文章摘要:
本文提供将管理访问限制为使用 HTTPS 和 SSH 的必要步骤。
此过程需要使用命令行界面 (CLI)。可以通过利用串行或Telnet会话来实现此过程。但是,如果使用 Telnet,则必须遵循这些步骤操作,以防止无意中阻止对远程管理的访问。
此过程假定:
- 交换机已配置了IP地址,并且可在网络中访问。
- 存在一个使用权限级别15创建的帐户。 要进行验证,请使用命令:console#show users accounts
注:完成这些步骤后,您可能会收到有关正版证书的错误。这是由于证书和密钥是自生成的。这不是错误。
警告:在禁用Telnet或HTTP访问之前,请验证SSH或HTTPS访问。
注:如果已启用SSH或HTTPS,并且需要禁用Telnet和HTTP,请跳至步骤3以禁用Telnet和步骤5以禁用HTTP。
- 通过CLI连接到交换机
- 要启用SSH,请输入以下命令:
- console>enable
- console#config
- console(config)#crypto key generate rsa
- console(config)#crypto key generate dsa
- console(config)#ip ssh server
- 要禁用Telnet,请输入:console(config)#no ip telnet server
- 要启用HTTPS,请输入以下命令:
- console(config)# console(config)#crypto certificate 1 generate key-generate
- console(config)#ip https certificate 1
- console(config)# ip https server
注:此系统能够生成和存储 2 个证书。要生成第二个密钥,请将数字1替换为2。要激活第二个密钥,请使用(config)#ip https certificate 2。
- 要禁用HTTP,请输入:console(config)# no ip http server
- 通过SSH或HTTPS验证连接后,请输入以下命令保存配置:console#copy running-config startup-config