Cisco ssh v2 настройка: SSH version 2 на Cisco

Содержание

Настройка Secure Shell на маршрутизаторах и коммутаторах

Настройка Secure Shell на маршрутизаторах и коммутаторах

Включаем аутентификацию по логину и паролю:
aaa new-model
Создаем пользователя:
username cisco password 0 cisco
Указываем откуда брать по умолчанию логин и пароль:
aaa authentication login default local
Указываем имя домена:
ip domain-name rtp.cisco.com
Создаеv SSH-ключ шифрованием 1024, который будет использоваться в SSH:
crypto key generate rsa
Определем параметры ssh:
Версия:
ip ssh version 2
Определяем время жизни сессии:
ip ssh time-out 60
Определяем количество неудачных попыток:
ip ssh authentication-retries 2
Запрещаем telnet и открываем ssh:
line vty 0 4
transport input ssh

exec
logging synchronous

На этой стадии команда show cry key mypubkey rsa должна продемонстрировать сгенерированный ключ. После добавления конфигурации SSH проверьте доступ к маршрутизатору с ПК или UNIX станции.
Команды debug и show

Прежде чем применять команды debug, описанные и продемонстрированные здесь, ознакомьтесь с разделом Важные сведения о командах отладки. Некоторые команды show поддерживаются средством Output Interpreter (только для зарегистрированных клиентов), которое позволяет просматривать и анализировать выходные данные команды show.

    • debug ip ssh – отображение сообщений отладки для SSH.
    • show ssh – отображение состояния соединений SSH-сервера.

#show ssh
Connection Version Encryption State Username
0 1.5 DES Session started cisco

  • show ip ssh – отображение версии и данных настройки для SSH.

Соединение версии 1 (для версии 2 не подходит)
#show ip ssh
SSH Enabled — version 1.5
Authentication timeout: 60 secs; Authentication retries: 2
Соединение версии 2 (для версии 1 не подходит)
#show ip ssh
SSH Enabled — version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
Соединения версий 1 и 2
#show ip ssh
SSH Enabled — version 1.99
Authentication timeout: 120 secs; Authentication retries: 3

Понравилось это:

Нравится Загрузка…

2018-11-01 Cisco route enable ssh version 2

Вот как включить SSH V2 в маршрутизаторе Cisco. Конечно, софт должен поддерживать.
Установить имя домена, сгенерировать ключи RSA

R2(config)#ip domain-name axing.com

R2(config)#ip ssh rsa keypair-name axingkey

Please create RSA keys to enable SSH (and of atleast 768 bits for SSH v2).

R2(config)#crypto key generate rsa usage-keys label axingkey modulus 1024

The name for the keys will be: axingkey

% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...

[OK] (elapsed time was 0 seconds)

% Generating 1024 bit RSA keys, keys will be non-exportable...

[OK] (elapsed time was 1 seconds)

R2(config)#

*Nov  1 12:00:14.249: %SSH-5-ENABLED: SSH 1.99 has been enabled

См. Подсказку, SSH включен. Обратите внимание, что ssh v2 требует, чтобы размер модуля превышал 768.

R2(config)#ip ssh version 2

R2(config)#ip ssh server algorithm encryption aes128-ctr aes192-ctr aes256-ct

R2(config)#ip ssh client algorithm encryption aes128-ctr aes192-ctr aes256-ct

R2#sh ip ssh

SSH Enabled - version 2.0

Authentication methods:publickey,keyboard-interactive,password

Encryption Algorithms:aes128-ctr,aes192-ctr,aes256-ctr

MAC Algorithms:hmac-sha1,hmac-sha1-96

Authentication timeout: 120 secs; Authentication retries: 3

Minimum expected Diffie Hellman key size : 1024 bits

IOS Keys in SECSH format(ssh-rsa, base64 encoded):

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQCtIiCe4Fxu8k+491+363nJithzRurAqUEauUcMfPRG

    7ZYGNowPoLIMihCWD+X0OsFRuurG7v6wxPFPmi4LefXRUZTIFsvpSfArfHqHfKDieY1PAMnmn8UpZ7Lj

cubFHhloETS7d8TrEhmdC7uhLiVJgHimLZN6Fcx6fS+9MINHbw==         

Другим необходимо настроить некоторые общие конфигурации, такие как локальные пользователи, адреса портов и т. Д., Вход vty для включения ssh

R2(config)#line vty 0 4

R2(config-line)#login local

R2(config-line)#transport input ssh

Сохрани это

R2#wr

Включаем SSH на маршрутизаторе Cisco

Попался в руки довоенный маршрутизатор Cisco 1841, на котором необходимо было поднять SSH доступ и запретить доступ по telnet.

Маршрутизатор Cisco хоть и «довоенный», но позволяет решить поставленную задачу.

Подключаемся консольным кабелем к нашему маршрутизатору Cisco и заходим на него через Putty.

Далее переходим в режим конфигурации:

enable
conf t

В режиме конфигурации обязательно нужно указать название устройства (hostname) и домен (domain-name):

hostname gw1-zsd
ip domain-name zavod.local

Далее создаем сертификат устройства. При создании мастер спросит о длине ключа (по умолчанию предлагая 512 Байт), нужно выбрать 1024:

crypto key generate rsa
% You already have RSA keys defined named gw1-zsd.zavod.local.
% Do you really want to replace them? [yes/no]: yes
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.
How many bits in the modulus [512]:
1024
% Generating 768 bit RSA keys, keys will be non-exportable...[OK]

Далее указываем, что предпочтительно использовать SSH версию 2:

ip ssh version 2

Для того, чтобы разрешить доступ к Cisco по SSH и исключить подключение по Telnet, выполняем:

line vty 0 4
login local
transport input ssh

Где:

  • input — доступ по консольному проводу;
  • ssh — доступ к Cisco по SSH.

выходим из режима конфигурации и сохраняем наш конфиг:

exit
write

В итоге у нас получится открыть доступ к маршрутизатору Cisco доступ по SSH версии 2.

Теги: cisco и SSH

Комментарии

Первоначальная настройка cisco — описание, пошаговые инструкции

Итак, к вам впервые в руки попала кошка, и вы не знаете с какой стороны к ней подойти — именно об этом пойдёт речь ниже.

1) Первое подключение делается через консольный провод — там всё стандартно — скорость 9600, да-нет-да-нет

2) Если кошка сброшена на заводские установки, то логин пароль в неё cisco/cisco — то есть вы подлючаетесь к ней вводите пароль cisco, видите что-то типа router> даёте команду повышения привилегий enable вводите опять пароль cisco и попадаете в систему уже с максимальными правами, о чём будет свидетельствовать знак решётки #

3) Следует помнить, что пароль cisco одноразовый и второй раз с ним вы уже не сможете войти. Потому первым делом делаете себе пользователя. Дабы избежать процедуры с enable ставим сразу максимальные привилегии

cisco(config)#username cisco privilege 15 secret cisco

тут cisco — это вначале логин а позже пароль
После этого в конфиге оно должно выглядеть так
username cisco privilege 15 secret 5 $1$s75k$fbK9JaJ8BGsRWh0UHAsRc0

Можно просто скопировать эту строчку и вставить в конфиг (задумайтесь о безопасности)
После того, как завели пользователю можно включить идентификацию
cisco(config)#aaa new-model

4) Теперь надо разрешить себе вход на циску, и это отдельная история в нескольких действах:
Перво-наперво файрвол. Доступ разрешаем только со своей машины. Это что бы потом обидно не было
cisco(config)#access-list 23 permit 10.10.10.252
где 10.10.10.252 — IP моего компьтера
Таких строк можно добавить несколько. Далее вот эту секцию приводим к такому виду
line vty 0 4
access-class 23 in
privilege level 15
logging synchronous
transport input telnet ssh line vty 5 15 access-class 23 in
privilege level 15
logging synchronous
transport input telnet ssh
Что мы тут видим
access-class 23 in — это список с нашими ИП адресами, кому можно подключаться
privilege level 15 — разрешаем подключение сразу с максимальными привилегиями
logging synchronous — удобство работы — командная строка будет пустая
transport input telnet ssh — разрешаем и telnet и ssh

5) Назначение IP Адреса. Мы должны определиться куда включим сеть и тому порту дать IP адрес. Как правило это статический адрес

cisco(config)#interface GigabitEthernet0/0
cisco(config-if)#ip address 10.10.10.251 255.255.255.0

Но можно назначить и динамический
cisco(config-if)#ip address dhcp

ну и, конечно же, посмотрим что у нас получилось
cisco#sh ip int br
Interface IP-Address OK? Method Status Protocol GigabitEthernet0/0 10.100.122.195 YES DHCP up up GigabitEthernet0/1 10.10.10.251 YES NVRAM up up
6) Лирическое отступление
Наверное следовало сказать об этом раньше, но скажу тут то, что вы уже заметили.
1) Иногда одни команды есть внутри других. это следует помнить, особенно когда вы даёте команду, а она не отрабатывает, и вы думаете что что-то не так — в первую очередь не так то место, где вы даёте эту команду.
2) Продолжая тему первого пункта следует отметить что бывают разные IOS (в старой модели лицензирования, а в новой активируются лицензии) и, скажем, на базовой версии команды голоса работать не будут.
3) У каждой длинной команды есть короткое имя. Например вы выпили enable а могли написать en — результат будет одинаковый. До скольки букв сокращается команда определяется тем, есть ли ещё команды, начинающиеся на эти буквы
4) Вводя первые буквы команды вы можете нажимать Tab и система будет дописывать команды за вас. Если этого не происходит — значит есть ещё команды, начинающиеся на это сочетание
5) Знак вопроса поможет вам в любой ситуации
cisco#sh?
shell show

или
cisco#show ?
aaa Show AAA values
access-expression List access expression access-lists List access lists acircuit Access circuit info

Но иногда бывает что надо написать знак вопроса, а система показывает справку — тут есть хитрость. Вы должны написать то, что до знака вопроса, потом нажать Ctrl+V и писать дальше, начиная со знака вопроса. То есть если перед вводом знака вопроса нажать Ctrl+V то система не будет выводить справку, а обработает его как текст

7) Настраиваем время
Установка часов. Это очень важно, ибо логи и всё такое, а если у вас на циске голос — это ещё важней, потому делаем — укажем наш часовой пояс и установим точное время (обратите внимание что само время устанавливается не в режиме глобальной конфигурации).Z

cisco# clock set 10:55:00 10 Oct 2014
Проверим
cisco#sh clock
*10:55:42.752 MSK Fri Oct 10 2016

Но время не всегда идёт верно, потому не лишнее указать кошке синхронизироваться с сервера точного времени в сети Интернет, а заодно и поднять на ней свой собственный сервер времени.
ntp master 2
ntp server ntp2.stratum1.ru source GigabitEthernet0/0 ntp server timeserver.ru source GigabitEthernet0/0 ntp server ntp1.stratum1.ru source GigabitEthernet0/0
тут GigabitEthernet0/0 — интерфейс, смотрящий в интернет.

Посмотреть какие сервера выбраны в итоге можно командой

sh ntp associations

8) Давайте включим ssh так как это более безопасно, чем telnet, да и проце через один протокол работать и с серверами и с cisco.
Давайте дадим циске имя и пропишем домен
hostname cisco
ip domain name local.network

Ну и сразу пропишем ДНС сервера, что бы цсика могла резельвить имена
ip name-server 8.8.8.8
ip name-server 4.4.4.4

Теперь командой crypto key generate rsa сгенерируем ключь (минимальная длина 768 bits) — мы используем 1024
cisco(config)#crypto key generate rsa label FORSSH mod 2048
[OK] (elapsed time was 2 seconds)
cisco(config)#

если вы уже использовали ssh v1 или же по какой-то другой причине сгенерировала менее надёжный сертификат, то можно стереть все сертификаты командой crypto key zeroize rsa и вернуться к предыдущему шагу и сделать правильный сертификат

После чего включем ssh сервер, указав версию протокола v2

cisco(config)#ip ssh version 2

Ну и магическая команда, без которой с недавних пор по ssh v2 вы не соединитесь
ip ssh dh min size 4096

Настройка Secure Shell на маршрутизаторах и коммутаторах с программным обеспечением Cisco IOS

ASA 8.3: Аутентификация TACACS с помощью ACS 5. X

ASA 8.3: Аутентификация TACACS с помощью ACS 5. X Содержание Введение Предварительные условия Требования Используемые компоненты Условные обозначения Настройка Схема сети Настройте ASA для Аутентификации

Подробнее

Настройка прокси-сервера аутентификации

Настройка прокси-сервера аутентификации Содержание Введение Предварительные условия Требования Используемые компоненты Условные обозначения Как реализовать проверку подлинности прокси Профили сервера Cisco

Подробнее

Настройка IPSec/GRE с NAT

Настройка IPSec/GRE с NAT Содержание Общие сведения Перед началом работы Условные обозначения Предварительные условия Используемые компоненты Настройка Схема сети Настройки Проверка Устранение неполадок

Подробнее

Настройка аутентификации IS-IS

Настройка аутентификации IS-IS Содержание Введение Предварительные условия Требования Используемые компоненты Условные обозначения Общие сведения Настройка Проверка подлинности интерфейса Аутентификация

Подробнее

Пример конфигурации ISDN — IP

Пример конфигурации ISDN — IP Содержание Введение Предварительные условия Требования Используемые компоненты Условные обозначения Настройка Схема сети Конфигурации Пояснение конфигурации C2503 Пояснение

Подробнее

Настройка туннеля IPSec через брандмауэр с NAT

Настройка туннеля IPSec через брандмауэр с NAT Содержание Общие сведения Предварительные условия Требования Используемые компоненты Условные обозначения Настройка Схема сети Конфигурации Проверка Устранение

Подробнее

X. 25 к трансляции TCP

X. 25 к трансляции TCP Содержание Введение Предварительные условия Требования Используемые компоненты Условные обозначения Настройка Схема сети Конфигурации Проверка Тест 1: Трансляция TCP в X.25 Тест

Подробнее

Конфигурирование терминала/общего сервера

Конфигурирование терминала/общего сервера Содержание Введение Предварительные условия Требования Используемые компоненты Условные обозначения Кабельные соединения Стратегия проектирования Настройка Схема

Подробнее

Настройка распространённых ACL IP

Настройка распространённых ACL IP Содержание Введение Предварительные условия Требования Используемые компоненты Условные обозначения Примеры конфигураций Разрешение доступа выбранного узла к сети Запрет

Подробнее

Настройка Cisco Secure IDS Sensor в CSPM

Настройка Cisco Secure IDS Sensor в CSPM Содержание Введение Предварительные условия Требования Используемые компоненты Условные обозначения!— конфигурацию Определите сеть, на которой размещается хост

Подробнее

Как задать IP адрес коммутатору Cisco — настройка коммутатора Cisco

Как подключиться к коммутатору CISCO через терминальный кабель? Как настроить удаленное подключение по SSH к коммутатору CISCO? Ответы на эти вопросы найдете в нашей статье.


Настройка коммутаторов Cisco представляет несколько специфичную задачу и обычно отличается от интерфейса настройки других производителей. Традиционно, Cisco использует для настройки текстовый интерфейс (CLI – Command Line Interface). Рассмотрим первичную настройку на примере коммутатора Cisco 2960:

Подключение к коммутатору CISCO через терминальный кабель

Оборудование CISCO комплектуется двумя видами кабелей. Ранее в комплекте шел кабель для COM-порта (RS-232).

Рис. 2. Кабель RS-232 для терминального порта CISCO.

В настоящее время коммутаторы CISCO комплектуются консольными USB кабелями.


Рис. 3 Кабель USB для терминального порта CISCO.

Для начальной установки параметров коммутатора CISCO с подключением к терминальному порту используется терминальная программа. Рассмотрим пример для работы с бесплатной программой-терминалом PUTTY под Windows. Для начала в «Диспетчере устройств» надо выяснить номер COM-порта, присвоенный терминальному соединению с CISCO, после чего прописываем те же настройки в конфигурации PUTTY.

Рис. 4 Пример настройки программы PUTTY для управления коммутатором CISCO

После нажатия кнопки “Open” должна открыться командная консоль. При первом запуске нового коммутатора автоматически запускается встроенный setup, который в большинстве случаев лучше обойти нажатием ”n”.  

Рис. 5 Автоматическое приглашение запуска первого setup в коммутаторах CISCO

На экране после отказа от запуска setup появляется приглашение в пользовательский режим.

Switch>

Следует отметить, что в коммутаторах Cisco для управления используется два режима: пользовательский (для проверки работы) и привилегированный (для управления). Если командная строка начинается со значка ”#”, мы находимся в привилегированном режиме.

В построении сети обычно не обойтись без использования VLAN. Существует два режима передачи тегированного и нетегированного трафика. В терминологии Cisco эти режимы носят названия trunk и access. К портам типа access подключаются устройства, которые не умеют работать с тегированным трафиком. Порты trunk предназначены для передачи данных по VLAN в сети.

При первом запуске нового коммутатора автоматически запускается встроенный setup, который в большинстве случаев лучше обойти нажатием ”NO”.  На экране появляется приглашение в пользовательский режим.

Для перехода в привилегированный режим используем команду “Enable”. Если коммутатор новый, пароль пустой. В противном случае, необходимо ввести установленный ранее пароль коммутатора.

Switch>enable
Password:
Switch#

Желательно сделать сброс коммутатора, провести очистку старых настроек.

Switch#erase startup-config

Перезагружаем коммутатор.

Switch#reload

После перезагрузки тем же способом возвращаемся в привилегированный режим. После чего переходим в режим глобального конфигурирования.

Switch#configure terminal

Данную команду можно вводить сокращенно для простоты управления.

Switch#conf t

Рассмотрим конфигурацию порта access. Если коммутатор имеет Fast Internet (100 Мбит/с) порты, то интерфейс называется “fa”, если порты Gigabit Internet (1000 Мбит/с), то его название “gi”.

Switch(config)#interface fa0/0

Для конфигурации VLAN порта используем другую команду.

Switch(config)#interface vlan 1

Включаем выбранный интерфейс.

Switch(config-if)#no shutdown

Необходимо задавать IP-адрес и маску.

Switch(config-if)#ip address 192.168.0.1 255.255.255.0

Выходим из интерфейсной конфигурации.

Switch(config-if)#exit

Устанавливаем пароль для привилегированного режима (в случае его отсутствия).

Switch(config)#enable secret pass1234

Выходим из режима конфигурирования.

Switch(config)#exit

Записываем конфигурацию в память.

Switch#wr

Задание IP-адреса закончено.

Видео по настройке IP-порта:

Настройка удаленного подключения по SSH к коммутатору CISCO

Для дальнейшей работы с коммутатором прямое подключение по терминальному кабелю не используется, потому желательно сразу провести конфигурирование SSH-доступа для управления коммутатором по сети.

После перехода в привилегированный режим (указанный выше), устанавливаем время и дату.

Switch#clock set 12:00:00 20 April 2019

Переходим в режим общей конфигурации.

Switch#conf t

Указываем домен (при необходимости).

Switch(config)#ip domain name mydomain1.com

Для протокола SSH генерируем ключ RSA.

Switch(config)#crypto key generate rsa

Указываем номер версии ssh-протокола.

Switch(config)#ip ssh version 2

Задаем желаемое количество попыток подключения по SSH.

Switch(config)#ip ssh autentification-retries 3

Сохраняем пароли в зашифрованном виде.

Switch(config)#service password-encryption

Переходим в режим настройки терминальных портов.

Switch(config)#line vty 0 2

Разрешаем подключения только по протоколу SSH.

Switch(config-line)#transport input ssh

Настраиваем ограничение длительности ssh-сессии на 20 минут.

Switch(config-line)#exec timeout 20 0

Выходим из режима настройки конфигурации.

Switch(config-line)#end

Сохраняем настройки.

Switch#copy running-config startup-config

На этом процедура настройки IP-адреса и базового уровня безопасности коммутатора CISCO закончена.

Примечание: если выходим из подменю конфигурации в подменю верхнего уровня (к примеру, из ”config-line” в “config), то используем команду “exit”. Для окончания конфигурации используем команду ”end”.

Системный интегратор ВИСТЛАН производит настройку и подключение коммутаторов и маршрутизаторов CISCO в локальных сетях любой конфигурации.

Cisco CLI Views — Настройка привилегий пользователя Cisco на основе ролей (Role-Based CLI Access)

Назначение привилегий для пользователей Cisco уже описывалось в статье Cisco privilege — Настройка привилегий пользователя CISCO. В статье говорилось, что пользователю назначается уровень привилегий, а для определенного уровня привилегий назначаются команды, которые можно выполнять. Такой подход разграничения прав не очень гибок. Что бы задействовать распределение прав по ролям можно воспользоваться возможностью «Role-Based CLI Access» или по другому называется «CLI Views».

Поддерживает ли ваш IOS «CLI Views» можно посмотреть в Cisco Feature Navigator. «Фича» (Feature) так и называется — CLI Views.

 

Основные понятия «Role-Based CLI Access»

В «Role-Based CLI Access» для разграничения прав используются элементы, которые называются «Views», они определяют какие команды можно выполнять в EXEC режиме или конфигурационном режиме (config), а так же, какая информация доступна для просмотра.

Эти элементы, по желанию, можно объединять в один большой элемент, который называется «Superview».

Администратор, который настраивает «View», а так же добавляет или удаляет «View» в «Superview», должен иметь роль «Root View». Отличие роли «Root View» от просто привилегированного 15-го режима в том, что «Root View» пользователь может конфигурировать новый «View», а так же удалять или добавлять в него команды.

Существуют специальные «View» для «законного перехвата», называются они «Lawful Intercept Views», которые предоставляют доступ к специфичным командам для настройки функции «Законного перехвата» (Lawful Intercept).  Применяется для взаимодействия с СОРМ — Система Оперативно Розыскных Мероприятий.

 

Настройка Cisco CLI Access

Перед настройкой Views необходимо активировать AAA (authentication, authorization, and accounting) командой «aaa new-model» в режиме глобального конфигурирования. После включения aaa new-model, не забываем, так же, указать нужные вам параметры для аутентификации (команда «aaa authentication …«), задать Enable пароль и если нужно завести локального пользователя, как это сделать написано в статье Маршрутизатор Cisco — начальная настройка. Иначе может возникнуть такая ситуация, что невозможно будет залогиниться на устройство.

 

Создание View:

1. Находясь в EXEC режиме, активировать «Root View» командой «enable view«. Запросит Enable пароль — его нужно задать ранее, знать и ввести. После чего вы окажитесь в «root view». Проверить можно командой «show parser view«, она должна вывести строку: «Current view is ‘root’»

2. Перейти в режим глобального конфигурирования, команда: «configure terminal«

3. Создать view и перейти в режим конфигурирования view, команда: «parser view view-name«

4. В режиме конфигурирования view задать пароль для данного view, команда: «secret 0 PasswordView«

5. В режиме конфигурирования view задать разрешенные команды для данного view, команда:

      «commands parser-mode {include | include-exclusive exclude} [all] [interface interface-name | command

        parser-mode — режим, в котором указанные команды вводятся.

        include — добавляет команду command или интерфейс interface-name  для данного view view-name

        include-exclusive — добавляет команду command или интерфейс interface-name для данного view view-name,  и исключает её из всех остальных view

        exclude исключает команду command или интерфейс interface-name из данного view view-name

        all — подразумевает все команды для заданного режима parser-mode

6. Выйти из режима редактирования view, команда «exit«

7. Выйти из глобального режима конфигурирования, команда «exit«

 

Для того, что бы перейти в созданный view и проверить, какие команды доступны из под него, можно выполнить команду:

   «enable view view-name » 

При нажатии на знак «?» будет выведен список доступных команд для данного view-name. Выйти из view можно командой «exit«

 

Если использовать локальную базу пользователей, то в режиме глобального конфигурирования можно создать пользователя, которому будет сопоставлен какой-либо из созданных view либо superview (включающий в себя несколько отдельных view).

  «username user view view-name secret 0 userpassword«

 

Что бы при авторизации через удаленный доступ (ssh или telnet) и консоль, пользователю были доступны только заданные нами команды в view, нужно в режиме глобального конфигурирования прописать:

 «aaa authorization console«

 «aaa authorization exec default local«

Это в случае использования локальной базы пользователей.

 

Пример конфигурации роутера с Cisco CLI View

В данном примере созданы два обычных view:

 NETVIEW — с возможностью просмотра IP информации,и информации о интерфейсах, а так же возможностью пинга и трэйсроута. Без возможности входа в конфигурационный режим.

 NETCONF — с возможностью входа в конфигурационный режим и настройки сетевых интерфейсов.

И один superview:

 NETADMIN — включает в себя два view NETVIEW и NETCONF

Одному пользователю netviewuser сопоставлен NETVIEW, он имеет права только на просмотр сетевых интерфейсов и IP параметров, а так же пинг и трэйс роут

Второму пользователю netadminuser сопоставлен superview NETADMIN, следовательно, он имеет право на настройку и просмотр IP параметров и сетевых интерфейсов

Кнфиг:

R1#sh run
Building configuration…
Current configuration : 1916 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$q29g$wf3TG0xJ0tCoVlMyKSdRv.
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization console
aaa authorization exec default local
!
aaa session-id common
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
ip domain name test.ru
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username cisco privilege 15 secret 5 $1$qpG3$dhNhCpnGuvc1vOukmJPKu1
username netadminuser view NETADMIN secret 5 $1$RC5G$OBi01pKHwxVF/jp6vWPE1.
username netviewuser view NETVIEW secret 5 $1$h2ml$icSJc3PCI1FzU1G/kQUSX0
!
!
ip tcp synwait-time 5
ip ssh version 2
!
!
!
!
!
interface FastEthernet0/0
  ip address 192.168.0.57 255.255.255.0
  duplex auto
  speed auto
!
interface FastEthernet0/1
  no ip address
  shutdown
  duplex auto
  speed auto
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
!
!
!
control-plane
!
!
!
!
mgcp behavior g729-variants static-pt
!
!
!
!
!
!
line con 0
  exec-timeout 0 0
  logging synchronous
line aux 0
  exec-timeout 0 0
  logging synchronous
line vty 0 3
  transport input telnet ssh
line vty 4
  transport input telnet ssh
parser view NETVIEW
  secret 5 $1$AHgE$UPgUYrxyE2R6gCD3Z9ZMD/
  commands exec include all traceroute
  commands exec include all ping
  commands exec include all show ip
  commands exec include all show interfaces
  commands exec include show
!
parser view NETCONF
  secret 5 $1$VuwT$PGKj3/pDkV6Bc6EbY1L.k1
  commands configure include all interface
  commands configure include all ip
  commands exec include configure terminal
  commands exec include configure
!
parser view NETADMIN superview
  secret 5 $1$kLY.$018nFbornMjAGInv7o4Ge1
  view NETVIEW
  view NETCONF
!
!
!
end

 

Включить и настроить доступ по ssh

  • Последнее обновление: 6 ноября 2021 г.

Здесь мы увидим, как включить ssh-сервер на Cisco Catalyst Switches .

Конфигурация

  • Модель коммутатора: Коммутаторы Cisco Catalyst серии 1000

Настройка ssh-сервера

Настройка

  • Установить Имя хоста (что является предварительным условием):
 Switch(config)# имя хоста  
  • Установите IP-адрес , пример здесь с vlan1 Интерфейс :
 StSwitch(config)# interface vlan1
StSwitch(config-if)# IP-адрес 192.168.1.100 255.255.255.0
StSwitch(config-if)# нет sh 
 StSwitch(config)# имя пользователя ssh_user привилегия 15 секрет  
 StSwitch(config)# криптографический ключ генерирует метку ключей использования rsa модуль std-rsa-keypair 4096 
  • Установить версию ssh (обычно это конфигурация по умолчанию):
 StSwitch(config)# ip ssh версии 2 
 StSwitch(config)# ip ssh dh минимальный размер 4096 
  • Включить только ssh (что отключает telnet ) на vty:
 StSwitch(config)# линия vty 0 15
StSwitch(config-line)# транспортный ввод ssh
StSwitch(config-line)# локальный вход 

Дополнительно

 StSwitch(config)# ip scp server enable 
  • Set 15m timeout to ssh сеансы:
 StSwitch(config)# линия vty 0 15
StSwitch(config-line)# exec-timeout 15 
  • Автоматически закрывает входящие соединения ssh , которые прерваны:
 StSwitch(config)# service tcp-keepalives-in 
 StSwitch(config)# события регистрации ip ssh 

Подключиться с открытым ключом (без пароля)

Настройка

  • С вашего хоста Client скопируйте свой pubkey , например здесь с .SSH / id_rsa.pub Файл:
 SSH-RSA AAAAB3NzaC1yc2EAAAADAQABAAACAQDxtzImfgV3cP65wmmzACuGufkdo723NNq12lmu4WjhRIp + 9mMe6ELx748sHYOkDtQtCLkrqMk + I6 / kaTCxWr67dYn0l1KOD6MTTPOiAskzXiExQ6L0TJXFbRLzb7NREI4DAhEmL6oqHnvur96ddO0NIpjwSU817twabycw7xDTJKSsZpsUfcUSM6bqXjFUlYpP1TdKuujMew4flS5Eg5h7vjjk2S / obcHYj1JnjyHhLxvvItFezdK1sPj7P5tzYafXMmx3uskdjhV4Dcw8cEXA8x47A + MzWMqE30NR5OENG9PqDN5kGCoRSoEnlkhFKTrP / СМД + ElJuOachuM0ptRhVjmh9dXydMbpKM3liuUED1gYWhLdv2CQLatyz5HLeBF8PsegY7lSKTyuwpuLbwsJ9ipXktsuj / FAoU56xeEs1h83df7bPFlVhKZLCmoxIftKuEAaD4QTHvSONKQa94PN2I3INYW6DN9iXHyiG + G8 / l3RFrkv6zu7KMN0gEv0BzTODgcyFCPosoZFmrHeqcXjW9K5Bc7JOJCTxvxPOcLAlXo70OUNv + bZkDEGTdz8nWs8qttWn0Jndc6PxaziyprDbMCt0Zv8CrWRzgAWkEovA3RrGPQQMz7KhJ5LPV5cL9ErXx4O410rxH / Zuk0 / sRDH6 + zwqvv8kNrPXmhfiUAjHw == пользователь @ StHost 
  • Войдите в меню управления учетной записью и добавьте открытый ключ:
 StSwitch(config)# ip ssh pubkey-chain
StSwitch(conf-ssh-pubkey)# имя пользователя ssh_user
StSwitch(conf-ssh-pubkey-user)# ключевая строка
StSwitch(conf-ssh-pubkey-data)# <Вставьте сюда открытый ключ клиента.⚠️Блоком не более 254 символов!⚠️>
StSwitch(conf-ssh-pubkey-data)# выход
StSwitch (conf-ssh-pubkey# выход 

Каталожные номера


Эта работа находится под лицензией Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Контактное лицо:

Check & Change SSH Версия Cisco Switches

Просмотры: 513

Сценарий
Сделать
: Cisco Switches
Модель : Cisco 2960, 3650 и т. Д.
Режим : Командная линейная интерфейс [CLI]
999. : В этой статье мы обсудим, как проверить версию SSH на коммутаторах Cisco, а также, при необходимости, как изменить версию SSH.Мы можем включить, отключить или обновить/понизить версию SSH на коммутаторах Cisco.

SSH расшифровывается как Secure Socket Shell — это сетевой протокол, который работает на порту 22 протокола управления передачей (TCP), предоставляя пользователям или администраторам безопасный доступ к устройству через незащищенную сеть. Secure Shell обеспечивает надежную аутентификацию с помощью пароля и аутентификацию с открытым ключом, а также зашифрованную передачу данных между двумя компьютерами, подключенными через открытую сеть, например через Интернет.

Проверка версии SSH

Используйте показанную ниже команду, чтобы проверить текущую версию SSH на коммутаторе. Также статус SSH. В приведенном ниже примере SSH включен и SSH версии 2 активен.

 edledge-switch#sh ip ssh 
SSH включен — версия 2.0
Время ожидания аутентификации: 120 секунд; Аутентификация повторных попыток: 3
Минимальные ожидается Диффи Хеллмана размер ключа: 1024 бит
IOS Клавиши в формате SECSH (SSH-RSA, base64 кодированные):
SSH-RSA AAAAB3NzaC1yc2EAAAADAQABAAAAgQC4b + fs2erCMy4KKX / Vq9NwEFcKWCcFQodjTIbaLKgMjxkpMUyAkOVQ3RypQzFK1sfx
wHspap + mPAl7i9wyVPcoj0SAvlCTgMTa6oOAtZsxpGOoh8kPFYKtm5RWu / lFvbNhSPrfmxAHwPBGhCjMLbOSVut19KSGizLD138OIgjI
EW ==

В некоторых случаях вывод sh ip ssh выходит как v 1.99. SSH v1.99 означает, что коммутатор работает на как на  SSHv1, так и на SSHv2.

 edledge-switch#sh ip ssh 
SSH включен — версия 1.99
Время ожидания аутентификации: 120 секунд; Попыток аутентификации: 3

Изменить версию SSH

В этом разделе статьи мы увидим, как изменить версию SSH на коммутаторе. Предположим, что на коммутаторе включен SSH версии 1.99. Мы изменим его на SSH версии 2.

 edledge-switch#conf t 
edledge-switch(config)##ip ssh version 2
Пожалуйста, создайте ключи RSA для включения SSH (и не менее 768 бит для SSH v2).

Теперь создайте пару ключей RSA для безопасного соединения SSH, как показано ниже.

 edledge-switch#conf t 
edledge-switch(config)# crypto key generate rsa modulus 2048
INFO: Имя для ключей будет: edledge-switch
% Размер модуля ключа 1024 бит
% Генерация 1024 бит Ключи RSA, ключи нельзя будет экспортировать...
[OK] (время истекло 2 секунды)

Используя описанный выше метод, мы можем изменить SSH-версию коммутатора. Мы также можем настроить SSH на ASA.Перейдите по прилагаемой ссылке, если вы хотите настроить SPAN или монитор на коммутаторе, а также конфигурацию Radius на автономном коммутаторе Dell и автономном коммутаторе Cisco. Radius также можно настроить как отказоустойчивый на коммутаторах Dell и коммутаторах Cisco.

Источник Cisco, база знаний, лаборатория

EA000 61

Обзор:
SSH — это механизм безопасности, который можно использовать для доступа к привилегиям и режиму конфигурации маршрутизатора и коммутатора из удаленного места для выполнения необходимых действий.Основная цель настройки SSH — получить доступ к устройствам, развернутым в сети, из удаленного места, чтобы можно было выполнить требуемую настройку и беспрепятственно предоставить ресурсы. Чтобы узнать о конфигурации SSH, инструмент Cisco Packet Tracer используется для демонстрации шагов, которые необходимо выполнить, и связанных команд, которые необходимо выполнить для этой цели. В дополнение к этому, синтаксис и объяснение каждой команды предоставляются вместе со снимками экрана.

Конфигурация SSH на маршрутизаторе Cisco :   
Следующие шаги будут выполнены для настройки SSH следующим образом.

Шаг 1 :  
Cisco Packet Tracer открыт, и между компьютерной системой и маршрутизатором создается топология сети.

Шаг 2: 
Необходимо получить доступ к настройкам рабочего стола компьютерной системы, чтобы назначить ему IP-адрес, соответствующую маску подсети и адрес сетевого шлюза.

Назначение ПК IP-адреса, маски подсети и адреса шлюза по умолчанию.

Шаг 3:  
Кроме того, необходимо получить доступ к интерфейсу командной строки маршрутизатора, чтобы назначить IP-адрес подключенному интерфейсу (Fast Ethernet 0/0 в этом сценарии).

Шаг 4 :  
Доступ к режиму конфигурации осуществляется с помощью команды терминала configure через интерфейс командной строки маршрутизатора. IP-адрес 192.168.16.1 назначен интерфейсу с маской подсети 255.255.255.0. В дополнение к этому не выполняется команда выключения для изменения состояния интерфейса на рабочее. При успешной настройке назначения IP-адресов устанавливается канал связи между компьютерной системой и маршрутизатором.

Интерфейсу маршрутизатора назначен IP-адрес

Шаг 5:
Выполнение команды SSH —

  • Все команды, используемые для включения SSH, выделены на приведенном ниже снимке экрана пакета Cisco. Трейсер.
  • Сначала доменное имя задается с помощью команды «ip domain-name domain-name».
  • Затем для поддержания безопасного SSH-соединения генерируется криптоключ с помощью команды «crypto key generate RSA». Вводится значение «1024», и нажимается Enter, чтобы успешно сгенерировать ключ.
  • ‘enable password password’ Команда выполняется для обеспечения безопасности и разрешения доступа к интерфейсу командной строки маршрутизатора только авторизованным пользователям.
  • Кроме того, команда «username password» используется для установки имени пользователя для установления соединения SSH с сетевым устройством.
  • Команда «IP ssh version 2» используется для определения версии SSH, которая будет настроена на данном маршрутизаторе.
  • Далее выполняется ‘line vty 0 15’, чтобы к маршрутизатору можно было получить доступ из удаленной системы, подключенной к сети.
  • Затем выполняются команды «transport input ssh» и «login local» для успешной настройки SSH на маршрутизаторе Cisco.

Конфигурация SSH

Шаг 6:  
Чтобы протестировать SSH, настроенный на маршрутизаторе Cisco, в компьютерной системе открывается командная строка и выполняется команда «ssh -l username IP-address».

Команда —

 ssh -l cisco 192.168.16.1 

Тестирование SSH

Конфигурация Secure Shell (SSH) на коммутаторе и маршрутизаторе в Packet Tracer — Советы по работе с компьютерными сетями

Добро пожаловать в этот туториал! Здесь мы рассмотрим протокол Secure Shell (SSH), а затем посмотрим, как настроить его на коммутаторе и маршрутизаторе в Packet Tracer.

Обзор SSH

Secure Shell, как и Telnet, позволяет пользователю получать доступ к удаленному устройству и удаленно управлять им.Однако с помощью SSH все данные, передаваемые по сети (включая имена пользователей и пароли), зашифрованы и защищены от перехвата .

SSH — это протокол клиент-сервер с клиентом SSH и сервером SSH. Клиентский компьютер (например, ПК) устанавливает соединение с SSH-сервером, работающим на удаленном устройстве (например, на маршрутизаторе). После установления соединения администратор сети может выполнять команды на удаленном устройстве.

Настройка SSH на маршрутизаторе в Packet Tracer

В этом руководстве мы настроим SSH на маршрутизаторе, чтобы вы, как администратор, могли получать к нему удаленный доступ и управлять им с помощью клиента SSH на ПК администратора.

А теперь к делу:

Сначала создайте топологию сети.

Затем выполните следующие базовые настройки IP на ПК и маршрутизаторе:

Маршрутизатор

 Маршрутизатор (конфигурация) # int fa0/0
Маршрутизатор(config-if)#ip add 10.0.0.1 255.0.0.0
Роутер(config-if)#нет выключения
Роутер(конфиг)#выход 

ПК: IP-адрес 10.0.0.10 Маска подсети 255.0.0.0 Шлюз по умолчанию 10.0.0.1

Теперь, чтобы настроить SSH на роутере, вам нужно:

1.Установите имя хоста маршрутизатора

 Router(config)#hostname myRouter 

2. Установить доменное имя

 myRouter(config)#ip доменное имя admin 

И имя хоста , и доменное имя будут использоваться в процессе генерации ключей шифрования.

3. Теперь сгенерируйте ключей шифрования для защиты сеанса с помощью команды crypto key generate rsa.

 myRouter(config)#crypto key generate rsa

Имя для ключей будет: myRouter.администратор
Выберите размер ключевого модуля в диапазоне от 360 до 2048 для вашего

Ключи общего назначения. Выбор ключевого модуля больше 512 может занять

несколько минут.

Сколько бит в модуле [512]: 1024

% Создание 1024-битных ключей RSA, ключи нельзя будет экспортировать...[OK] 

4. Установите пароль включения .

 myRouter(config)# включить пароль admin 

Обратите внимание, что этот пароль не используется с SSH; его можно использовать только для доступа к привилегированному исполнительному режиму маршрутизатора после того, как вы сможете получить удаленный доступ к его интерфейсу командной строки через SSH.

5. Установите имя пользователя и пароль для локального входа.

 myRouter(config)#имя пользователя admin пароль admin 

Прежде чем вы сможете получить доступ к интерфейсу командной строки маршрутизатора при использовании SSH, необходимо указать пароль.

6.Укажите версию SSH для использования.

 myRouter(config)#ip ssh версия 2 

7. Теперь подключитесь к линиям VTY маршрутизатора и настройте протокол SSH.

 myRouter(config)#line vty 0 15
myRouter (строка конфигурации) # транспортный ввод ssh
myRouter (строка конфигурации) # локальный вход 

На этом все для настройки.Перейдите к вопросу, можете ли вы получить удаленный доступ к маршрутизатору с ПК.

8. В командной строке ПК откройте сеанс SSH с удаленным маршрутизатором, введя команду: ssh -l admin 10.0.0.1

a dmin  – это имя пользователя , установленное на шаге 5.

9. Укажите логин пароль , который вы установили на шаге 5, и нажмите ввод. Теперь вы, вероятно, находитесь в интерфейсе командной строки маршрутизатора. Укажите пароль (тот, который вы установили на шаге 4) для доступа к привилегированному исполнительному режиму.

Вы можете продолжить и настроить маршрутизатор. Теперь вы управляете маршрутизатором удаленно с ПК.

Вот оно!

На этом этапе давайте продолжим и настроим SSH на коммутаторе .

Конфигурация SSH на коммутаторе

Здесь мы настроим SSH на многоуровневом коммутаторе. Команды остаются практически такими же, как и для роутера; только в коммутаторе мы будем использовать IP-адрес его интерфейса VLAN для доступа к нему с ПК.

Итак, давайте двигаться дальше.

  1. Начните с создания топологии сети.

Затем настройте базовую IP-адресацию на ПК и коммутаторе. На коммутаторе мы назначим IP-адрес интерфейсу VLAN, как мы сказали.

Переключатель
 Коммутатор (конфигурация) # int vlan 1
Switch(config-if)#ip add 10.0.0.1  255.0.0.0
Переключатель (config-if) # нет закрытия 

Укажите IP-адрес ADMIN PC 10.0.0.10 /8

Теперь, чтобы настроить SSH на многоуровневом коммутаторе, выполните следующие действия.

1.Настроить имя хоста

 Коммутатор (конфигурация) # имя хоста SW1 

2. Настройте доменное имя IP

 SW1(config)#ip доменное имя admin 

В процессе создания ключей шифрования будут использоваться как имя хоста, так и имя домена.

3. Теперь сгенерируйте ключей шифрования для защиты сеанса.

 SW1(config)#криптоключ генерирует rsa

Имя для ключей будет: SW1.admin

Выберите размер ключевого модуля в диапазоне от 360 до 2048 для вашего

Ключи общего назначения.Выбор ключевого модуля больше 512 может занять

несколько минут.

Сколько бит в модуле [512]: 1024

% Создание 1024-битных ключей RSA, ключи нельзя будет экспортировать...[OK] 

4. Установите пароль включения .

 SW1(config)#включить пароль администратора 

Опять же, обратите внимание, что разрешающий пароль не обязательно используется при настройке SSH; это позволит администратору получить доступ к привилегированному исполнительному режиму коммутатора после установления удаленного подключения к коммутатору через SSH.

5. Установите имя пользователя и пароль для локального входа.

 SW1(config)#имя пользователя admin пароль admin 

6. Укажите SSH версии для использования.

 SW1(config)#ip ssh версия 2 

7. Теперь подключитесь к линиям VTY коммутатора и настройте SSH на линиях.

 SW1(config)#линия vty 0 15
SW1 (строка конфигурации) # транспортный ввод ssh
SW1 (строка конфигурации) # локальный вход 

Это все, что нужно для настройки SSH на коммутаторе.Двигайтесь дальше и попробуйте удаленно получить доступ к коммутатору с ПК.

Итак:

8. В командной строке ПК администратора откройте сеанс SSH с коммутатором, используя команду ssh -l admin 10.0.0.1

.

Обратите внимание, что: admin   — это имя пользователя, определенное на шаге 5, а 10.0.0.1 — это IP-адрес интерфейса VLAN последующего коммутатора.

***командная строка***

Примечание :

  • Мы использовали многоуровневый коммутатор, поскольку не смогли найти поддержку SSH на коммутаторах уровня 2 в Packet Tracer.
  • Мы по-прежнему можем начать сеанс SSH с маршрутизатором/коммутатором с другого маршрутизатора/коммутатора вместо ПК, если маршрутизатор/коммутатор поддерживает SSH.

На этом наше руководство по SSH завершено.

Всего наилучшего!

Вам также может быть интересно прочитать:

 

Нравится:

Нравится Загрузка…

Связанные

Примеры конфигурации SSH в Cisco (IOS, IOS-XE, NX-OS, IOS-XR)


Примеры конфигурации SSH в Cisco (IOS, IOS-XE, NX-OS, IOS-XR)
Вот примеры конфигурации:
тогда как:
192.168.100.100 = IP-адрес узла перехода (разрешенный IP-адрес для подключения SSH к устройству). Предварительные требования при настройке SSH для устройств Cisco включают генерацию ключа SSH. См. официальную документацию Cisco.
команда: криптографический ключ сгенерировать rsa Предпочтительно, биты ключа RSA не менее 2048, в противном случае используйте 1024 для большей безопасности

IOS :

ip ssh версия 2
линия vty 0 4
класс доступа 101 in
exec-timeout 5 0
пароль 7 01234ABC
аутентификация входа VTY
транспортный ввод ssh

список доступа 101 разрешает хост tcp 192.168.100.100 любое уравнение 22

IOS-XE :

ip ssh версии 2
вход в тихий режим класс доступа SSH-ACL
список доступа ip расширенный SSH-ACL
разрешить хост tcp 192.168.100.100 любой eq 22
запретить tcp любой любой eq 22

line vty 0 4
класс доступа SSH-ACL в
exec-timeout 5 0
пароль 7 01234ABCDEF
аутентификация входа VTY
транспортный ввод ssh

ОС НЕКСУС :

функция ssh
интерфейс mgmt0
ip-группа доступа acl_101 в
управление членами vrf

ip-список доступа acl_101
10 разрешить TCP 192.168.100.100/32 любой eq 22
20 запретить ip любой любой журнал

IOS-XR :

исходный интерфейс ssh-клиента Loopback0
ssh-сервер v2

шаблон строки VTYTEMPLATE
secret 5 $encrpytedlocalpass
группа пользователей root-system
группа пользователей cisco-support
Accounting exec VTY
команды учета VTY
авторизация exec VTY
команды авторизации VTY
аутентификация входа VTY
exec-timeout 5 0-
вход класса SSH-VTY
транспортный вход ssh

vty-pool по умолчанию 0 4 строчный шаблон VTYTEMPLATE

или (проще)

строка по умолчанию
секрет 5 $ encrpytedlocalpass
аутентификация входа по умолчанию
отметка времени
время ожидания выполнения 5 0
вход класса доступа SSH-VTY
время ожидания сеанса 5
транспортный ввод ssh

ipv4-список доступа SSH-VTY
10 разрешить TCP-хост 192.168.100.100 любой eq ssh
20 запретить ipv4 любой любой журнал
!
плоскость управления
плоскость управления
внутриполосная
интерфейс все
разрешить одноранговый узел SSH
адрес ipv4 192.168.100.100

Как настроить SSH в Packet Tracer

SSH (Secure Shell) обеспечивает безопасное управление сетевыми устройствами. Используя SSH, вы устанавливаете безопасное соединение с сетевым устройством, к которому вы получаете доступ, и ваши данные отправляются в зашифрованном виде.

Как включить SSH в маршрутизаторе Cisco с помощью Packet Tracer

SSH — гораздо более безопасный протокол, чем протокол Telnet, и по умолчанию использует порт TCP 22.Номер порта может отличаться.

Существует 2 версии протокола SSH. Эти; Версия 1 и версия 2.

SSH V1 использует несколько запатентованных алгоритмов шифрования и подвержен известной уязвимости, позволяющей злоумышленнику вводить данные в поток связи.

SSH V2, в этом выпуске используется усовершенствованный алгоритм обмена ключами, который не подвержен подобным злоупотреблениям и включает в себя более мощные и комплексные функции:

• Шифрование, такое как 3DES и AES.
• Используйте алгоритмы шифрования голосовых сообщений (MAC) для проверки целостности.
• Поддержка сертификатов открытых ключей.

Мы рекомендуем по возможности использовать SSH V2 для удаленного управления сетевыми устройствами.

Чтобы включить SSH в реальном сценарии, убедитесь, что имя файла вашего ПО Cisco IOS — k9 (crypto).

   Шаг 1

Сначала запустите Packet Tracer, а затем создайте топологию сети, как показано на рисунке ниже.Добавляем в рабочую область дополнительный Router, т.к. после настройки мы будем подключать Router к Router по SSH.

   Шаг 2

Откройте командную строку, щелкнув маршрутизатор SYSNETTECH, и нажмите Enter, чтобы пропустить начальную настройку.

   Шаг 3

Чтобы включить SSH на маршрутизаторе, выполните следующие команды по порядку.

  Маршрутизатор>включить
Router#conf t
Введите команды конфигурации, по одной в строке.Конец с CNTL/Z.
Router(config)#hostname SYSNETTECH
SYSNETTECH(config)#интерфейс gigabitethernet 0/0
SYSNETTECH(config-if)#ip-адрес 192.168.1.1 255.255.255.0
SYSNETTECH(config-if)#без выключения
%LINK-5-CHANGED: интерфейс GigabitEthernet0/0, изменено состояние на up
%LINEPROTO-5-UPDOWN: линейный протокол на интерфейсе GigabitEthernet0/0, изменено состояние на up
SYSNETTECH(config-if)#выход
SYSNETTECH(config)#ip доменное имя sysnettechsolutions.com
SYSNETTECH(config)#crypto key generate rsa
Имя для ключей будет: SYSNETTECH.sysnettechsolutions.com
Выберите размер ключевого модуля в диапазоне от 360 до 2048 для вашего
Ключи общего назначения. Выбор ключевого модуля больше 512 может занять
несколько минут.
Сколько бит в модуле [512]: 1024
% Генерация 1024-битных ключей RSA, ключи нельзя будет экспортировать...[OK]
SYSNETTECH(config)#ip ssh версия 2
* 1 марта 0:6:12.698: %SSH-5-ENABLED: SSH 1.99 включен
SYSNETTECH(config)#ip ssh timeout 10
SYSNETTECH(config)#ip ssh-повторные попытки аутентификации 3
SYSNETTECH(config)#line vty 0 4
SYSNETTECH(config-line)#логин локальный
SYSNETTECH(config-line)#уровень привилегий 15
SYSNETTECH (строка конфигурации) # транспортный ввод ssh
SYSNETTECH (строка конфигурации) # выход
SYSNETTECH(config)#имя пользователя cisco привилегия 15 пароль cisco123
SYSNETTECH(config)#end
SYSNETTECH#wr
Конфигурация здания...
[ХОРОШО]
СИСНЕТТЕХ#
  

 

   Шаг 4

Настройте параметры IP ПК1 следующим образом.

   Шаг 5

Чтобы быстро настроить интерфейс маршрутизатора R1, дважды щелкните его, перейдите на вкладку «Конфигурация» в открывшемся окне, а затем установите для параметра «Статус порта» интерфейса GigabitEthernet0/0 значение «Вкл.», затем назначить IP-адрес.

   Шаг 6

Чтобы проверить, работает ли SSH, откройте приглашение ПК1 и установите соединение с помощью приведенной ниже команды.

  ssh -l сиско 192.168.1.1
  

 

   -l : Вход означает. 
  cisco : Имя пользователя для подключения к маршрутизатору. 
  192.168.1.1 : IP-адрес маршрутизатора. 
  

 

   Шаг 7

Введите имя пользователя и пароль, которые вы создали, и как только вы нажмете Enter, соединение будет установлено, как на изображении ниже.

   Шаг 8

После выполнения команды show ssh в командной строке ПК1 можно проверить версию связанного протокола SSH.

   Шаг 9

На этом шаге выполните следующую команду, чтобы установить SSH от маршрутизатора к маршрутизатору.

  ssh -l сиско 192.168.1.1
  

 

   Шаг 10

Таким же образом введите данные учетной записи пользователя, созданные на маршрутизаторе Cisco, и нажмите Enter.

   Шаг 11

Как вы можете видеть на изображении ниже, установлено успешное SSH-подключение.

Показать команды

  SYSNETTECH#show running-config
Конфигурация здания...

Текущая конфигурация: 799 байт
!
версия 15.1
нет временных меток службы в журнале datetime msec
нет временных меток службы отладки даты и времени мс
нет сервисного пароля-шифрование
!
имя хоста SYSNETTECH
!
нет ip cef
нет ipv6 cef
!
имя пользователя cisco привилегия 15 пароль 0 cisco123
!
лицензия udi pid CISCO1941/K9 sn FTX152488GK
!
ip ssh версия 2
тайм-аут ip ssh 10
ip доменное имя sysnettechsolutions.ком
!
режим связующего дерева pvst
!
интерфейс GigabitEthernet0/0
IP-адрес 192.168.1.1 255.255.255.0
дуплекс авто
скорость авто
!
интерфейс GigabitEthernet0/1
нет IP-адреса
дуплекс авто
скорость авто
неисправность
!
интерфейс Vlan1
нет IP-адреса
неисправность
!
IP бесклассовый
!
ip поток-экспорт версии 9
!
линия кон 0
!
вспомогательная линия 0
!
линия vty 0 4
войти локально
транспортный ввод ssh
уровень привилегий 15
!
конец
СИСНЕТТЕХ#
  

 

  SYSNETTECH#show ssh
Версия соединения Режим шифрования Состояние Hmac Имя пользователя
133 1.99 IN aes128-cbc hmac-sha1 Сеанс запущен cisco
133 1.99 OUT aes128-cbc hmac-sha1 Сеанс запущен cisco
133 1.99 IN aes128-cbc hmac-sha1 Сеанс запущен cisco
133 1.99 OUT aes128-cbc hmac-sha1 Сеанс запущен cisco
%Нет запущенных подключений к серверу SSHv1.
СИСНЕТТЕХ#
  

 

  SYSNETTECH#показать ip ssh
SSH включен — версия 2.0
Время ожидания аутентификации: 10 секунд; Повторов аутентификации: 3
СИСНЕТТЕХ#
  

 
   Видео

С помощью симулятора вы можете посмотреть видео ниже, чтобы включить SSH на маршрутизаторе и подключиться с ПК, а также подписаться на наш канал YouTube, чтобы поддержать нас!

   Заключительное слово


В этой статье, после изучения того, как включить SSH, мы подключились с помощью SSH от ПК к маршрутизатору и от маршрутизатора к маршрутизатору, чтобы проверить соединение.В реальном сценарии для настройки SSH на маршрутизаторах убедитесь, что образ IOS имеет k9 (crypto). Спасибо, что следите за нами!

Связанные статьи


♦ Packet Tracer Vlan
♦ Пакет Tracer Inter-Vlan
♦ Пакет Tracer Static Nat
♦ Как выполнить SCH RSA Assure Autome Atsure Autpentication-orcemer PAT

Как выполнять SSHSA rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa r. SSH версии 2 (SSHv2) поддерживает интерактивную клавиатуру и методы аутентификации на основе пароля.Улучшения SSHv2 для ключей RSA также поддерживают аутентификацию с открытым ключом на основе RSA

для клиента и сервера .

Аутентификация пользователей на основе RSA использует пару закрытый/открытый ключ, связанную с каждым пользователем для аутентификации. Пользователь должен сгенерировать пару закрытый/открытый ключ на клиенте и настроить открытый ключ на SSH-сервере Cisco IOS для завершения аутентификации.

Пользователь SSH, пытающийся установить учетные данные, предоставляет зашифрованную подпись с использованием закрытого ключа.Подпись и открытый ключ пользователя отправляются на SSH-сервер для аутентификации. Сервер SSH вычисляет хэш открытого ключа, предоставленного пользователем. Хэш используется, чтобы определить, есть ли на сервере совпадающая запись. Если совпадение найдено, выполняется проверка сообщения на основе RSA с использованием открытого ключа. Следовательно, пользователь аутентифицируется или ему отказано в доступе на основе зашифрованной подписи.

Что нам нужно?

  • Клиент SSH, поддерживающий аутентификацию RSA (SecureCRT, Putty, …)
  • Пара закрытый/открытый ключ для каждого пользователя
  • IOS, поддерживающая эту функцию (в данном примере я использую IOS версии 15)

Как настроить роутер?
1.Сгенерируйте пару закрытый/открытый ключ на клиенте; например:

  • SecureCRT: перейдите в «Инструменты» -> «Создать открытый ключ».

    Например, чтобы связать имя пользователя «ciscozine» с открытым ключом:

     Ciscozine(config)#ip ssh pubkey-chain
    Ciscozine(conf-ssh-pubkey)#имя пользователя ciscozine
    Ciscozine (conf-ssh-pubkey-user)#key-string
    Ciscozine (conf-ssh-pubkey-data)#$yc2EAAAADAQABAQQQAQC8IV2QIeshErol+zzo4Uh7pvL9vwXXAi1R
    Ciscozine (conf-ssh-pubkey-data)#$SrM71X600nAY9TJI6lv0qbRoc3Kw9Utxzc3LR5ZtpRS333zhF7aNX
    Ciscozine (conf-ssh-pubkey-data)#$mKvo9k3+5gdVsoy8NXTny5+Q1I2q0xvA666lZNMvujgWynBgBe+gc
    Ciscozine (conf-ssh-pubkey-data)#$BVgCu3/Jm2TjeLY+5/9L1T54lfVPKxijAHtZPnV3ToIVZTn7LWgHA
    Ciscozine (conf-ssh-pubkey-data)#$qY5RXcIbfxxxdgEjC6iU5mVXN3NcZkigVdadoZGJIo0lVRIcGLLyC
    Ciscozine (conf-ssh-pubkey-data)#cvnDvAlQzBSJFhsabcV1E3IVagNHyz/HrH/4fZBAKXuJabcgYi2n
    Ciscozine (conf-ssh-pubkey-data) # выход
    Ciscozine(conf-ssh-pubkey-user)#exit
    Ciscozine (conf-ssh-pubkey) # выход
    Ciscozine(config)#exit
    Ciscozine# 

    Примечание: После ввода команды «key-string» скопируйте весь открытый ключ, который вы сделали ранее.

Добавить комментарий

Ваш адрес email не будет опубликован.