帮助配置Cisco路由器

Question

由于Cisco路由器和交换机配置错误，我的网络中出现了一些问题。请给我一些建议或解决方案，以解决这些漏洞和配置问题。

1. 漏洞名称: SSH模式密码启用描述: CBC模式密码在SSH服务器解决方案上启用:禁用CBC模式密码并使用Ciphers
2. 漏洞名称: SSH不安全HMAC算法启用描述:不安全HMAC算法启用解决方案:禁用任何96位HMAC算法，禁用任何基于MD5的HMAC算法。

Answer 1

编辑不再准确参考

下面的答案

没有办法在Cisco路由器上强制执行此操作。要强化您的设置，唯一可以做的事情是至少通过运行以下命令禁用SSHv1：

#ip ssh version 2

然而，这仍然不会禁用CBC和96位HMAC/MD5算法。Cisco不提供微调SSH服务器的能力。唯一能做的就是将a连接强制到服务器，而服务器不使用上述任何算法。请注意，客户端需要这样做，服务器不能强迫客户端这样做。

在这里，您可以看到Cisco路由器上的SSH客户端有哪些选项可以启动SSH连接：

ssh [-v {1 | 2} |-c {aes128-ctr |aes192-ctr|aes256-ctr |aes128-cbc | 3des-cbc | aes192-cbc | aes256-cbc} |-l user-id | -l user-id:vrf-name number ip-address ip-address | -l user-id:rotary number ip-address | -m {hmac-md5 | hmac-md5-96 | hmac-sha1 | hmac-sha1-96} | -o numberofpasswordprompts n | -p port-num] {ip-addr | hostname} [command | -vrf] 

Answer 2

一个添加功能的功能请求似乎已经解决。在最近的IOS发布，添加了该功能。

在(非常)最新的IOS版本(可能仅限于某些trains，文档非常稀少)上，您应该能够：

> enable
# configure terminal
(config)# ip ssh server algorithm encryption aes128-ctr aes192-ctr aes256-ctr
(config)# ip ssh server algorithm mac hmac-sha1

你可能想问一下"?“如果已经有了更好的选择，特别是在使用我的列表之前.

不直接相关，但您可能也希望在配置中这样做：

(config)# ip ssh version 2

ip ssh server algorithm hostkey也存在，似乎相当于OpenSSH的PubkeyAcceptedKeyTypes选项。

SSH配置指南 (有趣的是，主命令列表中还没有这些命令.)

Answer 3

您可能需要升级您的IOS tot最新版本，并检查IOS对强密码套件的支持。