远程登录是管理思科路由器的基本方式之一，主要包括Telnet和SSH两种协议。本文将详细介绍这两种远程登录方式的配置方法。

一、Telnet远程登录配置

1. 基本Telnet配置步骤

1. ​​进入全局配置模式​​ Router> enable Router# configure terminal Router(config)#
2. ​​配置VTY线路​​ Router(config)# line vty 0 4 Router(config-line)# password cisco123 # 设置Telnet登录密码 Router(config-line)# login Router(config-line)# transport input telnet Router(config-line)# exit
3. ​​设置特权模式密码（可选但推荐）​​ Router(config)# enable secret cisco456
4. ​​配置接口IP地址（确保网络可达）​​ Router(config)# interface fastethernet 0/0 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit
5. ​​保存配置​​ Router# write memory

2. 高级Telnet配置

• ​​限制Telnet访问源IP​​ Router(config)# access-list 10 permit 192.168.1.100 Router(config)# line vty 0 4 Router(config-line)# access-class 10 in
• ​​设置Telnet超时时间​​ Router(config-line)# exec-timeout 30 0 # 30分钟0秒无操作后断开

二、SSH远程登录配置

SSH比Telnet更安全，推荐在生产环境中使用。

1. 基本SSH配置步骤

1. ​​配置主机名和域名（必需）​​ Router(config)# hostname R1 R1(config)# ip domain-name example.com
2. ​​生成RSA密钥（密钥长度至少768位）​​ R1(config)# crypto key generate rsa The name for the keys will be: R1.example.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024
3. ​​配置SSH版本​​ R1(config)# ip ssh version 2 # 使用SSH版本2
4. ​​配置VTY线路使用SSH​​ R1(config)# line vty 0 4 R1(config-line)# transport input ssh R1(config-line)# login local R1(config-line)# exit
5. ​​创建本地用户（替代线路密码）​​ R1(config)# username admin privilege 15 secret Admin@123
6. ​​配置SSH超时和认证重试次数​​ R1(config)# ip ssh time-out 60 R1(config)# ip ssh authentication-retries 3
7. ​​保存配置​​ R1# write memory

2. 高级SSH配置

• ​​限制SSH访问源IP​​ R1(config)# access-list 20 permit 192.168.1.100 R1(config)# line vty 0 4 R1(config-line)# access-class 20 in
• ​​禁用Telnet，仅允许SSH​​ R1(config)# line vty 0 4 R1(config-line)# transport input ssh R1(config-line)# no transport input telnet

三、验证远程登录配置

1. 验证Telnet配置

• ​​检查VTY线路配置​​ R1# show running-config | section line vty
• ​​测试Telnet连接​​
  从另一台设备尝试Telnet: telnet 192.168.1.1

2. 验证SSH配置

• ​​检查SSH状态​​ R1# show ip ssh SSH Enabled - version 2.0 Authentication timeout: 60 secs; Authentication retries: 3
• ​​查看生成的RSA密钥​​ R1# show crypto key mypubkey rsa
• ​​测试SSH连接​​
  从另一台设备尝试SSH: ssh -l admin 192.168.1.1

四、常见问题解决

1. ​​无法建立Telnet连接​​
   • 检查接口状态：show ip interface brief
   • 检查ACL是否阻止：show access-list
   • 检查VTY线路配置：show running-config | section line vty
2. ​​SSH连接失败​​
   • 确认已生成RSA密钥
   • 检查域名和主机名是否配置
   • 确认SSH版本支持：show ip ssh
   • 检查本地用户账户是否存在
3. ​​连接后无法进入特权模式​​
   • 确认已配置enable密码：show running-config | include enable secret

五、安全建议

1. 在生产环境中始终使用SSH而非Telnet
2. 使用强密码（包含大小写字母、数字和特殊字符）
3. 限制远程登录的源IP地址
4. 定期更换密码和密钥
5. 考虑使用AAA服务器进行集中认证

通过以上配置，您可以安全有效地管理思科路由器的远程登录功能。