Как задать IP адрес коммутатору Cisco — настройка коммутатора Cisco

Как подключиться к коммутатору CISCO через терминальный кабель? Как настроить удаленное подключение по SSH к коммутатору CISCO? Ответы на эти вопросы найдете в нашей статье.

Настройка коммутаторов Cisco представляет несколько специфичную задачу и обычно отличается от интерфейса настройки других производителей. Традиционно, Cisco использует для настройки текстовый интерфейс (CLI – Command Line Interface). Рассмотрим первичную настройку на примере коммутатора Cisco 2960:

Подключение к коммутатору CISCO через терминальный кабель

Оборудование CISCO комплектуется двумя видами кабелей. Ранее в комплекте шел кабель для COM-порта (RS-232).

Рис. 2. Кабель RS-232 для терминального порта CISCO.

В настоящее время коммутаторы CISCO комплектуются консольными USB кабелями.

Рис. 3 Кабель USB для терминального порта CISCO.

Для начальной установки параметров коммутатора CISCO с подключением к терминальному порту используется терминальная программа. Рассмотрим пример для работы с бесплатной программой-терминалом PUTTY под Windows. Для начала в «Диспетчере устройств» надо выяснить номер COM-порта, присвоенный терминальному соединению с CISCO, после чего прописываем те же настройки в конфигурации PUTTY.

Рис. 4 Пример настройки программы PUTTY для управления коммутатором CISCO

После нажатия кнопки “Open” должна открыться командная консоль. При первом запуске нового коммутатора автоматически запускается встроенный setup, который в большинстве случаев лучше обойти нажатием ”n”.  

Рис. 5 Автоматическое приглашение запуска первого setup в коммутаторах CISCO

На экране после отказа от запуска setup появляется приглашение в пользовательский режим.

Switch>

Следует отметить, что в коммутаторах Cisco для управления используется два режима: пользовательский (для проверки работы) и привилегированный (для управления). Если командная строка начинается со значка ”#”, мы находимся в привилегированном режиме.

В построении сети обычно не обойтись без использования VLAN. Существует два режима передачи тегированного и нетегированного трафика. В терминологии Cisco эти режимы носят названия trunk и access. К портам типа access подключаются устройства, которые не умеют работать с тегированным трафиком. Порты trunk предназначены для передачи данных по VLAN в сети.

При первом запуске нового коммутатора автоматически запускается встроенный setup, который в большинстве случаев лучше обойти нажатием ”NO”.  На экране появляется приглашение в пользовательский режим.

Для перехода в привилегированный режим используем команду “Enable”. Если коммутатор новый, пароль пустой. В противном случае, необходимо ввести установленный ранее пароль коммутатора.

Switch>enable
Password:
Switch#

Switch#erase startup-config

Перезагружаем коммутатор.

Switch#reload

После перезагрузки тем же способом возвращаемся в привилегированный режим. После чего переходим в режим глобального конфигурирования.

Switch#configure terminal

Данную команду можно вводить сокращенно для простоты управления.

Switch#conf t

Рассмотрим конфигурацию порта access. Если коммутатор имеет Fast Internet (100 Мбит/с) порты, то интерфейс называется “fa”, если порты Gigabit Internet (1000 Мбит/с), то его название “gi”.

Switch(config)#interface fa0/0

Для конфигурации VLAN порта используем другую команду.

Switch(config)#interface vlan 1

Включаем выбранный интерфейс.

Switch(config-if)#no shutdown

Необходимо задавать IP-адрес и маску.

Switch(config-if)#ip address 192.168.0.1 255.255.255.0

Выходим из интерфейсной конфигурации.

Switch(config-if)#exit

Устанавливаем пароль для привилегированного режима (в случае его отсутствия).

Switch(config)#enable secret pass1234

Выходим из режима конфигурирования.

Switch(config)#exit

Записываем конфигурацию в память.

Switch#wr

Задание IP-адреса закончено.

Видео по настройке IP-порта:

Настройка удаленного подключения по SSH к коммутатору CISCO

Для дальнейшей работы с коммутатором прямое подключение по терминальному кабелю не используется, потому желательно сразу провести конфигурирование SSH-доступа для управления коммутатором по сети.

После перехода в привилегированный режим (указанный выше), устанавливаем время и дату.

Switch#clock set 12:00:00 20 April 2019

Переходим в режим общей конфигурации.

Switch#conf t

Указываем домен (при необходимости).

Switch(config)#ip domain name mydomain1.com

Для протокола SSH генерируем ключ RSA.

Switch(config)#crypto key generate rsa

Указываем номер версии ssh-протокола.

Switch(config)#ip ssh version 2

Задаем желаемое количество попыток подключения по SSH.

Switch(config)#ip ssh autentification-retries 3

Сохраняем пароли в зашифрованном виде.

Switch(config)#service password-encryption

Переходим в режим настройки терминальных портов.

Switch(config)#line vty 0 2

Разрешаем подключения только по протоколу SSH.

Switch(config-line)#transport input ssh

Настраиваем ограничение длительности ssh-сессии на 20 минут.

Switch(config-line)#exec timeout 20 0

Выходим из режима настройки конфигурации.

Switch(config-line)#end

Сохраняем настройки.

Switch#copy running-config startup-config

На этом процедура настройки IP-адреса и базового уровня безопасности коммутатора CISCO закончена.

Примечание: если выходим из подменю конфигурации в подменю верхнего уровня (к примеру, из ”config-line” в “config), то используем команду “exit”. Для окончания конфигурации используем команду ”end”.

Системный интегратор ВИСТЛАН производит настройку и подключение коммутаторов и маршрутизаторов CISCO в локальных сетях любой конфигурации.

Cisco CLI Views — Настройка привилегий пользователя Cisco на основе ролей (Role-Based CLI Access)

Назначение привилегий для пользователей Cisco уже описывалось в статье Cisco privilege — Настройка привилегий пользователя CISCO. В статье говорилось, что пользователю назначается уровень привилегий, а для определенного уровня привилегий назначаются команды, которые можно выполнять. Такой подход разграничения прав не очень гибок. Что бы задействовать распределение прав по ролям можно воспользоваться возможностью «Role-Based CLI Access» или по другому называется «CLI Views».

Поддерживает ли ваш IOS «CLI Views» можно посмотреть в Cisco Feature Navigator. «Фича» (Feature) так и называется — CLI Views.

Основные понятия «Role-Based CLI Access»

В «Role-Based CLI Access» для разграничения прав используются элементы, которые называются «Views», они определяют какие команды можно выполнять в EXEC режиме или конфигурационном режиме (config), а так же, какая информация доступна для просмотра.

Эти элементы, по желанию, можно объединять в один большой элемент, который называется «Superview».

Администратор, который настраивает «View», а так же добавляет или удаляет «View» в «Superview», должен иметь роль «Root View». Отличие роли «Root View» от просто привилегированного 15-го режима в том, что «Root View» пользователь может конфигурировать новый «View», а так же удалять или добавлять в него команды.

Существуют специальные «View» для «законного перехвата», называются они «Lawful Intercept Views», которые предоставляют доступ к специфичным командам для настройки функции «Законного перехвата» (Lawful Intercept).  Применяется для взаимодействия с СОРМ — Система Оперативно Розыскных Мероприятий.

Настройка Cisco CLI Access

Перед настройкой Views необходимо активировать AAA (authentication, authorization, and accounting) командой «aaa new-model» в режиме глобального конфигурирования. После включения aaa new-model, не забываем, так же, указать нужные вам параметры для аутентификации (команда «aaa authentication …«), задать Enable пароль и если нужно завести локального пользователя, как это сделать написано в статье Маршрутизатор Cisco — начальная настройка. Иначе может возникнуть такая ситуация, что невозможно будет залогиниться на устройство.

Создание View:

1. Находясь в EXEC режиме, активировать «Root View» командой «enable view«. Запросит Enable пароль — его нужно задать ранее, знать и ввести. После чего вы окажитесь в «root view». Проверить можно командой «show parser view«, она должна вывести строку: «Current view is ‘root’»

2. Перейти в режим глобального конфигурирования, команда: «configure terminal«

3. Создать view и перейти в режим конфигурирования view, команда: «parser view view-name«

4. В режиме конфигурирования view задать пароль для данного view, команда: «secret 0 PasswordView«

5. В режиме конфигурирования view задать разрешенные команды для данного view, команда:

      «commands parser-mode {include | include-exclusive | exclude} [all] [interface interface-name | command]»

        parser-mode — режим, в котором указанные команды вводятся.

        include — добавляет команду command или интерфейс interface-name  для данного view view-name

        include-exclusive — добавляет команду command или интерфейс interface-name для данного view view-name,  и исключает её из всех остальных view

        exclude — исключает команду command или интерфейс interface-name из данного view view-name

        all — подразумевает все команды для заданного режима parser-mode

6. Выйти из режима редактирования view, команда «exit«

7. Выйти из глобального режима конфигурирования, команда «exit«

Для того, что бы перейти в созданный view и проверить, какие команды доступны из под него, можно выполнить команду:

   «enable view view-name » 

При нажатии на знак «?» будет выведен список доступных команд для данного view-name. Выйти из view можно командой «exit«

Если использовать локальную базу пользователей, то в режиме глобального конфигурирования можно создать пользователя, которому будет сопоставлен какой-либо из созданных view либо superview (включающий в себя несколько отдельных view).

  «username user view view-name secret 0 userpassword«

Что бы при авторизации через удаленный доступ (ssh или telnet) и консоль, пользователю были доступны только заданные нами команды в view, нужно в режиме глобального конфигурирования прописать:

 «aaa authorization console«

 «aaa authorization exec default local«

Это в случае использования локальной базы пользователей.

Пример конфигурации роутера с Cisco CLI View

В данном примере созданы два обычных view:

 NETVIEW — с возможностью просмотра IP информации,и информации о интерфейсах, а так же возможностью пинга и трэйсроута. Без возможности входа в конфигурационный режим.

 NETCONF — с возможностью входа в конфигурационный режим и настройки сетевых интерфейсов.

И один superview:

 NETADMIN — включает в себя два view NETVIEW и NETCONF

Одному пользователю netviewuser сопоставлен NETVIEW, он имеет права только на просмотр сетевых интерфейсов и IP параметров, а так же пинг и трэйс роут

Второму пользователю netadminuser сопоставлен superview NETADMIN, следовательно, он имеет право на настройку и просмотр IP параметров и сетевых интерфейсов

Кнфиг:

R1#sh run
Building configuration…
Current configuration : 1916 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$q29g$wf3TG0xJ0tCoVlMyKSdRv.
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization console
aaa authorization exec default local
!
aaa session-id common
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
ip domain name test.ru
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username cisco privilege 15 secret 5 $1$qpG3$dhNhCpnGuvc1vOukmJPKu1
username netadminuser view NETADMIN secret 5 $1$RC5G$OBi01pKHwxVF/jp6vWPE1.
username netviewuser view NETVIEW secret 5 $1$h2ml$icSJc3PCI1FzU1G/kQUSX0
!
!
ip tcp synwait-time 5
ip ssh version 2
!
!
!
!
!
interface FastEthernet0/0
  ip address 192.168.0.57 255.255.255.0
  duplex auto
  speed auto
!
interface FastEthernet0/1
  no ip address
  shutdown
  duplex auto
  speed auto
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
!
!
!
!
control-plane
!
!
!
!
mgcp behavior g729-variants static-pt
!
!
!
!
!
!
line con 0
  exec-timeout 0 0
  logging synchronous
line aux 0
  exec-timeout 0 0
  logging synchronous
line vty 0 3
  transport input telnet ssh
line vty 4
  transport input telnet ssh
parser view NETVIEW
  secret 5 $1$AHgE$UPgUYrxyE2R6gCD3Z9ZMD/
  commands exec include all traceroute
  commands exec include all ping
  commands exec include all show ip
  commands exec include all show interfaces
  commands exec include show
!
parser view NETCONF
  secret 5 $1$VuwT$PGKj3/pDkV6Bc6EbY1L.k1
  commands configure include all interface
  commands configure include all ip
  commands exec include configure terminal
  commands exec include configure
!
parser view NETADMIN superview
  secret 5 $1$kLY.$018nFbornMjAGInv7o4Ge1
  view NETVIEW
  view NETCONF
!
!
!
end

Включить и настроить доступ по ssh

• Последнее обновление: 6 ноября 2021 г.

Здесь мы увидим, как включить ssh-сервер на Cisco Catalyst Switches .

Конфигурация

• Модель коммутатора: Коммутаторы Cisco Catalyst серии 1000

Настройка ssh-сервера

Настройка

• Установить Имя хоста (что является предварительным условием):

 Switch(config)# имя хоста  

• Установите IP-адрес , пример здесь с vlan1 Интерфейс :

 StSwitch(config)# interface vlan1
StSwitch(config-if)# IP-адрес 192.168.1.100 255.255.255.0
StSwitch(config-if)# нет sh 

 StSwitch(config)# имя пользователя ssh_user привилегия 15 секрет  

 StSwitch(config)# криптографический ключ генерирует метку ключей использования rsa модуль std-rsa-keypair 4096 

• Установить версию ssh (обычно это конфигурация по умолчанию):

 StSwitch(config)# ip ssh версии 2 

 StSwitch(config)# ip ssh dh минимальный размер 4096 

• Включить только ssh (что отключает telnet ) на vty:

 StSwitch(config)# линия vty 0 15
StSwitch(config-line)# транспортный ввод ssh
StSwitch(config-line)# локальный вход 

Дополнительно

 StSwitch(config)# ip scp server enable 

• Set 15m timeout to ssh сеансы:

 StSwitch(config)# линия vty 0 15
StSwitch(config-line)# exec-timeout 15 

• Автоматически закрывает входящие соединения ssh , которые прерваны:

 StSwitch(config)# service tcp-keepalives-in 

 StSwitch(config)# события регистрации ip ssh 

Подключиться с открытым ключом (без пароля)

Настройка

• С вашего хоста Client скопируйте свой pubkey , например здесь с .SSH / id_rsa.pub Файл:

 SSH-RSA AAAAB3NzaC1yc2EAAAADAQABAAACAQDxtzImfgV3cP65wmmzACuGufkdo723NNq12lmu4WjhRIp + 9mMe6ELx748sHYOkDtQtCLkrqMk + I6 / kaTCxWr67dYn0l1KOD6MTTPOiAskzXiExQ6L0TJXFbRLzb7NREI4DAhEmL6oqHnvur96ddO0NIpjwSU817twabycw7xDTJKSsZpsUfcUSM6bqXjFUlYpP1TdKuujMew4flS5Eg5h7vjjk2S / obcHYj1JnjyHhLxvvItFezdK1sPj7P5tzYafXMmx3uskdjhV4Dcw8cEXA8x47A + MzWMqE30NR5OENG9PqDN5kGCoRSoEnlkhFKTrP / СМД + ElJuOachuM0ptRhVjmh9dXydMbpKM3liuUED1gYWhLdv2CQLatyz5HLeBF8PsegY7lSKTyuwpuLbwsJ9ipXktsuj / FAoU56xeEs1h83df7bPFlVhKZLCmoxIftKuEAaD4QTHvSONKQa94PN2I3INYW6DN9iXHyiG + G8 / l3RFrkv6zu7KMN0gEv0BzTODgcyFCPosoZFmrHeqcXjW9K5Bc7JOJCTxvxPOcLAlXo70OUNv + bZkDEGTdz8nWs8qttWn0Jndc6PxaziyprDbMCt0Zv8CrWRzgAWkEovA3RrGPQQMz7KhJ5LPV5cL9ErXx4O410rxH / Zuk0 / sRDH6 + zwqvv8kNrPXmhfiUAjHw == пользователь @ StHost 

• Войдите в меню управления учетной записью и добавьте открытый ключ:

 StSwitch(config)# ip ssh pubkey-chain
StSwitch(conf-ssh-pubkey)# имя пользователя ssh_user
StSwitch(conf-ssh-pubkey-user)# ключевая строка
StSwitch(conf-ssh-pubkey-data)# <Вставьте сюда открытый ключ клиента.⚠️Блоком не более 254 символов!⚠️>
StSwitch(conf-ssh-pubkey-data)# выход
StSwitch (conf-ssh-pubkey# выход 

Каталожные номера

Контактное лицо:

Check & Change SSH Версия Cisco Switches

Просмотры: 513

Сценарий
Сделать : Cisco Switches
Модель : Cisco 2960, 3650 и т. Д.
Режим : Командная линейная интерфейс [CLI]
999. : В этой статье мы обсудим, как проверить версию SSH на коммутаторах Cisco, а также, при необходимости, как изменить версию SSH.Мы можем включить, отключить или обновить/понизить версию SSH на коммутаторах Cisco.

SSH расшифровывается как Secure Socket Shell — это сетевой протокол, который работает на порту 22 протокола управления передачей (TCP), предоставляя пользователям или администраторам безопасный доступ к устройству через незащищенную сеть. Secure Shell обеспечивает надежную аутентификацию с помощью пароля и аутентификацию с открытым ключом, а также зашифрованную передачу данных между двумя компьютерами, подключенными через открытую сеть, например через Интернет.

Проверка версии SSH

Используйте показанную ниже команду, чтобы проверить текущую версию SSH на коммутаторе. Также статус SSH. В приведенном ниже примере SSH включен и SSH версии 2 активен.

 edledge-switch#sh ip ssh 
  SSH включен — версия 2.0  
 Время ожидания аутентификации: 120 секунд; Аутентификация повторных попыток: 3 
 Минимальные ожидается Диффи Хеллмана размер ключа: 1024 бит 
 IOS Клавиши в формате SECSH (SSH-RSA, base64 кодированные): 
 SSH-RSA AAAAB3NzaC1yc2EAAAADAQABAAAAgQC4b + fs2erCMy4KKX / Vq9NwEFcKWCcFQodjTIbaLKgMjxkpMUyAkOVQ3RypQzFK1sfx 
 wHspap + mPAl7i9wyVPcoj0SAvlCTgMTa6oOAtZsxpGOoh8kPFYKtm5RWu / lFvbNhSPrfmxAHwPBGhCjMLbOSVut19KSGizLD138OIgjI 
 EW == 

В некоторых случаях вывод sh ip ssh выходит как v 1.99. SSH v1.99 означает, что коммутатор работает на как на  SSHv1, так и на SSHv2.

 edledge-switch#sh ip ssh 
  SSH включен — версия 1.99  
 Время ожидания аутентификации: 120 секунд; Попыток аутентификации: 3 

Изменить версию SSH

В этом разделе статьи мы увидим, как изменить версию SSH на коммутаторе. Предположим, что на коммутаторе включен SSH версии 1.99. Мы изменим его на SSH версии 2.

 edledge-switch#conf t 
 edledge-switch(config)##ip ssh version 2 
 Пожалуйста, создайте ключи RSA для включения SSH (и не менее 768 бит для SSH v2).

Теперь создайте пару ключей RSA для безопасного соединения SSH, как показано ниже.

 edledge-switch#conf t 
 edledge-switch(config)# crypto key generate rsa modulus 2048 
 INFO: Имя для ключей будет: edledge-switch 
 % Размер модуля ключа 1024 бит 
 % Генерация 1024 бит Ключи RSA, ключи нельзя будет экспортировать... 
 [OK] (время истекло 2 секунды) 

Используя описанный выше метод, мы можем изменить SSH-версию коммутатора. Мы также можем настроить SSH на ASA.Перейдите по прилагаемой ссылке, если вы хотите настроить SPAN или монитор на коммутаторе, а также конфигурацию Radius на автономном коммутаторе Dell и автономном коммутаторе Cisco. Radius также можно настроить как отказоустойчивый на коммутаторах Dell и коммутаторах Cisco.

Источник :  Cisco, база знаний, лаборатория

EA000 61

Обзор:
SSH — это механизм безопасности, который можно использовать для доступа к привилегиям и режиму конфигурации маршрутизатора и коммутатора из удаленного места для выполнения необходимых действий.Основная цель настройки SSH — получить доступ к устройствам, развернутым в сети, из удаленного места, чтобы можно было выполнить требуемую настройку и беспрепятственно предоставить ресурсы. Чтобы узнать о конфигурации SSH, инструмент Cisco Packet Tracer используется для демонстрации шагов, которые необходимо выполнить, и связанных команд, которые необходимо выполнить для этой цели. В дополнение к этому, синтаксис и объяснение каждой команды предоставляются вместе со снимками экрана.

Конфигурация SSH на маршрутизаторе Cisco :   
Следующие шаги будут выполнены для настройки SSH следующим образом.

Шаг 1 :  
Cisco Packet Tracer открыт, и между компьютерной системой и маршрутизатором создается топология сети.

Шаг 2: 
Необходимо получить доступ к настройкам рабочего стола компьютерной системы, чтобы назначить ему IP-адрес, соответствующую маску подсети и адрес сетевого шлюза.

Назначение ПК IP-адреса, маски подсети и адреса шлюза по умолчанию.

Шаг 3:  
Кроме того, необходимо получить доступ к интерфейсу командной строки маршрутизатора, чтобы назначить IP-адрес подключенному интерфейсу (Fast Ethernet 0/0 в этом сценарии).

Шаг 4 :  
Доступ к режиму конфигурации осуществляется с помощью команды терминала configure через интерфейс командной строки маршрутизатора. IP-адрес 192.168.16.1 назначен интерфейсу с маской подсети 255.255.255.0. В дополнение к этому не выполняется команда выключения для изменения состояния интерфейса на рабочее. При успешной настройке назначения IP-адресов устанавливается канал связи между компьютерной системой и маршрутизатором.

Интерфейсу маршрутизатора назначен IP-адрес

Шаг 5:
Выполнение команды SSH —

• Все команды, используемые для включения SSH, выделены на приведенном ниже снимке экрана пакета Cisco. Трейсер.
• Сначала доменное имя задается с помощью команды «ip domain-name domain-name».
• Затем для поддержания безопасного SSH-соединения генерируется криптоключ с помощью команды «crypto key generate RSA». Вводится значение «1024», и нажимается Enter, чтобы успешно сгенерировать ключ.
• ‘enable password password’ Команда выполняется для обеспечения безопасности и разрешения доступа к интерфейсу командной строки маршрутизатора только авторизованным пользователям.
• Кроме того, команда «username password» используется для установки имени пользователя для установления соединения SSH с сетевым устройством.
• Команда «IP ssh version 2» используется для определения версии SSH, которая будет настроена на данном маршрутизаторе.
• Далее выполняется ‘line vty 0 15’, чтобы к маршрутизатору можно было получить доступ из удаленной системы, подключенной к сети.
• Затем выполняются команды «transport input ssh» и «login local» для успешной настройки SSH на маршрутизаторе Cisco.

Конфигурация SSH

Шаг 6:  
Чтобы протестировать SSH, настроенный на маршрутизаторе Cisco, в компьютерной системе открывается командная строка и выполняется команда «ssh -l username IP-address».

Команда —

 ssh -l cisco 192.168.16.1 

Тестирование SSH

Конфигурация Secure Shell (SSH) на коммутаторе и маршрутизаторе в Packet Tracer — Советы по работе с компьютерными сетями

Добро пожаловать в этот туториал! Здесь мы рассмотрим протокол Secure Shell (SSH), а затем посмотрим, как настроить его на коммутаторе и маршрутизаторе в Packet Tracer.

Обзор SSH

Secure Shell, как и Telnet, позволяет пользователю получать доступ к удаленному устройству и удаленно управлять им.Однако с помощью SSH все данные, передаваемые по сети (включая имена пользователей и пароли), зашифрованы и защищены от перехвата .

SSH — это протокол клиент-сервер с клиентом SSH и сервером SSH. Клиентский компьютер (например, ПК) устанавливает соединение с SSH-сервером, работающим на удаленном устройстве (например, на маршрутизаторе). После установления соединения администратор сети может выполнять команды на удаленном устройстве.

Настройка SSH на маршрутизаторе в Packet Tracer

В этом руководстве мы настроим SSH на маршрутизаторе, чтобы вы, как администратор, могли получать к нему удаленный доступ и управлять им с помощью клиента SSH на ПК администратора.

А теперь к делу:

Сначала создайте топологию сети.

Затем выполните следующие базовые настройки IP на ПК и маршрутизаторе:

Маршрутизатор

 Маршрутизатор (конфигурация) # int fa0/0
Маршрутизатор(config-if)#ip add 10.0.0.1 255.0.0.0
Роутер(config-if)#нет выключения
Роутер(конфиг)#выход 

ПК: IP-адрес 10.0.0.10 Маска подсети 255.0.0.0 Шлюз по умолчанию 10.0.0.1

Теперь, чтобы настроить SSH на роутере, вам нужно:

1.Установите имя хоста маршрутизатора

 Router(config)#hostname myRouter 

2. Установить доменное имя

 myRouter(config)#ip доменное имя admin 

И имя хоста , и доменное имя будут использоваться в процессе генерации ключей шифрования.

3. Теперь сгенерируйте ключей шифрования для защиты сеанса с помощью команды crypto key generate rsa.

 myRouter(config)#crypto key generate rsa

Имя для ключей будет: myRouter.администратор
Выберите размер ключевого модуля в диапазоне от 360 до 2048 для вашего

Ключи общего назначения. Выбор ключевого модуля больше 512 может занять

несколько минут.

Сколько бит в модуле [512]: 1024

% Создание 1024-битных ключей RSA, ключи нельзя будет экспортировать...[OK] 

4. Установите пароль включения .

 myRouter(config)# включить пароль admin 

Обратите внимание, что этот пароль не используется с SSH; его можно использовать только для доступа к привилегированному исполнительному режиму маршрутизатора после того, как вы сможете получить удаленный доступ к его интерфейсу командной строки через SSH.

5. Установите имя пользователя и пароль для локального входа.

 myRouter(config)#имя пользователя admin пароль admin 

Прежде чем вы сможете получить доступ к интерфейсу командной строки маршрутизатора при использовании SSH, необходимо указать пароль.

6.Укажите версию SSH для использования.

 myRouter(config)#ip ssh версия 2 

7. Теперь подключитесь к линиям VTY маршрутизатора и настройте протокол SSH.

 myRouter(config)#line vty 0 15
myRouter (строка конфигурации) # транспортный ввод ssh
myRouter (строка конфигурации) # локальный вход 

На этом все для настройки.Перейдите к вопросу, можете ли вы получить удаленный доступ к маршрутизатору с ПК.

8. В командной строке ПК откройте сеанс SSH с удаленным маршрутизатором, введя команду: ssh -l admin 10.0.0.1

a dmin  – это имя пользователя , установленное на шаге 5.

9. Укажите логин пароль , который вы установили на шаге 5, и нажмите ввод. Теперь вы, вероятно, находитесь в интерфейсе командной строки маршрутизатора. Укажите пароль (тот, который вы установили на шаге 4) для доступа к привилегированному исполнительному режиму.

Вы можете продолжить и настроить маршрутизатор. Теперь вы управляете маршрутизатором удаленно с ПК.

Вот оно!

На этом этапе давайте продолжим и настроим SSH на коммутаторе .

Конфигурация SSH на коммутаторе

Здесь мы настроим SSH на многоуровневом коммутаторе. Команды остаются практически такими же, как и для роутера; только в коммутаторе мы будем использовать IP-адрес его интерфейса VLAN для доступа к нему с ПК.

Итак, давайте двигаться дальше.

1. Начните с создания топологии сети.

Затем настройте базовую IP-адресацию на ПК и коммутаторе. На коммутаторе мы назначим IP-адрес интерфейсу VLAN, как мы сказали.

Переключатель

 Коммутатор (конфигурация) # int vlan 1
Switch(config-if)#ip add 10.0.0.1  255.0.0.0
Переключатель (config-if) # нет закрытия 

Укажите IP-адрес ADMIN PC 10.0.0.10 /8

Теперь, чтобы настроить SSH на многоуровневом коммутаторе, выполните следующие действия.

1.Настроить имя хоста

 Коммутатор (конфигурация) # имя хоста SW1 

2. Настройте доменное имя IP

 SW1(config)#ip доменное имя admin 

В процессе создания ключей шифрования будут использоваться как имя хоста, так и имя домена.

3. Теперь сгенерируйте ключей шифрования для защиты сеанса.

 SW1(config)#криптоключ генерирует rsa

Имя для ключей будет: SW1.admin

Выберите размер ключевого модуля в диапазоне от 360 до 2048 для вашего

Ключи общего назначения.Выбор ключевого модуля больше 512 может занять

несколько минут.

Сколько бит в модуле [512]: 1024

% Создание 1024-битных ключей RSA, ключи нельзя будет экспортировать...[OK] 

4. Установите пароль включения .

 SW1(config)#включить пароль администратора 

Опять же, обратите внимание, что разрешающий пароль не обязательно используется при настройке SSH; это позволит администратору получить доступ к привилегированному исполнительному режиму коммутатора после установления удаленного подключения к коммутатору через SSH.

5. Установите имя пользователя и пароль для локального входа.

 SW1(config)#имя пользователя admin пароль admin 

6. Укажите SSH версии для использования.

 SW1(config)#ip ssh версия 2 

7. Теперь подключитесь к линиям VTY коммутатора и настройте SSH на линиях.

 SW1(config)#линия vty 0 15
SW1 (строка конфигурации) # транспортный ввод ssh
SW1 (строка конфигурации) # локальный вход 

Это все, что нужно для настройки SSH на коммутаторе.Двигайтесь дальше и попробуйте удаленно получить доступ к коммутатору с ПК.

Итак:

8. В командной строке ПК администратора откройте сеанс SSH с коммутатором, используя команду ssh -l admin 10.0.0.1

Обратите внимание, что: admin   — это имя пользователя, определенное на шаге 5, а 10.0.0.1 — это IP-адрес интерфейса VLAN последующего коммутатора.

***командная строка***

Примечание :

• Мы использовали многоуровневый коммутатор, поскольку не смогли найти поддержку SSH на коммутаторах уровня 2 в Packet Tracer.
• Мы по-прежнему можем начать сеанс SSH с маршрутизатором/коммутатором с другого маршрутизатора/коммутатора вместо ПК, если маршрутизатор/коммутатор поддерживает SSH.

На этом наше руководство по SSH завершено.

Всего наилучшего!

Вам также может быть интересно прочитать:

Нравится:

Нравится Загрузка…

Примеры конфигурации SSH в Cisco (IOS, IOS-XE, NX-OS, IOS-XR)

IOS :

ip ssh версия 2
линия vty 0 4
класс доступа 101 in
exec-timeout 5 0
пароль 7 01234ABC
аутентификация входа VTY
транспортный ввод ssh

список доступа 101 разрешает хост tcp 192.168.100.100 любое уравнение 22

IOS-XE :

ip ssh версии 2
вход в тихий режим класс доступа SSH-ACL
список доступа ip расширенный SSH-ACL
разрешить хост tcp 192.168.100.100 любой eq 22
запретить tcp любой любой eq 22

line vty 0 4
класс доступа SSH-ACL в
exec-timeout 5 0
пароль 7 01234ABCDEF
аутентификация входа VTY
транспортный ввод ssh

ОС НЕКСУС :

функция ssh
интерфейс mgmt0
ip-группа доступа acl_101 в
управление членами vrf

ip-список доступа acl_101
10 разрешить TCP 192.168.100.100/32 любой eq 22
20 запретить ip любой любой журнал

IOS-XR :

исходный интерфейс ssh-клиента Loopback0
ssh-сервер v2

шаблон строки VTYTEMPLATE
secret 5 $encrpytedlocalpass
группа пользователей root-system
группа пользователей cisco-support
Accounting exec VTY
команды учета VTY
авторизация exec VTY
команды авторизации VTY
аутентификация входа VTY
exec-timeout 5 0-
вход класса SSH-VTY
транспортный вход ssh

vty-pool по умолчанию 0 4 строчный шаблон VTYTEMPLATE

или (проще)

строка по умолчанию
секрет 5 $ encrpytedlocalpass
аутентификация входа по умолчанию
отметка времени
время ожидания выполнения 5 0
вход класса доступа SSH-VTY
время ожидания сеанса 5
транспортный ввод ssh

ipv4-список доступа SSH-VTY
10 разрешить TCP-хост 192.168.100.100 любой eq ssh
20 запретить ipv4 любой любой журнал
!
плоскость управления
плоскость управления
внутриполосная
интерфейс все
разрешить одноранговый узел SSH
адрес ipv4 192.168.100.100

Как настроить SSH в Packet Tracer

SSH (Secure Shell) обеспечивает безопасное управление сетевыми устройствами. Используя SSH, вы устанавливаете безопасное соединение с сетевым устройством, к которому вы получаете доступ, и ваши данные отправляются в зашифрованном виде.

Как включить SSH в маршрутизаторе Cisco с помощью Packet Tracer

SSH — гораздо более безопасный протокол, чем протокол Telnet, и по умолчанию использует порт TCP 22.Номер порта может отличаться.

Существует 2 версии протокола SSH. Эти; Версия 1 и версия 2.

SSH V1 использует несколько запатентованных алгоритмов шифрования и подвержен известной уязвимости, позволяющей злоумышленнику вводить данные в поток связи.

SSH V2, в этом выпуске используется усовершенствованный алгоритм обмена ключами, который не подвержен подобным злоупотреблениям и включает в себя более мощные и комплексные функции:

• Шифрование, такое как 3DES и AES.
• Используйте алгоритмы шифрования голосовых сообщений (MAC) для проверки целостности.
• Поддержка сертификатов открытых ключей.

Мы рекомендуем по возможности использовать SSH V2 для удаленного управления сетевыми устройствами.

Чтобы включить SSH в реальном сценарии, убедитесь, что имя файла вашего ПО Cisco IOS — k9 (crypto).

   Шаг 1

Сначала запустите Packet Tracer, а затем создайте топологию сети, как показано на рисунке ниже.Добавляем в рабочую область дополнительный Router, т.к. после настройки мы будем подключать Router к Router по SSH.

   Шаг 2

Откройте командную строку, щелкнув маршрутизатор SYSNETTECH, и нажмите Enter, чтобы пропустить начальную настройку.

   Шаг 3

Чтобы включить SSH на маршрутизаторе, выполните следующие команды по порядку.

  Маршрутизатор>включить
Router#conf t
Введите команды конфигурации, по одной в строке.Конец с CNTL/Z.
Router(config)#hostname SYSNETTECH
SYSNETTECH(config)#интерфейс gigabitethernet 0/0
SYSNETTECH(config-if)#ip-адрес 192.168.1.1 255.255.255.0
SYSNETTECH(config-if)#без выключения
%LINK-5-CHANGED: интерфейс GigabitEthernet0/0, изменено состояние на up
%LINEPROTO-5-UPDOWN: линейный протокол на интерфейсе GigabitEthernet0/0, изменено состояние на up
SYSNETTECH(config-if)#выход
SYSNETTECH(config)#ip доменное имя sysnettechsolutions.com
SYSNETTECH(config)#crypto key generate rsa
Имя для ключей будет: SYSNETTECH.sysnettechsolutions.com
Выберите размер ключевого модуля в диапазоне от 360 до 2048 для вашего
Ключи общего назначения. Выбор ключевого модуля больше 512 может занять
несколько минут.
Сколько бит в модуле [512]: 1024
% Генерация 1024-битных ключей RSA, ключи нельзя будет экспортировать...[OK]
SYSNETTECH(config)#ip ssh версия 2
* 1 марта 0:6:12.698: %SSH-5-ENABLED: SSH 1.99 включен
SYSNETTECH(config)#ip ssh timeout 10
SYSNETTECH(config)#ip ssh-повторные попытки аутентификации 3
SYSNETTECH(config)#line vty 0 4
SYSNETTECH(config-line)#логин локальный
SYSNETTECH(config-line)#уровень привилегий 15
SYSNETTECH (строка конфигурации) # транспортный ввод ssh
SYSNETTECH (строка конфигурации) # выход
SYSNETTECH(config)#имя пользователя cisco привилегия 15 пароль cisco123
SYSNETTECH(config)#end
SYSNETTECH#wr
Конфигурация здания...
[ХОРОШО]
СИСНЕТТЕХ#
  

   Шаг 4

Настройте параметры IP ПК1 следующим образом.

   Шаг 5

Чтобы быстро настроить интерфейс маршрутизатора R1, дважды щелкните его, перейдите на вкладку «Конфигурация» в открывшемся окне, а затем установите для параметра «Статус порта» интерфейса GigabitEthernet0/0 значение «Вкл.», затем назначить IP-адрес.

   Шаг 6

Чтобы проверить, работает ли SSH, откройте приглашение ПК1 и установите соединение с помощью приведенной ниже команды.

  ssh -l сиско 192.168.1.1
  

   -l : Вход означает. 
  cisco : Имя пользователя для подключения к маршрутизатору. 
  192.168.1.1 : IP-адрес маршрутизатора. 
  

   Шаг 7

Введите имя пользователя и пароль, которые вы создали, и как только вы нажмете Enter, соединение будет установлено, как на изображении ниже.

   Шаг 8

После выполнения команды show ssh в командной строке ПК1 можно проверить версию связанного протокола SSH.

   Шаг 9

На этом шаге выполните следующую команду, чтобы установить SSH от маршрутизатора к маршрутизатору.

  ssh -l сиско 192.168.1.1
  

   Шаг 10

Таким же образом введите данные учетной записи пользователя, созданные на маршрутизаторе Cisco, и нажмите Enter.

   Шаг 11

Как вы можете видеть на изображении ниже, установлено успешное SSH-подключение.

Показать команды

  SYSNETTECH#show running-config
Конфигурация здания...

Текущая конфигурация: 799 байт
!
версия 15.1
нет временных меток службы в журнале datetime msec
нет временных меток службы отладки даты и времени мс
нет сервисного пароля-шифрование
!
имя хоста SYSNETTECH
!
нет ip cef
нет ipv6 cef
!
имя пользователя cisco привилегия 15 пароль 0 cisco123
!
лицензия udi pid CISCO1941/K9 sn FTX152488GK
!
ip ssh версия 2
тайм-аут ip ssh 10
ip доменное имя sysnettechsolutions.ком
!
режим связующего дерева pvst
!
интерфейс GigabitEthernet0/0
IP-адрес 192.168.1.1 255.255.255.0
дуплекс авто
скорость авто
!
интерфейс GigabitEthernet0/1
нет IP-адреса
дуплекс авто
скорость авто
неисправность
!
интерфейс Vlan1
нет IP-адреса
неисправность
!
IP бесклассовый
!
ip поток-экспорт версии 9
!
линия кон 0
!
вспомогательная линия 0
!
линия vty 0 4
войти локально
транспортный ввод ssh
уровень привилегий 15
!
конец
СИСНЕТТЕХ#
  

  SYSNETTECH#show ssh
Версия соединения Режим шифрования Состояние Hmac Имя пользователя
133 1.99 IN aes128-cbc hmac-sha1 Сеанс запущен cisco
133 1.99 OUT aes128-cbc hmac-sha1 Сеанс запущен cisco
133 1.99 IN aes128-cbc hmac-sha1 Сеанс запущен cisco
133 1.99 OUT aes128-cbc hmac-sha1 Сеанс запущен cisco
%Нет запущенных подключений к серверу SSHv1.
СИСНЕТТЕХ#
  

  SYSNETTECH#показать ip ssh
SSH включен — версия 2.0
Время ожидания аутентификации: 10 секунд; Повторов аутентификации: 3
СИСНЕТТЕХ#
  

 
   Видео

С помощью симулятора вы можете посмотреть видео ниже, чтобы включить SSH на маршрутизаторе и подключиться с ПК, а также подписаться на наш канал YouTube, чтобы поддержать нас!

   Заключительное слово

В этой статье, после изучения того, как включить SSH, мы подключились с помощью SSH от ПК к маршрутизатору и от маршрутизатора к маршрутизатору, чтобы проверить соединение.В реальном сценарии для настройки SSH на маршрутизаторах убедитесь, что образ IOS имеет k9 (crypto). Спасибо, что следите за нами!

Связанные статьи

♦ Packet Tracer Vlan
♦ Пакет Tracer Inter-Vlan
♦ Пакет Tracer Static Nat
♦ Как выполнить SCH RSA Assure Autome Atsure Autpentication-orcemer PAT

Как выполнять SSHSA rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa rsa r. SSH версии 2 (SSHv2) поддерживает интерактивную клавиатуру и методы аутентификации на основе пароля.Улучшения SSHv2 для ключей RSA также поддерживают аутентификацию с открытым ключом на основе RSA

Аутентификация пользователей на основе RSA использует пару закрытый/открытый ключ, связанную с каждым пользователем для аутентификации. Пользователь должен сгенерировать пару закрытый/открытый ключ на клиенте и настроить открытый ключ на SSH-сервере Cisco IOS для завершения аутентификации.

Пользователь SSH, пытающийся установить учетные данные, предоставляет зашифрованную подпись с использованием закрытого ключа.Подпись и открытый ключ пользователя отправляются на SSH-сервер для аутентификации. Сервер SSH вычисляет хэш открытого ключа, предоставленного пользователем. Хэш используется, чтобы определить, есть ли на сервере совпадающая запись. Если совпадение найдено, выполняется проверка сообщения на основе RSA с использованием открытого ключа. Следовательно, пользователь аутентифицируется или ему отказано в доступе на основе зашифрованной подписи.

Что нам нужно?

• Клиент SSH, поддерживающий аутентификацию RSA (SecureCRT, Putty, …)
• Пара закрытый/открытый ключ для каждого пользователя
• IOS, поддерживающая эту функцию (в данном примере я использую IOS версии 15)

Как настроить роутер?
1.Сгенерируйте пару закрытый/открытый ключ на клиенте; например:

• SecureCRT: перейдите в «Инструменты» -> «Создать открытый ключ».

  Например, чтобы связать имя пользователя «ciscozine» с открытым ключом:

   Ciscozine(config)#ip ssh pubkey-chain
  Ciscozine(conf-ssh-pubkey)#имя пользователя ciscozine
  Ciscozine (conf-ssh-pubkey-user)#key-string
  Ciscozine (conf-ssh-pubkey-data)#$yc2EAAAADAQABAQQQAQC8IV2QIeshErol+zzo4Uh7pvL9vwXXAi1R
  Ciscozine (conf-ssh-pubkey-data)#$SrM71X600nAY9TJI6lv0qbRoc3Kw9Utxzc3LR5ZtpRS333zhF7aNX
  Ciscozine (conf-ssh-pubkey-data)#$mKvo9k3+5gdVsoy8NXTny5+Q1I2q0xvA666lZNMvujgWynBgBe+gc
  Ciscozine (conf-ssh-pubkey-data)#$BVgCu3/Jm2TjeLY+5/9L1T54lfVPKxijAHtZPnV3ToIVZTn7LWgHA
  Ciscozine (conf-ssh-pubkey-data)#$qY5RXcIbfxxxdgEjC6iU5mVXN3NcZkigVdadoZGJIo0lVRIcGLLyC
  Ciscozine (conf-ssh-pubkey-data)#cvnDvAlQzBSJFhsabcV1E3IVagNHyz/HrH/4fZBAKXuJabcgYi2n
  Ciscozine (conf-ssh-pubkey-data) # выход
  Ciscozine(conf-ssh-pubkey-user)#exit
  Ciscozine (conf-ssh-pubkey) # выход
  Ciscozine(config)#exit
  Ciscozine# 

  Примечание: После ввода команды «key-string» скопируйте весь открытый ключ, который вы сделали ранее.