問題陳述

原核心層，分布層交換機遠程訪問配置為Telnet方式。因Telnet傳輸過程使用明文方式，在日趨嚴峻的安全威脅下，存在用戶名和密碼被截獲的高風險。一旦發生此類事件，將會導致整個網絡控制權被奪取。

解決方案

           SSH（Secure Shell）使用加密的傳輸方式，可以有效解決被直接嗅探的可能。為平衡加密速度和安全強度，我們建議把加密長度設置為1024位。同時，為保證在radius失效時可以登錄交換機，配置了備用的本地認證方式。

各類交換機型號

           目前公司環境，核心層和分佈層交換機主要有如下型號：

1. S9508

2. S8508

3. S7503

4. S6503

5. Q5024

6. Q5148

7. C4506

8. Q3026

H3C,huawei配置方法

rsa local-key-pair create        //配置加密长度为1024

local-user mitac

 password cipher xxxxx                    //配置本地密碼

 service-type lan-access

 service-type ssh

 level 1

ssh service-type default all    //s9508,s8508需配置此项，指定SSH的配置类型为stelnet,sftp,all.且远程配置时需先于protocol inbound ssh配置，不然无法登录

user-interface vty 0 4

 authentication-mode scheme

 user privilege level 1

 set authentication password cipher ^!HGD=[(V;+Q=^Q`MAF4<1!!

 protocol inbound ssh

ssh authentication-type default password

ssh server compatible-ssh1x enable        //配置SSH客户端兼容1.x版本

Cisco配置方法

crypto key generate rsa       //配置长度为1024

ip domain-name mitacad.com

line vty 0 4

transport input ssh

transport output ssh

本文出自 “Sim'blog” 博客，请务必保留此出处http://mitac.blog.51cto.com/1081911/1552776

啟用SSH強化核心層，分布層交換機訪問安全