SSH jest zarówno protokołem, jak i aplikacją, która zastępuje Telnet i zapewnia zaszyfrowane połączenie do zdalnego administrowania urządzeniem sieciowym Cisco, takim jak router, przełącznik lub urządzenie zabezpieczające.
System Cisco IOS obejmuje zarówno serwer SSH, jak i klienta SSH. Ten dokument dotyczy tylko konfiguracji komponentu serwera SSH.
Wymagania wstępne
Oprogramowanie
Składnik serwera SSH wymaga posiadania obrazu oprogramowania szyfrującego IPSec (DES lub 3DES) z Cisco IOS Release 12.1 (1) T lub nowszego zainstalowanego na routerze. Obrazy zaawansowanych usług IP zawierają komponent IPSec. Ten dokument został napisany przy użyciu c2800nm-advipservicesk9-mz.123-14.T5.bin.
Konfiguracja SSH w Cisco Router
Wstępna konfiguracja
Musisz skonfigurować nazwę hosta i nazwę domeny na routerze. Na przykład:
router #
router # conf t
Wprowadź komendy konfiguracyjne, po jednym w wierszu. Koniec z CNTL / Z.
router01 (config) #hostname router01
router01 (config) #ip nazwa-domeny soundtraining.net
Musisz również wygenerować klucz RSA dla routera, który automatycznie włącza SSH. W poniższym przykładzie zwróć uwagę, jak nazwa pary została nazwana dla kombinacji nazwy hosta i nazwy domeny, które zostały wcześniej skonfigurowane. Moduł reprezentuje długość klucza. Cisco zaleca minimalną długość klucza wynoszącą 1024 bity (nawet jeśli domyślna długość klucza wynosi 512 bitów):
router01 (config) #
router01 (config) #crypto key generate rsa
Nazwa kluczy będzie brzmiała: router01.soundtraining.net
Wybierz rozmiar modułu klucza w zakresie od 360 do 2048 dla klucza ogólnego przeznaczenia. Wybór klucza większego niż 512 może potrwać kilka minut.
Ile bitów w module [512]: 1024
% Generowanie 1024-bitowych kluczy RSA ... [OK]
Na koniec musisz użyć serwera AAA, takiego jak serwer RADIUS lub TACACS +, lub utworzyć lokalną bazę użytkowników, aby uwierzytelnić użytkowników zdalnych i włączyć uwierzytelnianie na liniach terminalowych. Na potrzeby tego dokumentu utworzymy lokalną bazę użytkowników na routerze. W poniższym przykładzie użytkownik :donc: został utworzony z poziomem uprawnień wynoszącym 15 (maksymalne dozwolone) i otrzymał zaszyfrowane hasło :p @ ss5678:. (Polecenie :secret:, a następnie :0: mówi routerowi, aby zaszyfrować następujące hasło w postaci zwykłego tekstu.) W konfiguracji uruchomionego routera hasło nie byłoby możliwe do odczytania przez człowieka.) Użyliśmy także trybu konfiguracji linii, aby poinformować router o użyciu lokalnego baza danych użytkownika do uwierzytelniania (logowanie lokalne) na liniach zacisków 0-4.
router01 (config) #username uprawnienie donc 15 secret 0 p @ ss5678
router01 (config) #line vty 0 4
router01 (config-line) #login lokalny
Włączanie SSH
Aby włączyć SSH, musisz poinformować router, którego klucza ma używać. Opcjonalnie można skonfigurować wersję SSH (domyślnie jest to SSH wersja 1), wartości limitu czasu uwierzytelniania i kilka innych parametrów. W poniższym przykładzie powiedzieliśmy routerowi, aby użył wcześniej utworzonego klucza i użył SSH w wersji 2:
router01 (config) #
router01 (config) #ip ssh wersja 2
router01 (config) #ip ssh rsa keypair-name router01.soundtraining.net
Możesz teraz bezpiecznie zalogować się do routera przy użyciu klienta SSH, takiego jak TeraTerm.
Przeglądanie konfiguracji i połączeń SSH
Możesz użyć poleceń trybu uprzywilejowanego :view ssh: i :view ip ssh:, aby wyświetlić konfiguracje SSH i połączenia (jeśli są). W poniższym przykładzie konfiguracja SSHv1 z routera Cisco 871 jest weryfikowana przy użyciu :show ip ssh:, a pojedyncze połączenie SSHv1 jest wyświetlane za pomocą polecenia :show ssh:. Zauważ, że nie włączono SSHv2 na tym routerze, więc domyślnie ustawiono SSH w wersji 1.99. Zwróć także uwagę na wynik polecenia :show ssh:, że SSH w wersji 1 domyślnie jest 3DES. SSHv2 obsługuje AES, bardziej niezawodną i wydajną technologię szyfrowania. SSHv2 również nie podlega takim samym atakom bezpieczeństwa jak SSHv1. soundtraining.net zaleca użycie SSHv2 i wyłączenie powrotu do SSHv1. Włączenie SSHv2 wyłącza SSHv1. Ten przykład został uwzględniony tylko w celu wykazania kompatybilności wstecznej:
router04 #
router04 # show ip ssh
Włączono SSH - wersja 1.99
Limit czasu uwierzytelniania: 120 sekund; Próby uwierzytelnienia: 3
router04 #
router04 # pokaż ssh
Nazwa użytkownika stanu szyfrowania wersji połączenia
2 1.5 Sesja 3DES rozpoczęła donc
% Brak połączeń serwera SSHv2.
router04 #
Możesz także użyć polecenia :debuguj ip ssh:, aby rozwiązać problemy z konfiguracjami SSH.