
write memory
```
## 安全建议
1. **优先使用SSH**:在生产环境中始终使用SSH而非Telnet
2. **禁用Telnet**:配置SSH后,应禁用Telnet:
```
line vty 0 15
no transport input telnet
transport input ssh
```
3. **使用ACL限制访问**:只允许特定管理主机的IP地址访问
4. **定期更换密码**:特别是特权模式密码
5. **启用日志记录**:监控登录尝试
## 验证命令
- 检查SSH配置:`show ip ssh`
- 检查活动SSH会话:`show ssh`
- 检查VTY线路配置:`show running-config | section line vty`
- 测试SSH连接:从客户端尝试 `ssh -l [用户名] [交换机IP]`
通过以上配置,您可以根据安全需求选择Telnet或SSH来管理思科交换机。
