如何在思科交换机上启用SSH?

📅 发布时间:2026/7/3 11:51:41 👁️ 浏览次数:
如何在思科交换机上启用SSH?
为什么突然讲这个?因为上个月我们审计发现,还有几台核心交换机仍只开放Telnet!Telnet明文传输账号密码,在如今勒索病毒横行的时代,简直是把大门敞开给攻击者。SSH不仅加密传输,还支持密钥认证、多因素、端口跳跃等高级防护,是每一位网络工程师必须掌握的“保命技能”。传统思科交换机出厂默认支持Telnet,这在10年前没问题。但现在呢?Telnet:明文传输,Wireshark一抓就能看到用户名密码。SSH:基于RSA/ECDSA加密,至少128位密钥,传输全程加密。企业合规要求(等保2.0、ISO27001、GDPR)明确禁止明文管理协议。2024-2025年多起勒索病毒事件,就是因为交换机被Telnet爆破后作为跳板入侵核心系统。启用SSH后,我们还能实现:SSH v2(禁用v1,防中间人攻击)密钥登录(无密码)VTY ACL限制仅公司IP段可登录AAA集成域账号(与AD/ Radius对接)一句话:不启用SSH = 自掘坟墓。启用SSH的前置条件检查在开始配置前,必须满足以下条件,否则会报错:交换机型号与IOS版本:Catalyst 2960/3560/