Настройка ssh cisco: Вы заблудились на сайте компьютерного мастера

Содержание

Настройка SSH в Cisco / Хабр

Задача:

Настроить SSH в Cisco. Сделать SSH средой по умолчанию для терминальных линий.

Решение:

1. cisco> enable 2. cisco# clock set 17:10:00 28 Aug 2009 3. cisco# configure terminal 4. cisco(config)# ip domain name test.dom 5. cisco(config)# crypto key generate rsa 6. cisco(config)# service password-encryption 7. cisco(config)# username user privilege 15 password 7 Pa$$w0rd 8. cisco(config)# aaa new-model 9. cisco(config)# line vty 0 4 10. cisco(config-line)# transport input ssh 11. cisco(config-line)# logging synchronous 12. cisco(config-line)# exec-timeout 60 0 13. cisco(config-line)# exit 14. cisco(config)# exit 15. cisco# copy running-config startup-config

Пояснение:

1. Входим в привилегированный режим
2. Устанавливаем точное время для генерации ключа

3. Входим в режим конфигурирования
4. Указываем имя домена (необходимо для генерации ключа)
5. Генерируем RSA ключ (необходимо будет выбрать размер ключа)
6. Активируем шифрование паролей в конфигурационном файле
7. Заводим пользователя с именем user, паролем Pa$$w0rd и уровнем привилегий 15
8. Активируем протокол ААА. (до активации ААА в системе обязательно должен быть заведен хотя бы один пользователь)
9. Входим в режим конфигурирования терминальных линий с 0 по 4
10. Указываем средой доступа через сеть по умолчанию SSH
11. Активируем автоматическое поднятие строки после ответа системы на проделанные изменения
12. Указываем время таймаута до автоматического закрытия SSH сессии в 60 минут
13. Выходим из режима конфигурирования терминальных линий
14. Выходим из режима конфигурирования
15. Сохраняем конфигурационный файл в энергонезависимую память

Как включить ssh в Cisco на примере Cisco 2960+48TC-S

Обновлено 02.12.2016

Добрый день уважаемые читатели, сегодня хочу вам рассказать, как производится настройка ssh cisco. Если вы только начинающий сетевой инженер, то вы должны себе уяснить, что хоть устройства Cisco и имеют GUI интерфейс управления, его никто не использует, так как соединение ssh надежнее и подтверждает, что человек, который по нему подключился как минимум знает, что делает. Еще одним из преимуществ является, то что ssh соединение, это просто консольный ввод команд, а значит он кушает меньше трафика и требует меньшую сетевую пропускную способность, в отличии от графического GUI интерфейса, а это означает, что вы легко сможете управлять устройством из мест, где очень слабый интернет.

Что такое ssh соединение

Прежде чем, что то настраивать я всегда вам рекомендую разобраться в базовых понятиях и принципах работы нужной технологии. И так, что же такое ssh соединение > Secure Shell или в простонародье ssh, это безопасная оболочка, реализованная посредством сетевого протокола, работающего на прикладном уровне модели OSI, благодаря ему вы можете производить удаленное управление операционной системой (или устройством на котором она работает), производить туннелирование TCP соединений, для передачи файлов. Многие из вас сразу могут провести аналогию с протоколом telnet, но есть одно но, ssh соединение шифрует и передаваемые пароли и весь остальной трафик. Самое классное, что при работе за удаленным компьютером через данную командную оболочку можно передавать по зашифрованному каналу медиа и видео потоки, далеко за примером ходить не буду, веб камеры.

По умолчанию ssh соединение работает по 22 TCP порту. Данные шифруются с помощью симметричного шифрования, используя алгоритмы:

Целостность передачи данных проверяется с помощью хэшей CRC32 в SSh2 или HMAC-SHA1/HMAC-MD5 в SSh3

Настройка ssh cisco

И так давайте рассмотрим как производится настройка ssh cisco, я буду это показывать на примере симулятора Cisco packet tracer, но отличий от реального оборудования вы не обнаружите. До этого мы уже создали локального пользователя net_admin. Давайте включим ssh соединение и дадим ему возможность подключаться через него.

Заходим в режим конфигурирования и вводим.

vty означает виртуальный терминал

Как включить ssh в Cisco на примере Cisco 2960+48TC-S-01

Дальше включаем ssh для входящего трафика

transport input ssh

Как включить ssh в Cisco на примере Cisco 2960+48TC-S-02

Говорим что авторизация будет через локальное хранилище учетных записей, выходим и сохраняем настройки.

Как включить ssh в Cisco на примере Cisco 2960+48TC-S-03

так же может потребоваться сгенерировать ключ шифрования, бывают случаи, что вы все включили, а ssh соединение не проходит, и происходит это из за того, что нет ключа, давайте покажу как его сгенерировать в ручную.

На вопрос какой размер ключа, я ответил 768

Посмотреть сгенерированный ssh ключ, можно командой:

show crypto key mypubkey rsa

Посмотреть текущие ssh соединения можно командой:

Обратите внимание, что тут видно версию ssh, у меня это ssh 2.0

Еще есть полезная команда who, она показывает и консольные соединения и еще Ip адреса откуда идет подключение.

Безопасность ssh соединения Cisco

Очень важным моментом настройки ssh cisco, является еще и безопасность, все конечно здорово, что трафик шифруется, но нам нужно желательно изменить порт подключения на нестандартный и ограничить количество попыток соединения, ниже этим и займемся.

Для начала давайте ограничим количество попыток соединения по ssh протоколу, пишем:

ip ssh authentication-retries 3

Сразу включим занесение всех событий по терминалу в журнал. Это даст информацию кто и с каких ip адресов пытался подключиться. Если вы вдруг обнаружите большое количество сообщений, в которых идет попытка залогиниться с ошибкой, то у вас подбирают пароль.

В таких случаях, да и вообще в принципе настройка ssh cisco всегда должна быть на нестандартный порт, например 2233

ip ssh port 2233 rotary 1

Хоть rotary и дает возможность производить подключение по ssh по нестандартному порту, 22 порт он не выключает, сделать это нужно в ручную, с помощью

access-list

ip access-list extended ssh_22

deny tcp any host 192.168.2.1 eq 22

Применим access-list к внешнему интерфейсу маршрутизатора

interface FastEthernet0/1

description uplink

ip address 192.168.2.1 255.255.255.0

ip access-group ssh_22

ip nat outside

Теперь давайте назначим созданный rotary на виртуальный терминал vty

Если хотите, то можете вообще указать отдельному vty, но учтите, что если терминал будет занят, то подключиться у другого не получиться.

Если стоит задача ограничить ssh подключение двумя сессиями, то вот команда:

Ограничение времени timeoutá (по дефолту 300 секунд). SSH сервер прерывает соединение, если не передаются никакие данные в течение этого времени ожидания.

Для того, чтобы вам подключиться по ssh соединению, нужно скачать любую программу для этого, у меня это putty, во вкладке session в поле Host name я ввожу Ip адрес устройства к которому я буду подключаться, протокол ставлю ssh и порт 22, нажимаю Open.

Как настроить SSH на коммутаторах Catalyst под управлением ОС CatOS

Содержание

Введение
Предварительные условия
      Требования
      Используемые компоненты
      Условные обозначения
Сетевой график
Конфигурация коммутатора
Отключение SSH
Отладка в Catalyst
Команда debug, примеры хорошего подключения
      Solaris для Catalyst, стандарт тройного шифрования данных (3DES), пароль Telnet
      ПК к Catalyst, 3DES, пароль Telnet
      Solaris до Catalyst, 3DES, аутентификация, авторизация и учет (AAA)
Команда debug, примеры возможных проблем
      Отладка Catalyst, когда клиент делает [неподдерживаемую] попытку шифрования по алгоритму Blowfish
      Отладка ускорителя процесса с неверным паролем протокола сети связи
      Отладка Catalyst с недействительной проверкой подлинности AAA
Дополнительные сведения

Этот документ содержит пошаговые инструкции по настройке Secure Shell (SSH) версии 1 на коммутаторах Catalyst под управлением Catalyst OS (CatOS). Тестировалась версия cat6000-supk9.6-1-1c.bin.

Требования

Данная таблица показывает состояние поддержки SSH в коммутаторах. Зарегистрированные пользователи могут увидеть образы этого программного обеспечения, посетив Software Center (только для зарегистрированных клиентов).

CatOS SSH
Устройство	Поддержка SSH
Cat 4000/4500/2948G/2980G (CatOS)	образы K9, начиная с 6.1
Cat 5000/5500 (CatOS)	образы K9, начиная с 6.1
Cat 6000/6500 (CatOS)	образы K9, начиная с 6.1
IOS SSH
Устройство	Поддержка SSH
Cat 2950*	12.1(12c)EA1 и более поздние
Cat 3550*	12.1(11)EA1 и более поздние
Cat 4000/4500 (ПО интегрированной Cisco IOS)*	12.1(13)EW и более поздние **
Cat 6000/5500 (ПО интегрированной Cisco IOS)*	12.1(11b)E и более поздние
Cat 8540/8510	12.1(12c)EY и более поздние, 12.1(14)E1 и более поздние
Нет SSH
Устройство	Поддержка SSH
Cat 1900	нет
Cat 2800	нет
Cat 2948G-L3	нет
Cat 2900XL	нет
Cat 3500XL	нет
Cat 4840G-L3	нет
Cat 4908G-L3	нет

* Настройка описана в Настройка Secure Shell на маршрутизаторах Cisco IOS.

** Поддержка SSH отсутствует в релизе 12.1E для Catalyst 4000 под управлением программного обеспечения интегрированной Cisco IOS.

Для применения в 3DES см. Encryption Software Export Distribution Authorization Form.

В этом документе предполагается, что аутентификация производится до реализации SSH (через пароль Telnet, TACACS+) или RADIUS. SSH с Kerberos не поддерживается до реализации SSH.

Используемые компоненты

Этот документ касается только Catalyst 2948G, Catalyst 2980G, Catalyst серии 4000/4500, Catalyst серии 5000/5500 и Catalyst серии 6000/6500 под управлением CatOS образа K9. Дополнительные сведения см. в разделе Требования данного документа.

Сведения, представленные в данном документе, были получены на тестовом оборудовании в специально созданных лабораторных условиях. При написании данного документа использовались только данные, полученные от устройств с конфигурацией по умолчанию. При работе с реально функционирующей сетью необходимо полностью осознавать возможные последствия выполнения команд до их применения.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. в разделе Технические советы Cisco. Условные обозначения.

!--- Создайте и проверьте ключ RSA.

sec-cat6000> (enable) set crypto key rsa 1024
Generating RSA keys..... [OK]
sec-cat6000> (enable) ssh_key_process: host/server key size: 1024/768

!--- Выведите ключ RSA на экран.

sec-cat6000> (enable) show crypto key
RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360
577332853671704785709850606634768746869716963940352440620678575338701550888525
699691478330537840066956987610207810959498648179965330018010844785863472773067
697185256418386243001881008830561241137381692820078674376058275573133448529332
1996682019301329470978268059063378215479385405498193061651

!--- Укажите, каким узлам и подсетям разрешено использовать SSH для коммутатора. !--- Примечание. Если этого не сделать, коммутатор выдаст сообщение !--- WARNING!! IP permit list has no entries! (предупреждение. Список разрешенных IP-адресов пуст.)

sec-cat6000> set ip permit 172.18.124.0 255.255.255.0
172.18.124.0 with mask 255.255.255.0 added to IP permit list.

!--- Включите SSH.

sec-cat6000> (enable) set ip permit enable ssh
SSH permit list enabled.

!--- Проверьте список разрешенных адресов для SSH.

sec-cat6000> (enable) show ip permit
Telnet permit list disabled.
Ssh permit list enabled.
Snmp permit list disabled.
Permit List Mask Access-Type
---------------- ---------------- -------------
172.18.124.0 255.255.255.0 telnet ssh snmp

Denied IP Address Last Accessed Time Type
----------------- ------------------ ------

В некоторых ситуациях может возникнуть необходимость в отключении SSH на коммутаторе. Необходимо проверить, настроен ли SSH на коммутаторе, и если да, отключить его.

Чтобы проверить, был ли SSH настроен на коммутаторе, введите команду show crypto key. Если выводится ключ RSA, SSH настроен и включен на коммутаторе. Ниже приводится пример.

sec-cat6000> (enable) show crypto key
RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360
577332853671704785709850606634768746869716963940352440620678575338701550888525
699691478330537840066956987610207810959498648179965330018010844785863472773067
697185256418386243001881008830561241137381692820078674376058275573133448529332
1996682019301329470978268059063378215479385405498193061651

Чтобы удалить ключ шифрования, введите команду clear crypto key rsa для отключения SSH на коммутаторе. Ниже приводится пример.

sec-cat6000> (enable) clear crypto key rsa 
Do you really want to clear RSA keys (y/n) [n]? y 
RSA keys has been cleared. 
sec-cat6000> (enable)

Чтобы включить отладку, введите команду set trace ssh 4.

Чтобы выключить отладку, введите команду set trace ssh 0.

Solaris для Catalyst, стандарт тройного шифрования данных (3DES), пароль Telnet

Solaris

rtp-evergreen# ssh -c 3des -v 10.31.1.6
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.31.1.6 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) and host key (1024 bits).
Host key not found from the list of known hosts.
Are you sure you want to continue connecting (yes/no)? yes
Host '10.31.1.6' added to the list of known hosts.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: 3des
rtp-evergreen: Sent encrypted session key.
rtp-evergreen: Installing crc compensation attack detector.
rtp-evergreen: Received encrypted confirmation.
rtp-evergreen: Doing password authentication.
[email protected]'s password: 
rtp-evergreen: Requesting pty.
rtp-evergreen: Failed to get local xauth data.
rtp-evergreen: Requesting X11 forwarding with authentication spoofing.
Warning: Remote host denied X11 forwarding, perhaps xauth program 
   could not be run on the server side. 
rtp-evergreen: Requesting shell.
rtp-evergreen: Entering interactive session.

Cisco Systems Console

sec-cat6000>

Catalyst

sec-cat6000> (enable) debug: _proc->tty = 0x8298a494, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: root
debug: Trying Local Login
Password authentication for root accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 34
Unknown packet type received after authentication: 34
debug: ssh received packet type: 12
debug: ssh88: starting exec shell
debug: Entering interactive session.

ПК к Catalyst, 3DES, пароль Telnet

Catalyst

debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: des
debug: Received session key; encryption turned on.
debug: ssh login by user: 
debug: Trying Local Login
Password authentication for accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 37
Unknown packet type received after authentication: 37
debug: ssh received packet type: 12
debug: ssh89: starting exec shell
debug: Entering interactive session.

Solaris до Catalyst, 3DES, аутентификация, авторизация и учет (AAA)

Solaris

Solaris with aaa on:
rtp-evergreen# ssh -c 3des -l abcde123 -v 10.31.1.6
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.31.1.6 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) and host key (1024 bits).
rtp-evergreen: Host '10.31.1.6' is known and matches the host key.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: 3des
rtp-evergreen: Sent encrypted session key.
rtp-evergreen: Installing crc compensation attack detector.
rtp-evergreen: Received encrypted confirmation.
rtp-evergreen: Doing password authentication.
[email protected]'s password: 
rtp-evergreen: Requesting pty.
rtp-evergreen: Failed to get local xauth data.
rtp-evergreen: Requesting X11 forwarding with authentication spoofing.
Warning: Remote host denied X11 forwarding, perhaps xauth program
   could not be run on the server side.
rtp-evergreen: Requesting shell.
rtp-evergreen: Entering interactive session.

Cisco Systems Console

sec-cat6000>

Catalyst

sec-cat6000> (enable) debug: _proc->tty = 0x82a07714, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: abcde123
debug: Trying TACACS+ Login
Password authentication for abcde123 accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 34
Unknown packet type received after authentication: 34
debug: ssh received packet type: 12
debug: ssh88: starting exec shell
debug: Entering interactive session.

Отладка Catalyst, когда клиент делает [неподдерживаемую] попытку шифрования по алгоритму Blowfish

debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: blowfish
cipher_set_key: unknown cipher: 6
debug: Calling cleanup

Отладка ускорителя процесса с неверным паролем протокола сети связи

debug: _proc->tty = 0x82897414, socket_index = 4
debug: version: SSH-1.5-1.2.26
debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: 
debug: Trying Local Login
debug: Password authentication for failed.

Отладка Catalyst с недействительной проверкой подлинности AAA

cat6000> (enable) debug: _proc->tty = 0x829abd94, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: junkuser
debug: Trying TACACS+ Login
debug: Password authentication for junkuser failed.
SSH connection closed by remote host.
debug: Calling cleanup

Как настроить доступ по SSH к роутеру Cisco | cisco

Можно настроить доступ к CLI почти на всех роутерах (с современной IOS), и к некоторым коммутаторам Catalyst (к каким можно, лучше узнать на сайте Cisco по версии IOS и модели коммутатора). Включается доступ по SSH так:

1. Зачем-то прописывается домен:

(config)#ip domain name domainnamehere.com

2. Генерируется ключ:

(config)#crypto key generate rsa
The name for the keys will be: kras831-10.80.176.254.domainnamehere.com
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.
How many bits in the modulus [512]: 
% Generating 512 bit RSA keys, keys will be non-exportable...[OK]

Проверить наличие ключа можно командой

#show crypto key mypubkey rsa

Эта команда вместе с генерацией пары ключей автоматически активирует SSH-сервер. Удаление RSA-ключа делается командой (при этом автоматически деактивируется SSH-сервер):

(config)#crypto key zeroize rsa

В конфигурации startup-config или running config команда crypto key generate rsa не отображается.

3. Включаем доступ к консоли CLI по SSH:

(config)#line vty 0 4
(config-line)#transport input all

или

(config-line)#transport input ssh

Примечание: transport output включает возможность подключаться по telnet или ssh к другим цискам.

3a (другой вариант). Используем команду ip ssh для активации SSH-сервера на всех каналах виртуального терминала:

[Проверка конфигурации протокола SSH]

Просмотр сгенерированного открытого (public) RSA-ключа:

#show crypto key mypubkey rsa

Просмотр активных сеансов SSH:

[Включение ssh на определенном порту]

Используемые команды:

Router(config)#line line-number [ending-line-number] 
Router(config-line)#no exec 
Router(config-line)#login {local | authentication listname 
Router(config-line)#rotary group 
Router(config-line)#transport input {all | ssh} 
Router(config-line)#exit 
Router(config)#ip ssh port portnum rotary group

Пример конфигурации [1]:

!--- Line 1 SSH Port Number 2001
line 1
   no exec
   login authentication default
   rotary 1
   transport input ssh

!--- Line 2 SSH Port Number 2002
line 2
   no exec
   login authentication default
   rotary 2
   transport input ssh

!--- Line 3 SSH Port Number 2003
line 3
   no exec
   login authentication default
   rotary 3
   transport input ssh
ip ssh port 2001 rotary 1 3

[Ссылки]

1. Secure Shell (SSH) FAQ site:cisco.com.

Доступ по SSH на Cisco IOS

Read the article CONFIGURING SSH ON CISCO IOS in English

Вопрос «как настроить подключение к Cisco по протоколу SSH?» возникает у каждого, кто сталкивается с этим оборудованием. Ответ — «Просто!»
Для примера возьмем модель маршрутизатора Cisco 881. Команды для настройки других маршрутизаторов (1841, 2800, 3825…) или коммутаторов (2900, 3500, 4800…) будут аналогичными. Различие может быть лишь в настройке интерфейсов. (Настройка доступ по протоколу SSH на межсетевые экраны Cisco ASA описана в статье «Cisco ASA. Основы. Доступ в Интернет»
Итак, в нашем распоряжении:

маршрутизатор Cisco 881
рабочая станция администратора
несколько компьютеров в локальной сети офиса
коммутатор, который используется для организации локальной сети офиса

Задача: настроить защищенное подключение к маршрутизатору Cisco с помощью протокола SSH и обеспечить безопасное удаленное управление.

Шаг 0. Настройка интерфейса

На маршрутизаторе должен быть включен интерфейс, который будет использоваться для управления. В нашем случае это будет внутренний (LAN) интерфейс Fastethernet 0.

Для справки:
На Маршрутизаторе Cisco 881 имеется один интерфейс 3го уровня Fastethernet 4 (тот, на котором сразу можно задать IP адрес) и встроенный коммутатор с четырьмя интерфейсами 2го уровня (Fastethernet 0 – Fastethernet 3). На каждый из этих 4ех интерфейсов можно привязать по одному(!) виртуальному интерфейсу 3го уровня. (Vlan).
Для интерфейса управления маршрутизатора выбираем первый доступный адрес в сети офиса — 192.168.0.1. Далее заходим в настройки виртуального интерфейса Vlan 1 и присваиваем ему этот ip адрес. После этого привязываем его к одному из физических интерфейсов маршрутизатора (Fastethernet 0) и включаем его командой no shut.

Для наглядности:
ip address => interface Vlan X => interface Fastethernet Y
Задаем ip адрес на интерфейсе Vlan 1
R-DELTACONFIG (config)# interface Vlan 1 ip address 192.168.0.1 255.255.255.0 no shutsown
Привязываем Vlan 1 к физическому интерфейсу FastEthernet 0
R-DELTACONFIG (config)# interface Fa 0 switchport access vlan 1 no shutsown
Последнее действие выполняется для того, чтобы убедиться в корректности настройки. Vlan 1 привязан по умолчанию к каждому интерфейсу 2го уровня и строчка будет отображаться в конфигурации только, если номер Vlan будет отличаться от 1.
Далее необходимо проверить доступность созданного интерфейса с самого маршрутизатора, а затем с любой рабочей станции офиса, например с рабочей станции администратора. Подойдет простая проверка командой Ping. Естественно, что интерфейс маршрутизатора Fastethernet 0 должен быть соединен с коммутатором локальной сети (или напрямую с компьютером администратора) и адрес компьютера, с которого выполняется проверка, находится в той же сети, что и адрес интерфейса маршрутизатора (например 192.168.0.10).

Шаг 1 Создание учетной записи администратора

Для удаленного управления требуется создать учетную запись, если таковая еще отсутствует.
R-DELTACONFIG (config)# username admin secret *****
Вместо звездочек ****** задаем пароль для учетной записи admin.

Важно!
По правилам хорошего тона пароль состоит из заглавных и прописных букв, цифр и спец. символов, при этом не короче 8 символов.

Шаг 2 задание пароля на режим конфигурирования

При открытии консоли управления маршрутизатором пользователь попадает в упрощенный режим, из которого возможно посмотреть лишь некоторые параметры устройства и техническую информацию о нем. При этом рядом с названием устройства присутствует знак стрелки «>»
R-DELTACONFIG>
Для просмотра конфигурации маршрутизатора и дальнейшей его настройки необходимо ввести команду enable
R-DELTACONFIG> enable R-DELTACONFIG#
Изначально этот режим не защищен паролем и любой пользователь, который подключился консольным кабелем (про кабель и как подключиться описано в этой статье) сможет попасть в режим конфигурирования . С другой стороны, пользователь, который подключился удаленно (ssh/telnet),для которого не задан уровень привилегий (как раз наш случай), не сможет попасть в режим конфигурирования.
Задаем пароль на привилегированный режим (знак решетки # рядом с именем маршрутизатора), зайдя в режим конфигурирования (conf t).
R-DELTACONFIG (config)# R-DELTACONFIG (config)# enable secret ******
Этот пароль будет единым для всех пользователей.
Подробнее про режимы конфигурирования можно прочитать здесь.

Шаг 3. Включение удаленного управления

Для удаленного управления необходимо указать способ аутентификации пользователя командой login local
R-DELTACONFIG (config)# line vty 0 4 login local
После выполнения этого шага и при условии, что интерфейс управления маршрутизатора доступен пользователю, становится возможным подключение к маршрутизатору с помощью протокола telnet. Для этого необходимо из командной строки рабочей станции администратора выполнить команду
C:\Documents and Settings\***>telnet 192.168.0.1
Должен последовать запрос пользователя и пароля, которые были заданы в шаге 1. После успешной авторизации будет доступен упрощенный режим управления маршрутизатора (со стрелкой «>«). Для доступа к привилегированному режиму (#) необходимо ввести команду enable, а после пароль из шага 2.

Шаг 4 Настройка SSH

При использовании протокола Telnet (TCP порт 23) все команды и данные о конфигурировании устройства передаются в открытом виде, что потенциально небезопасно. Для защиты подключения используется протокол SSH (TCP порт 22).
Для настройки подключения через протокол SSH необходимо задать имя домена (любое), сгенерировать криптографический ключ доступа и включить сам протокол SSH версии 2.
R-DELTACONFIG (config)# ip domain-name deltaconfig.ru crypto key generate rsa Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. // после запроса необходимо указать 1024 How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] ip ssh ver 2
После выполнения этого шага появляется возможность подключаться через SSH с помощью специальной программы, поддерживающей данную функцию, например putty. Скачать можно по этой ссылке.

Шаг 5. Ограничение подключения к маршрутизатору только через SSH

Для того, чтобы исключить возможность подключения к маршрутизатору по протоколу Telnet необходимо ввести следующие команды:
R-DELTACONFIG (config)# line vty 0 4 transport input ssh
После этого удаленный доступ к консоли устройства будет невозможен кроме как по протоколу SSH.
Дополнительно можно ограничить доступ к управлению маршрутизатором или коммутатором Cisco только с определенных ip адресов. Как это сделать описано в этой статье.

Важно!
Будьте осторожны с доступом на устройства. Не пренебрегайте защитой подключения и ограничения круга лиц, допущенных к управлению.

Важно!

Не забудьте сохранить конфигурацию всех устройств командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
R-DELTACONFIG#write Building configuration... [OK]

Перейти к оглавлению

Как настроить SSH для Cisco

SSH протокол часто используют для удаленного управления маршрутизаторами и коммутаторами. В частности, для управления сетевым оборудованием компании Cisco. Настройка этого оборудования для подключения по SSH и будет рассмотрена в данной статье.

Почему именно SSH для Cisco

SSH — это защищенный протокол, который станет помехой для подборщиков и взломщиков, которые захотят завладеть вашим сетевым оборудованием Cisco.

Но важна правильная настройка, если вы хотите, чтобы ваш маршрутизатор был в безопасности.

А для Cisco настройка протокола SSH осуществляется по особым правилам, не так, как создается удаленное управление сервером во Free BSD.

Как настроить SSH подключение для Cisco

Настройка начинается с того, что вам необходимо войти в привилегированный режим. Для этого воспользуйтесь следующей командой: cisco> enable. Лучше всего использовать публичный ключ для соединения с оборудованием, потому рекомендуется сгенерировать RSA. А для этого в Cisco необходимо установить точную дату и время, иначе ключ не сработает: cisco# clock set 17:10:00 28 Aug 2016. После этого переходите в непосредственный режим изменения конфигураций, который понадобится для создания подключения по SSH протоколу: cisco# configure terminal

Чтобы сформировать открытый ключ, вам нужно будет ввести имя домена, под которым клиент будет подключаться к сетевому оборудованию. Для этого воспользуйтесь командой: cisco(config)# ip domain name имя_домена.ру. Уже после этого можно генерировть RSA-ключ, используя следующую комбинацию: cisco(config)# crypto key generate rsa. Если вы хотите усилить защиту вашего сетевого оборудования, то можете воспользоваться дополнительными паролями, только активируйте предварительно их шифрование при помощи команды: cisco(config)# service password-encryption.

Далее вам предстоит создать пользователя, придумать для него пароль и указать уровень доступа: cisco(config)# username имя_пользователя privilege 15 password 7 пароль. Только после того, как вы заведете хотя бы одного пользователя в системе, можно будет запустить протокол AAA, используя следующую команду: cisco(config)# aaa new-model. А чтобы окончательно запустить терминальные линии по SSH протоколу, вам нужно зайти в их конфигурации. Для этого напишите: cisco(config)# line vty 0 4, где можете указать значение конфигураций от 0 до 4. После этого вы сможете активировать подключение по SSH протоколу — пропишите cisco(config-line)# transport input ssh.

Хоть вы уже и запустили терминальные линии по протоколу SSH, введите эту функцию для сохранения изменений: cisco(config-line)# logging synchronous, а также пропишите значение для таймаута сессии SSH: cisco(config-line)# exec-timeout 60 0. После этого выйдете из config-line и config. И напоследок добавьте новые конфигурации в систему сетевого оборудования Cisco: cisco# copy running-config startup-config. Все — работа сделана, теперь ваше оборудование будет работать по защищенному подключению SSH.

Настройка ssh в Cisco Дневник Максим Боголепов

Для обеспечения безопасности при работе с такими сетевыми устройствами, как Cisco, при их настройке лучше отказаться от использования web-доступа (по 80 и 443 порту) и telnet (23 порт). В заметке рассказано, как настроить доступ по ssh.

Подключаемся с cisco любым способом, входим в режим конфигурирования и присваиваем устройству hostname:

Router>enable
Router#configure terminal
Router(config)#hostname main-router
main-router(config)#

Установите пароли на доступ к устройству (пользователя cisco, пароли password1 и password2 – установите свои!):

main-router(config)#enable secret password1
main-router(config)#username cisco privilege 15 password2

Обязательно установите domainname, без этого у вас не произойдет генерация ключей:

main-router(config)#ip domain name domain.ru

В режиме конфигурирования произведите собственно генерацию ключей ssh (размерность шифрования ключей, в данном случае 1024, можете выбрать свою):

main-router(config)#crypto key generate rsa encryption modulus 1024

Только после этого произведите настройку ssh в cisco:

main-router(config)#ip ssh time-out 30
main-router(config)#ip ssh authentication-retries 2
main-router(config)#ip ssh version 2
main-router(config)#ip ssh source-interface FastEthernet 0/1

Настройте доступ к виртуальному терминалу:

main-router(config)#line vty 0 4
main-router(config-line)#exec-timeout 0 0
main-router(config-line)#privilege level 15
main-router(config-line)#logging synchronous
main-router(config-line)#login local
main-router(config-line)#transport input ssh
main-router(config-line)#transport output ssh
main-router(config-line)#exit

Нам осталось запретить web доступ к 80 и 443 портам, выйти из режима конфигурирования и сохранить наши изменения:

main-router(config)#no ip http server
main-router(config)#no ip http secure-server
main-router(config)#exit
main-router#write memory
Building configuration...
[OK]

Вот и все. Удачи!

Настройка Secure Shell на маршрутизаторах и коммутаторах под управлением Cisco IOS

Secure Shell (SSH) — это протокол, который обеспечивает безопасное подключение удаленного доступа к сетевым устройствам. Обмен данными между клиентом и сервером зашифрован как в SSH версии 1, так и в SSH версии 2. По возможности внедряйте SSH версии 2, так как в ней используется более надежный алгоритм шифрования.

В этом документе обсуждается, как настроить и отладить SSH на маршрутизаторах или коммутаторах Cisco, на которых работает версия программного обеспечения Cisco IOS ^®, поддерживающая SSH.Этот документ содержит дополнительную информацию о конкретных версиях и образах программного обеспечения.

Требования

Используемый образ Cisco IOS должен быть образом k9 (шифрование) для поддержки SSH. Например, c3750e-universalalk9-tar.122-35.SE5.tar — это образ k9 (крипто).

Используемые компоненты

Информация в этом документе основана на программном обеспечении Cisco IOS 3600 (C3640-IK9S-M), версии 12.2 (2) T1.

SSH был введен в эти платформы и образы Cisco IOS:

SSH Версия 1.0 (SSH v1) был представлен в некоторых платформах и образах Cisco IOS, которые запускаются в ПО Cisco IOS версии 12.0.5.S.
SSH-клиент был представлен в некоторых платформах и образах Cisco IOS, начиная с версии программного обеспечения Cisco IOS 12.1.3.T.
SSH доступ к терминальной линии (также известный как обратный Telnet) был представлен в некоторых платформах и образах Cisco IOS, начиная с версии программного обеспечения Cisco IOS 12.2.2.T.
SSH версии 2.0 (SSH v2) была представлена в некоторых платформах и образах Cisco IOS, начиная с версии программного обеспечения Cisco IOS 12.1 (19) E.
См. Как настроить SSH на коммутаторах Catalyst, работающих под управлением CatOS, для получения дополнительной информации о поддержке SSH в коммутаторах.

Обратитесь к консультанту по программному обеспечению (только для зарегистрированных клиентов) для получения полного списка наборов функций, поддерживаемых в различных версиях программного обеспечения Cisco IOS и на разных платформах.

Информация, представленная в этом документе, была создана на устройствах в определенной лабораторной среде.Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если вы находитесь в действующей сети, убедитесь, что вы понимаете потенциальное влияние любой команды, прежде чем использовать ее.

Условные обозначения

См. Раздел Условные обозначения технических советов Cisco для получения дополнительной информации об условных обозначениях в документе.

Используйте Cisco Software Advisor (только для зарегистрированных клиентов), чтобы помочь вам найти версию кода с соответствующей поддержкой SSH v1 или SSH v2.

Проверка аутентификации без SSH

Сначала проверьте аутентификацию без SSH, чтобы убедиться, что аутентификация работает с маршрутизатором Carter, прежде чем добавлять SSH. Аутентификация может осуществляться с использованием локального имени пользователя и пароля или с помощью сервера аутентификации, авторизации и учета (AAA), на котором работает TACACS + или RADIUS. (Аутентификация через пароль линии невозможна с SSH.) В этом примере показана локальная аутентификация, которая позволяет подключаться к маршрутизатору через Telnet с именем пользователя «cisco» и паролем «cisco».«

 
! --- Команда  aaa new-model  заставляет локальное имя пользователя и пароль на маршрутизаторе! --- использоваться в отсутствие других операторов AAA.
 
  aaa новая модель 
имя пользователя cisco пароль 0 cisco
строка vty 0 4
транспортный ввод telnet
 
! --- Вместо  aaa new-model  можно использовать команду  login local .

Проверка аутентификации с SSH

Чтобы проверить аутентификацию с помощью SSH, вы должны добавить к предыдущим операторам, чтобы включить SSH на Картере и протестировать SSH со станций ПК и UNIX.

 ip доменное имя rtp.cisco.com
 
! --- Сгенерируйте SSH-ключ, который будет использоваться с SSH.
 
 Криптографический ключ  генерирует RSA 
ip ssh тайм-аут 60
ip ssh аутентификация-повторные попытки 2

На этом этапе команда show crypto key mypubkey rsa должна показать сгенерированный ключ. После добавления конфигурации SSH проверьте возможность доступа к маршрутизатору с ПК и станции UNIX. Если это не сработает, см. Раздел отладки этого документа.

Запретить подключения не по SSH

Если вы хотите предотвратить соединения, отличные от SSH, добавьте команду transport input ssh под строками, чтобы ограничить маршрутизатор только SSH-соединениями. Прямые (не SSH) Telnet-сети отклоняются.

 линия VTY 0 4
 
! --- Запретить Telnets без SSH.
 
  транспортный ввод ssh

Проверьте, что пользователи, не использующие SSH, не могут подключиться по Telnet к маршрутизатору Carter.

Настройка маршрутизатора или коммутатора IOS в качестве клиента SSH

Чтобы включить поддержку SSH на маршрутизаторе Cisco IOS, необходимо выполнить четыре шага:

Настройте команду hostname .
Настройте домен DNS.
Создайте ключ SSH, который будет использоваться.
Включить поддержку транспорта SSH для терминала виртуального типа (vtys).

Если вы хотите, чтобы одно устройство работало как SSH-клиент для другого, вы можете добавить SSH ко второму устройству под названием Reed. Эти устройства затем находятся в конфигурации клиент-сервер, где Картер действует как сервер, а Рид действует как клиент. Конфигурация клиента SSH Cisco IOS на Reed такая же, как требуется для конфигурации сервера SSH на Carter.

 
! --- Шаг 1. Сконфигурируйте имя хоста, если вы этого не делали ранее.
 
картер имени хоста
 
! --- Команда  aaa new-model  заставляет локальное имя пользователя и пароль на маршрутизаторе! --- использоваться в отсутствие других операторов AAA.
 
  aaa новая модель 
имя пользователя cisco пароль 0 cisco
 
! --- Шаг 2: Настройте DNS-домен маршрутизатора.
 
ip доменное имя rtp.cisco.com
 
! --- Шаг 3. Создайте ключ SSH, который будет использоваться с SSH.
 Криптографический ключ  генерирует RSA 
ip ssh тайм-аут 60
ip ssh аутентификация-повторные попытки 2
 
! --- Шаг 4. По умолчанию транспортным средством vtys является Telnet. В этом случае! --- Telnet отключен и поддерживается только SSH.
 
строка vty 0 4
транспортный вход SSH
 
! --- Вместо  aaa new-model  можно использовать команду  login local .

Выполните эту команду для SSH от клиента Cisco IOS SSH (Reed) к серверу Cisco IOS SSH (Carter), чтобы проверить это:

SSH версии 1:
```
  ssh -l cisco -c 3des 10.13.1.99 
 
```

SSH версии 2:

  ssh -v 2 -c aes256-cbc -m hmac-sha1-160 -l cisco 10.31.1.99

Настройка маршрутизатора IOS в качестве сервера SSH, который выполняет аутентификацию пользователя на основе RSA

Выполните эти шаги, чтобы настроить сервер SSH для выполнения аутентификации на основе RSA.

Укажите имя хоста.

 Маршрутизатор (конфигурация) #  имя хоста <имя хоста>

Определите доменное имя по умолчанию.

 Маршрутизатор (конфигурация) #  ip domain-name <Имя домена>

Сгенерировать пары ключей RSA.

 Маршрутизатор (конфигурация) #  криптоключ генерирует RSA

Настройте ключи SSH-RSA для аутентификации пользователя и сервера.
```
 Маршрутизатор (конфигурация) #  ip ssh pubkey-chain 
 
```

Настройте имя пользователя SSH.

 Маршрутизатор (conf-ssh-pubkey) #  имя пользователя <имя пользователя>

Укажите открытый ключ RSA удаленного узла.

 Маршрутизатор (conf-ssh-pubkey-user) #  строка ключа

Укажите тип и версию ключа SSH. (необязательно)

 Маршрутизатор (conf-ssh-pubkey-data) #  key-hash ssh-rsa <идентификатор ключа>

Выйти из текущего режима и вернуться в привилегированный режим EXEC.
```
 Маршрутизатор (conf-ssh-pubkey-data) #  конец 
 
```
Примечание: Дополнительные сведения см. В разделе «Поддержка версии 2 Secure Shell».

Добавить SSH Terminal-Line Access

Если вам нужна исходящая SSH-аутентификация по линии терминала, вы можете настроить и протестировать SSH для исходящих обратных Telnet через Carter, который действует как коммуникационный сервер для Philly.

 ip ssh порт 2001 поворотный 1
строка 1 16
   нет exec
   поворотный 1
   транспортный ввод ssh
   время ожидания выполнения 0 0
   модем In Out
   Стоп-биты 1

Если Philly подключен к порту Картера 2, то вы можете настроить SSH для Philly через Carter из Reed с помощью этой команды:

SSH версии 1:
```
  ssh -c 3des -p 2002 10.13.1.99 
 
```

SSH версии 2:

  ssh -v 2 -c aes256-cbc -m hmac-sha1-160 -p 2002 10.31.1.99

Вы можете использовать эту команду из Solaris:

  SSH -c 3des -p 2002 -x -v 10.13.1.99

Ограничить доступ SSH к подсети

Вам необходимо ограничить возможность подключения SSH к определенной подсети, где все другие попытки SSH с IP-адресов за пределами подсети должны быть отброшены.

Вы можете использовать следующие шаги, чтобы добиться того же:

Определите список доступа, который разрешает трафик из этой конкретной подсети.
Ограничьте доступ к линейному интерфейсу VTY с помощью класса доступа.

Это пример конфигурации. В этом примере разрешен только SSH-доступ к подсети 10.10.10.0 255.255.255.0, любой другой доступ запрещен.

 Маршрутизатор (config) #  список доступа 23 разрешение 10.10.10.0 0.0.0.255 
Маршрутизатор (config) #  линия vty 5 15 
Маршрутизатор (config-line) #  транспортный вход ssh 
Маршрутизатор (config-line) #  класс доступа 23 в 
Маршрутизатор (config-line) # , выход

Примечание: Та же процедура для блокировки доступа SSH также применима к платформам коммутаторов.

Настроить версию SSH

Настроить SSH v1:

 carter (config) #  ip ssh версия 1

Настроить SSH v2:

 carter (config) #  ip ssh версия 2

Настроить SSH v1 и v2:

 carter (config) #  no ip ssh version

Примечание: Это сообщение об ошибке появляется при использовании SSHv1:

% SCHED-3-THRASHING: процесс прерывания при отслеживаемом событии сообщения.

Примечание: Идентификатор ошибки Cisco CSCsu51740 (только зарегистрированные клиенты) зарегистрирован для этой проблемы. Обходной путь — настроить SSHv2.

Варианты вывода команды баннера

Вывод команды banner зависит от Telnet и различных версий соединений SSH. В этой таблице показано, как разные параметры команды banner работают с различными типами соединений.

Параметр команды баннера	Telnet	только SSH v1	SSH версий 1 и 2	только SSH v2
баннер логин	Отображается перед входом в устройство .	Не отображается.	Отображается перед входом в устройство .	Отображается перед входом в устройство .
баннер motd	Отображается перед входом в устройство .	Отображается после входа в устройство.	Отображается после входа в устройство.	Отображается после входа в устройство.
баннер exec	Отображается после входа в устройство.	Отображается после входа в устройство.	Отображается после входа в устройство.	Отображается после входа в устройство.

Невозможно отобразить баннер входа в систему

SSH версии 2 поддерживает баннер входа в систему.Баннер входа отображается, если клиент SSH отправляет имя пользователя, когда он инициирует сеанс SSH с маршрутизатором Cisco. Например, когда используется ssh-клиент Secure Shell, отображается баннер входа в систему. Когда используется ssh-клиент PuTTY, баннер входа в систему не отображается. Это связано с тем, что Secure Shell отправляет имя пользователя по умолчанию, а PuTTY не отправляет имя пользователя по умолчанию.

Клиенту Secure Shell требуется имя пользователя для инициации подключения к устройству с поддержкой SSH.Кнопка «Подключиться» не активна, если вы не вводите имя хоста и имя пользователя. На этом снимке экрана показано, что баннер входа отображается, когда Secure Shell подключается к маршрутизатору. Затем отобразится запрос пароля для входа в систему.

Клиенту PuTTY не требуется имя пользователя для инициации SSH-подключения к маршрутизатору. На этом снимке экрана показано, что клиент PuTTY подключается к маршрутизатору и запрашивает имя пользователя и пароль. Баннер входа в систему не отображается.

На этом снимке экрана показано, что баннер входа в систему отображается, когда PuTTY настроен на отправку имени пользователя маршрутизатору.

Перед тем, как вводить описанные и проиллюстрированные здесь команды debug , обратитесь к разделу «Важная информация о командах отладки». Некоторые команды show поддерживаются Средством интерпретации выходных данных (только для зарегистрированных клиентов), которое позволяет просматривать анализ выходных данных команды show .

debug ip ssh — Отображает сообщения отладки для SSH.

show ssh — Отображает состояние подключений к серверу SSH.

 carter #  показать ssh 
  Версия подключения Состояние шифрования Имя пользователя
   0 1.5 Сессия DES запущена cisco

show ip ssh — отображает версию и данные конфигурации для SSH.

Версия 1 Соединение, а нет Версия 2

 carter #  показать ip ssh 
  SSH включен - версия 1.5
  Тайм-аут аутентификации: 60 секунд; Попыток аутентификации: 2

Версия 2 Подключение, а версия 1

 carter #  показать ip ssh 
  SSH включен - версия 2.0
  Тайм-аут аутентификации: 120 секунд; Попыток аутентификации: 3

Соединения версий 1 и 2

 carter #  показать ip ssh 
  SSH включен - версия 1.99
  Тайм-аут аутентификации: 120 секунд; Попыток аутентификации: 3

Отладка маршрутизатора

Примечание: Некоторые из этих хороших выходных данных отладки заключены в несколько строк из-за пространственных соображений.

 00:23:20: SSH0: запуск процесса управления SSH
00:23:20: SSH0: отправлено идентификатор версии протокола SSH-1.5-Cisco-1.25
00:23:20: SSH0: идентификатор версии протокола - SSH-1.5-1.2.26
00:23:20: SSH0: SSH_SMSG_PUBLIC_KEY сообщение
00:23:21: SSH0: SSH_CMSG_SESSION_KEY msg - длина 112, тип 0x03
00:23:21: SSH: расшифровка RSA началась
00:23:21: SSH: расшифровка RSA завершена
00:23:21: SSH: расшифровка RSA началась
00:23:21: SSH: расшифровка RSA завершена
00:23:21: SSH0: отправка подтверждения шифрования
00:23:21: SSH0: обмен ключами и шифрование на
00:23:21: SSH0: получено сообщение SSH_CMSG_USER
00:23:21: SSH0: запрос аутентификации для идентификатора пользователя cisco
00:23:21: SSH0: сообщение SSH_SMSG_FAILURE отправлено
00:23:23: SSH0: получено сообщение SSH_CMSG_AUTH_PASSWORD
00:23:23: SSH0: аутентификация для cisco прошла успешно
00:23:23: SSH0: запрос TTY
00:23:23: SSH0: настройка TTY - запрошено: длина 24, ширина 80; установленный:
   длина 24, ширина 80
00:23:23: SSH0: неверный запрос - 0x22
00:23:23: SSH0: получено сообщение SSH_CMSG_EXEC_SHELL
00:23:23: SSH0: запуск оболочки для VTY

Отладка сервера

Примечание: Этот вывод был записан на машине Solaris.

 rtp-evergreen.rtp.cisco.com #  ssh -c 3des -l cisco -v 10.31.1.99 
rtp-evergreen #  / opt / CISssh / bin / ssh -c 3des -l cisco -v 10.13.1.99 
SSH версии 1.2.26 [sparc-sun-solaris2.5.1], версия протокола 1.5.
Составлено с помощью RSAREF.
rtp-evergreen: чтение данных конфигурации / opt / CISssh / etc / ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: выделенный локальный порт 1023.
rtp-evergreen: подключение к 10.13.1.99 порту 22.
rtp-evergreen: соединение установлено.rtp-evergreen: удаленный протокол версии 1.5,
   версия удаленного ПО Cisco-1.25
rtp-evergreen: Ожидание открытого ключа сервера.
rtp-evergreen: полученный открытый ключ сервера (768 бит)
   и ключ хоста (512 бит).
rtp-evergreen: Хост '10 .13.1.99 'известен и соответствует ключу хоста.
rtp-evergreen: инициализация случайная; исходный файл //.ssh/random_seed
rtp-evergreen: Тип шифрования: 3des
rtp-evergreen: отправлен зашифрованный сеансовый ключ.
rtp-evergreen: Установка детектора атак компенсации crc.
rtp-evergreen: получено зашифрованное подтверждение.rtp-evergreen: аутентификация по паролю.
[email protected] пароль:
rtp-evergreen: запрос pty.
rtp-evergreen: не удалось получить локальные данные xauth.
rtp-evergreen: запрос пересылки X11 со спуфингом аутентификации.
Предупреждение: удаленному хосту запрещена пересылка X11, возможно, программа xauth
   не может быть запущен на стороне сервера.
rtp-evergreen: запрос оболочки.
rtp-evergreen: вход в интерактивный сеанс.

В этих разделах есть образцы выходных данных отладки из нескольких неправильных конфигураций.

SSH от клиента SSH, не скомпилированного со стандартом шифрования данных (DES)

Отладка Solaris

 rtp-evergreen #  / opt / CISssh / bin / ssh -c des -l cisco -v 10.13.1.99 
SSH версии 1.2.26 [sparc-sun-solaris2.5.1], версия протокола 1.5.
Составлено с помощью RSAREF.
rtp-evergreen: чтение данных конфигурации / opt / CISssh / etc / ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: выделенный локальный порт 1023.
rtp-evergreen: подключение к 10.13.1.99 порт 22.
rtp-evergreen: соединение установлено.
rtp-evergreen: удаленный протокол версии 1.5,
   версия удаленного ПО Cisco-1.25
rtp-evergreen: Ожидание открытого ключа сервера.
rtp-evergreen: полученный открытый ключ сервера (768 бит)
   и ключ хоста (512 бит).
rtp-evergreen: Хост '10 .13.1.99 'известен и соответствует ключу хоста.
rtp-evergreen: инициализация случайная; исходный файл //.ssh/random_seed
rtp-evergreen: Тип шифрования: des
rtp-evergreen: отправлен зашифрованный сеансовый ключ.
cipher_set_key: неизвестный шифр: 2

Отладка маршрутизатора

 00:24:41: SSH0: Сессия завершена нормально
00:24:55: SSH0: запуск процесса управления SSH
00:24:55: SSH0: отправил идентификатор версии протокола SSH-1.5-Cisco-1.25
00:24:55: SSH0: идентификатор версии протокола - SSH-1.5-1.2.26
00:24:55: SSH0: SSH_SMSG_PUBLIC_KEY сообщение
00:24:55: SSH0: SSH_CMSG_SESSION_KEY msg - длина 112, тип 0x03
00:24:55: SSH: расшифровка RSA началась
00:24:56: SSH: расшифровка RSA завершена
00:24:56: SSH: расшифровка RSA началась
00:24:56: SSH: расшифровка RSA завершена
00:24:56: SSH0: отправка подтверждения шифрования
00:24:56: SSH0: Сессия отключена - ошибка 0x07

Неверный пароль

Отладка маршрутизатора

 00:26:51: SSH0: запуск процесса управления SSH
00:26:51: SSH0: отправил идентификатор версии протокола SSH-1.5-Cisco-1.25
00:26:52: SSH0: идентификатор версии протокола - SSH-1.5-1.2.26
00:26:52: SSH0: SSH_SMSG_PUBLIC_KEY сообщение
00:26:52: SSH0: SSH_CMSG_SESSION_KEY msg - длина 112, тип 0x03
00:26:52: SSH: расшифровка RSA началась
00:26:52: SSH: расшифровка RSA завершена
00:26:52: SSH: расшифровка RSA началась
00:26:52: SSH: расшифровка RSA завершена
00:26:52: SSH0: отправка подтверждения шифрования
00:26:52: SSH0: обмен ключами и шифрование на
00:26:52: SSH0: получено сообщение SSH_CMSG_USER
00:26:52: SSH0: запрос аутентификации для идентификатора пользователя cisco
00:26:52: SSH0: сообщение SSH_SMSG_FAILURE отправлено
00:26:54: SSH0: получено сообщение SSH_CMSG_AUTH_PASSWORD
00:26:54: SSH0: аутентификация пароля не удалась для cisco
00:26:54: SSH0: сообщение SSH_SMSG_FAILURE отправлено
00:26:54: SSH0: ошибка аутентификации для cisco (код = 7)
00:26:54: SSH0: Сессия отключена - ошибка 0x07

Клиент SSH отправляет неподдерживаемый (Blowfish) шифр

Отладка маршрутизатора

 00:39:26: SSH0: запуск процесса управления SSH
00:39:26: SSH0: отправил идентификатор версии протокола SSH-1.5-Cisco-1.25
00:39:26: SSH0: идентификатор версии протокола - SSH-1.5-W1.0
00:39:26: SSH0: SSH_SMSG_PUBLIC_KEY сообщение
00:39:26: SSH0: SSH_CMSG_SESSION_KEY msg - длина 112, тип 0x03
00:39:26: SSH0: Сессия отключена - ошибка 0x20

Получение «% SSH-3-PRIVATEKEY: невозможно получить закрытый ключ RSA для» Ошибка

Если вы получаете это сообщение об ошибке, это может быть вызвано любым изменением имени домена или имени хоста. Чтобы решить эту проблему, попробуйте эти обходные пути.

Обнулить ключи RSA и заново сгенерировать ключи.

 криптоключ обнулить метку rsa key_name
криптоключ генерирует метку rsa имя_ключа модуль размер_ключа

Если предыдущее решение не помогло, попробуйте следующие шаги:
1. Обнулить все ключи RSA.
2. Перезагрузите устройство.
3. Создайте новые помеченные ключи для SSH.

Идентификатор ошибки Cisco CSCsa83601 (только зарегистрированные клиенты) был зарегистрирован для решения этой проблемы.

Если ваши команды конфигурации SSH отклоняются как недопустимые, вы не создали пару ключей RSA для вашего маршрутизатора. Убедитесь, что вы указали имя хоста и домен. Затем используйте команду crypto key generate rsa , чтобы сгенерировать пару ключей RSA и включить сервер SSH.
При настройке пары ключей RSA могут появиться следующие сообщения об ошибках:
1. Имя хоста не указано
  Имя хоста для маршрутизатора необходимо настроить с помощью команды глобальной настройки hostname .
2. Домен не указан
  Вы должны настроить домен хоста для маршрутизатора с помощью команды глобальной конфигурации ip domain-name .
Количество допустимых SSH-подключений ограничено максимальным количеством виртуальных терминалов, настроенных для маршрутизатора. Каждое SSH-соединение использует ресурс vty.
SSH использует либо локальную безопасность, либо протокол безопасности, настроенный через AAA на вашем маршрутизаторе для аутентификации пользователя.При настройке AAA необходимо убедиться, что консоль не работает под AAA, применив ключевое слово в режиме глобальной конфигурации, чтобы отключить AAA на консоли.
Нет подключений к серверу SSH.
```
 carter #  показать ssh 

% Нет подключений к серверу SSHv2.
% Нет подключений к серверу SSHv1. 
```
Из этих выходных данных следует, что сервер SSH отключен или не включен должным образом. Если вы уже настроили SSH, рекомендуется перенастроить SSH-сервер на устройстве.Выполните эти шаги, чтобы перенастроить SSH-сервер на устройстве.
1. Удалите пару ключей RSA. После удаления пары ключей RSA сервер SSH автоматически отключается.
```
 carter (config) #  обнуление криптографического ключа rsa 
 
```
  Примечание: При включении SSH v2 важно создать пару ключей с размером не менее 768 бит.
  Внимание: Эту команду нельзя отменить после сохранения конфигурации, и после удаления ключей RSA вы не сможете использовать сертификаты или ЦС или участвовать в обмене сертификатами с другими одноранговыми узлами IP Security (IPSec), если вы не перенастроите взаимодействие ЦС. путем восстановления ключей RSA, получения сертификата ЦС и повторного запроса собственного сертификата.Дополнительные сведения об этой команде см. В rsa обнуления ключа шифрования — Справочник по командам безопасности Cisco IOS, выпуск 12.3.
2. Перенастройте имя хоста и доменное имя устройства.
```
 carter (config) #  имя хоста имя хоста
 
carter (config) #  ip имя домена имя домена
 
 
```
3. Создайте пару ключей RSA для вашего маршрутизатора, которая автоматически включает SSH.
```
 carter (config) #  криптоключ сгенерировать RSA 
 
```
  См. Сгенерировать криптоключ rsa — Справочник по командам безопасности Cisco IOS, выпуск 12.3 для получения дополнительной информации об использовании этой команды.
  Примечание: Вы можете получить сообщение об ошибке SSh3 0: Unnexpected mesg type из-за того, что полученный пакет не может быть понят маршрутизатором. Увеличьте длину ключа при создании ключей RSA для ssh, чтобы решить эту проблему.
4. Настроить SSH-сервер. Чтобы включить и настроить маршрутизатор / коммутатор Cisco для SSH-сервера, вы можете настроить параметры SSH. Если вы не настраиваете параметры SSH, используются значения по умолчанию.
  ip ssh {[время ожидания в секундах] | [целое число попыток аутентификации]}
```
 картер (конфигурация) #  ip ssh 
 
```
  См. Ip ssh — Справочник по командам безопасности Cisco IOS, выпуск 12.3 для получения дополнительной информации об использовании этой команды.

Включить SSH в маршрутизаторе Cisco IOS

SSH или Secure Shell — это в основном защищенный метод доступа и отправки команд на интерфейс командной строки вашего маршрутизатора через сетевое соединение; без прямого подключения консольного кабеля.В отличие от стандартного telnet, который отправляет данные в текстовом формате, SSH использует шифрование, которое гарантирует конфиденциальность и целостность данных. Существует две версии SSH, где SSH v2 является улучшением по сравнению с v1 из-за дыр в безопасности, обнаруженных в v1. По умолчанию, если мы включим SSH в маршрутизаторе Cisco IOS, он будет поддерживать обе версии.

Включить SSH в маршрутизаторе Cisco IOS

Мы можем разделить процесс на следующие 4 простых шага:
1. Подготовка устройства (настройка имени хоста, имени домена, имени пользователя и паролей)
2.Подготовка сети (IP-адресация и маршрутизация)
3. Сгенерируйте ключ RSA и активируйте SSH
4. Примените транспорт SSH для vtys

Остальная часть этой статьи продемонстрирует подробную настройку каждого шага, упомянутого выше. Обратите внимание, что для первоначальной настройки вам потребуется доступ к маршрутизатору напрямую с помощью консольного кабеля.

1. Подготовка устройства

На этапе подготовки вы должны дать своему устройству имя и указать доменное имя. В этом примере мы будем использовать локальную базу данных для учетных данных, поэтому также обязательно создать хотя бы одно имя пользователя и пароль для маршрутизатора, поскольку SSH не будет работать без него.Пример команды для этого выглядит следующим образом:

Маршрутизатор

 (конфигурация) #hostname GeekRtr
 GeekRtr (config) #ip доменное имя mustbegeek.com
 GeekRtr (config) # имя пользователя пароль администратора letmein123
 GeekRtr (config) # имя пользователя с правами администратора 15
 GeekRtr (config) # пароль монитора имени пользователя letmesee123
 GeekRtr (config) # включить пароль letmeconfig123

В этом примере мы создали два имени пользователя («admin» и «monitor») с разными уровнями привилегий. Это будет объяснено в разделе проверки позже.

На данный момент это все, что нам нужно настроить. На следующем этапе мы собираемся настроить сеть.

2. Подготовка сети

Конфигурация сети

может различаться в зависимости от топологии сети, с которой вы работаете. В этом примере мы собираемся использовать простую топологию, в которой один интерфейс маршрутизатора подключен к стандартному коммутатору Cisco с подключенным к нему ПК. Статическая IP-конфигурация была предоставлена ПК с IP-адресом маршрутизатора Fa0 / 1 в качестве шлюза.У нас также есть IP-адрес управления, назначенный интерфейсу обратной связи на маршрутизаторе. См. Схему и конфигурацию ниже:

Предполагая, что все кабели подключены правильно, теперь мы собираемся присвоить IP-адрес маршрутизатору Fa0 / 1 и интерфейс обратной связи со следующими конфигурациями:

 GeekRtr (config) # интерфейс fa0 / 1
GeekRtr (config-if) #ip адрес 192.168.0.1 255.255.255.0
GeekRtr (config-if) # без выключения
GeekRtr (config-if) #exit
GeekRtr (config) # интерфейс loopback0
GeekRtr (config-if) #ip адрес 1.1.1.1 255.255.255.255
GeekRtr (config-if) # без выключения
GeekRtr (config-if) # выход

В этом примере топологии конфигурация маршрутизации не требуется, и у нас не должно возникнуть проблем с доступностью IP-адреса. Но всегда рекомендуется все проверять, в этом случае мы бы проверили, можем ли мы пинговать ПК через интерфейс обратной связи маршрутизатора.

 GeekRtr # ping 192.168.0.2 source loopback0
Для отмены введите escape-последовательность.
Отправка 5 100-байтовых эхо-сообщений ICMP на адрес 192.168.0.2, таймаут 2 секунды:
Пакет отправлен с адресом источника 1.1.1.1
!!!!!
Уровень успеха составляет 100 процентов (5/5), мин. / Сред. / Макс. Туда-обратно = 1/2/4 мс

На основании вышеприведенных выходных данных эхо-запрос от петлевого интерфейса маршрутизатора к ПК работает, и, безусловно, обратный пинг тоже будет работать. Таким образом, мы можем сделать вывод, что все конфигурации сети хороши, и мы можем перейти к нашей основной теме в этой статье, а именно к конфигурации SSH.

3. Сгенерируйте ключ RSA и активируйте SSH

На этом этапе мы собираемся сгенерировать ключ RSA, который будет использоваться SSH для шифрования своих данных.Вам нужно будет указать размер ключевого модуля. Чем выше число, тем надежнее будет шифрование; но для генерации ключа потребуется больше времени. В приведенном ниже примере конфигурации мы используем 1024 в качестве размера ключевого модуля, а размер по умолчанию — 512.

 GeekRtr (config) #crypto key generate rsa
Название ключей будет: GeekRtr.mustbegeek.com.
Выберите размер ключевого модуля в диапазоне от 360 до 2048 для вашего
 Ключи общего назначения. Выбор ключевого модуля больше 512 может занять
 несколько минут.Сколько бит в модуле [512]: 1024
% Создание 1024-битных ключей RSA, ключи не будут экспортироваться ... [OK]

После настройки, как указано выше, вы увидите сообщение, подобное этому:

 * 1 марта 00:01: 21.727:% SSH-5-ENABLED: SSH 1.99 включен

Это сообщение означает, что на маршрутизаторе активирован SSH. Чтобы проверить это, мы можем ввести команду show ip ssh на маршрутизаторе, и результат будет примерно таким:

 GeekRtr # показать ip ssh
SSH включен - версия 1.99
Тайм-аут аутентификации: 120 секунд; Попыток аутентификации: 3

Вам может быть интересно, почему на выходе отображается SSH версии 1.99 вместо версии 1 или версии 2. Ответ на этот вопрос заключается в том, что по умолчанию Cisco поддерживает как SSH v1, так и v2. Число 1,99 указывает на обратную совместимость.

Однако в соответствии с передовой практикой безопасности настоятельно рекомендуется отключить SSH v1. Для этого мы можем просто ввести команду ниже, чтобы отключить обратную совместимость v1.

 GeekRtr (config) #ip ssh версия 2

После этого проверим еще раз:

 GeekRtr # показать ip ssh
 SSH включен - версия 2.0
 Тайм-аут аутентификации: 120 секунд; Попыток аутентификации: 3

Хорошо, как вы можете видеть на выходе выше, он говорит: версия 2.0 (теперь я чувствую себя более защищенным!), И это означает, что мы закончили с этим шагом. Перейдем к последнему шагу.

4. Примените транспорт SSH для vtys

У нас уже активирован SSH на предыдущем шаге.Теперь нам осталось сделать только две вещи: применить SSH к линии виртуального терминала, а затем установить метод аутентификации при входе на использование локального имени пользователя, которое мы создали на этапе подготовки устройства.

Мы добьемся этого с помощью команды, как в примере ниже:

 GeekRtr (конфигурация) # строка vty 0 4
 GeekRtr (config-line) #transport input ssh
 GeekRtr (config-line) #login local

Команда line vty 0 4 используется для указания максимального количества сеансов виртуального терминала, разрешенных на маршрутизаторе.В этом примере мы разрешаем максимум 5 сеансов (от сеанса номер 0 до сеанса номер 4) на маршрутизаторе.

Команда transport input ssh применит SSH к линии виртуального терминала, а также отключит другие методы, такие как telnet. Это означает, что после применения этой команды SSH — единственный метод, который вы можете использовать для доступа к маршрутизатору.

Команда login local используется для аутентификации любой попытки входа в систему в локальной базе данных имен пользователей. Помните, что мы уже создали два локальных имени пользователя ранее (см. Шаг 1).

С этой конфигурацией мы успешно включили SSH на маршрутизаторе Cisco IOS.

Проверка

Теперь мы собираемся протестировать доступ к нашему маршрутизатору с помощью клиентского программного обеспечения SSH на ПК, в этом примере мы используем PuTTY. Мы указали адрес обратной связи маршрутизатора 1.1.1.1 в качестве пункта назначения и SSH в качестве типа подключения.

Затем нам предлагается войти в систему, поэтому мы вводим имя пользователя «admin» и пароль «letmein123», как мы настроили ранее (см. Шаг 1).

Отлично, теперь мы можем подключаться к интерфейсу командной строки маршрутизатора удаленно, используя SSH! Помните, что на шаге 1 мы дали уровень привилегий 15 для имени пользователя «admin», поэтому он может напрямую войти в привилегированный режим EXEC без пароля включения (обозначенного знаком «#» рядом с именем хоста маршрутизатора). Что произойдет, если мы попытаемся войти в систему, используя имя пользователя «монитор»?

Это имя пользователя остается в пользовательском режиме EXEC (обозначается знаком «>» рядом с именем хоста маршрутизатора).На шаге 1 мы не назначали никакого уровня привилегий этому имени пользователя, поэтому оно находится на уровне привилегий по умолчанию 1. Он не может вносить какие-либо изменения в конфигурацию в пользовательском режиме EXEC, пока не введет команду enable и не введет пароль. Чтобы это работало, требуется включить пароль, поэтому мы настроили его на шаге 1.

Управление сеансом SSH

Иногда нам нужно знать, кто в настоящее время вошел в систему на нашем маршрутизаторе. Мы можем легко показать активных пользователей, выполнив команду show users на маршрутизаторе.Результат будет примерно таким:

 GeekRtr # показать пользователям
 Расположение хоста (ов) линейного пользователя в режиме ожидания
 0 con 0 простоя 00:23:19
* 66 vty 0 админ простаивает 00:00:00 192.168.0.2
 67 VTY 1 монитор простаивает 00:00:06 192.168.0.2

Интерфейс Пользовательский режим Idle Peer Address

Приведенный выше вывод показывает, что оба имени пользователя «admin» и «monitor» в настоящее время вошли в систему с одного и того же IP-адреса, поскольку в этой демонстрации мы используем только один компьютер. Однако вы можете видеть, что у каждого из них разный номер сеанса.Имя пользователя admin имеет номер сеанса 0, а имя пользователя monitor — номер сеанса 1.

И если вы заметили, звездочка (*) в имени пользователя «admin» указывает, что эта команда выполняется из сеанса «admin». Вы можете отключить любой сеанс из привилегированного режима EXEC, введя команду clear line vty x , где «x» — номер сеанса. В этом примере мы хотим отключить сеанс от имени пользователя «monitor», поэтому мы будем использовать команду clear line vty 1 .Результат в сеансе «admin» будет таким:

 GeekRtr # четкая линия vty 1
[подтверждать]
 [ОК]

Мы нажали клавишу ввода, когда запросили подтверждение, и получили в результате «ОК». С помощью этой команды мы успешно исключили имя пользователя «monitor» из сеанса SSH, что подтверждается выводом команды ниже:

 GeekRtr # показать пользователям
 Расположение хоста (ов) линейного пользователя в режиме ожидания
 0 con 0 простоя 00:32:59
* 66 vty 0 админ простаивает 00:00:00 192.168.0.2

Интерфейс Пользовательский режим Idle Peer Address

Таким образом можно включить SSH в маршрутизаторе Cisco IOS .

Следующие две вкладки изменяют содержимое ниже.

Я практикующий ИТ-специалист со специализацией в сетевой и серверной инфраструктуре. У меня есть многолетний опыт проектирования, анализа, эксплуатации и оптимизации инфраструктурных решений для сетей масштаба предприятия. Вы можете отправить мне сообщение в LinkedIn или электронное письмо по адресу [email protected], чтобы узнать подробнее о материалах, которые я написал, или о возможности сотрудничества в проекте.

Включение и настройка SSH на маршрутизаторах Cisco.Ограничить SSH для управления и включить аутентификацию AAA для сеансов SSH

В этой статье показано, как настроить и настроить SSH для удаленного управления маршрутизаторов Cisco IOS . Мы покажем вам , как проверить, поддерживается ли SSH вашей версией IOS , как его включить, сгенерирует ключ RSA для вашего маршрутизатора и, наконец, настроит SSH в качестве предпочтительного протокола управления под VTY интерфейсы .

Secure Shell (SSH) обеспечивает безопасное и надежное средство подключения к удаленным устройствам. Это зашифрованный сетевой протокол , который позволяет пользователям безопасно получать доступ к оборудованию через интерфейс командной строки , сеансов. SSH использует TCP-порт 22, который предназначен для безопасного входа в систему, передачи файлов и переадресации портов.

SSH использует открытый ключ для аутентификации удаленного устройства и шифрования всех данных между этим устройством и рабочей станцией, что делает его лучшим выбором для общедоступных сетей, в отличие от (telnet), который передает данные в виде простого текста, что подвергает его угрозам безопасности, это делает ( telnet) рекомендуется для частных сетей только для защиты данных.

Проверка поддержки SSH на маршрутизаторе

Первый шаг включает проверку того, поддерживает ли IOS вашего маршрутизатора Cisco SSH или нет. Большинство современных маршрутизаторов Cisco поддерживают SSH, так что это не должно быть проблемой.

Продукты с (K9) в имени образа, например, c2900-universal k9 -mz.SPA.154-3.M2.bin, поддерживают надежное шифрование с 3DES / AES, а пакеты (K8) IOS поддерживают слабое шифрование с устаревшим DES. .

Для проверки просто войдите в привилегированный режим и используйте команду show ip ssh :

R1 # show ip ssh
SSH отключен — версия 1.99
% Создайте ключи RSA для включения SSH (и минимум 768 бит для SSH v2).
Тайм-аут аутентификации: 120 секунд; Количество попыток аутентификации: 3
Минимальный ожидаемый размер ключа Диффи Хеллмана: 1024 бит
Ключи IOS в формате SECSH (ssh-rsa, в кодировке base64): НЕТ

В приведенных выше выходных данных система показывает поддержку SSH, но в настоящее время она отключена, так как ключ RSA не был сгенерирован. Также стоит отметить, что для включения SSHv2 должен быть сгенерирован ключ длиной не менее 768 бит.

Защита доступа к маршрутизатору

Перед включением SSH всегда рекомендуется сначала ограничить доступ к маршрутизатору Cisco.Это очень важно, особенно когда устройство имеет интерфейс, выходящий на общедоступные сети, например Интернет, Public Hotspot.

Сначала мы создаем учетные данные пользователя для устройства, а затем активируем службы аутентификации, авторизации и учета (AAA) . Наконец, убедитесь, что секретный пароль установлен для защиты доступа к привилегированному режиму , вместе с командой service password-encryption , чтобы гарантировать, что все пароли в виде открытого текста зашифрованы :

Маршрутизатор (config) # имя пользователя права администратора 15 секретный брандмауэр.cx
Router (config) # aaa new-model
Router (config) # aaa аутентификация логин по умолчанию локальный
Router (config) # enable secret $ FirewAll.cx!
Маршрутизатор (config) # сервисный пароль-шифрование

Далее настоятельно рекомендуется ограничить удаленный доступ только по протоколу SSH. Это гарантирует, что небезопасные службы, такие как Telnet, не могут быть использованы для доступа к маршрутизатору. Telnet отправляет всю информацию в незашифрованном виде, включая имя пользователя и пароль, и поэтому считается угрозой безопасности.

Мы будем использовать команду transport input ssh в разделе VTY, чтобы ограничить удаленный доступ только по SSH. Обратите внимание, что мы также можем использовать списки доступа с по , чтобы ограничить SSH-подключения к нашему маршрутизатору:

R1 (config) # line vty 0 4
R1 (config-line) # транспортный вход ssh
R1 (config-line) # аутентификация при входе по умолчанию
R1 (config-line) # пароль $ Cisco !

Примечание: команда password , используемая в строке vty 0 4 раздел , является полностью необязательной и не используется в нашем случае из-за команды для аутентификации входа по умолчанию , которая заставляет маршрутизатор использовать механизм AAA для аутентификации всех пользователей .

Создание ключа RSA для нашего маршрутизатора — цифровой сертификат

Цифровые ключи
служат для повышения безопасности связи между устройствами. Наш следующий шаг включает в себя создание пары ключей RSA, которая будет использоваться SSH для шифрования канала связи.
Перед генерацией нашего ключа RSA необходимо определить домен нашего маршрутизатора с помощью команды ip domain-name , за которой следует команда генерации криптографического ключа :
R1 (config) # брандмауэр IP-домена.cx
R1 (config) # crypto key generate rsa
Имя ключей будет: R1.firewall.cx
Выберите размер модуля ключа в диапазоне от 360 до 4096 для ваших ключей общего назначения . Выбор ключевого модуля более 512 может занять несколько минут. Сколько битов в модуле [512]: 4096
% При генерации 4096-битных ключей RSA ключи не будут экспортироваться…
[OK] (прошедшее время 183 секунды)
При создании наших пар ключей маршрутизатор сообщает нам имя, используемое для ключей, которое состоит из имени хоста маршрутизатора (R1) + Настроенное доменное имя (firewall.cx). Наконец, мы можем выбрать количество битов, используемых для модуля (ключа).
Поскольку мы выбрали генерацию ключа с использованием 4096 бит , маршрутизатору потребовался бит за 3 минуты , чтобы сгенерировать ключ! Обратите внимание, что в нашем примере использовался маршрутизатор Cisco 877.
С включенным SSH мы можем подключаться к нашему маршрутизатору по ssh и безопасно управлять им из любого места по всему миру.
Чтобы просмотреть любой активный сеанс SSH, просто используйте команду show ssh :
R1 # show ssh
Версия соединения Режим Шифрование Состояние Hmac Имя пользователя
0 2.0 IN aes256-cbc hmac-sha1 Сеанс запущен admin
0 2.0 OUT aes256-cbc hmac-sha1 Сеанс запущен администратором
% Нет подключений к серверу SSHv1.
R1 #
В этой статье объясняется важность включения и использования SSH для удаленного управления и настройки маршрутизатора Cisco. Мы видели, как создать пользователей для удаленного управления , включить AAA , зашифровать пароли в открытом виде, , включить SSHv2 , сгенерировать ключи RSA и проверить сеансы SSH на нашем маршрутизаторе.
Вернуться к разделу маршрутизаторов Cisco
Конфигурация SSH на коммутаторе Cisco в Packet Tracer 2019
Конфигурация SSH на коммутаторе Cisco в Packet Tracer 2019
Эта статья посвящена настройке SSH на коммутаторе Cisco. Вы можете очень легко настроить SSH на устройствах Cisco, выполнив следующие простые шаги:
Ознакомьтесь с некоторыми лучшими коммутаторами с высокой скоростью сети .

Ящик для лаборатории топологии Packet Tracer
Базовая настройка IP для подключения
Установить имя хоста и имя домена на коммутаторе
Установить консоль и включить пароль для входа по SSH
Сгенерируйте ключи RSA
Настройка конфигурации линии VTY
Создайте пароль пользователя для доступа по SSH с ПК
Подтвердите доступ по SSH
Для настройки SSH в трассировщике пакетов на коммутаторе Cisco необходимо выполнить указанные выше действия.Давайте начнем и выполним эти шаги один за другим. (Узнайте, что такое PSSH)
Ящик для лаборатории топологии Packet Tracer
Наш первый шаг — открыть трассировщик пакетов и создать простую лабораторию. Для этой топологии мы будем использовать только один коммутатор и ПК. Просто перетащите эти два элемента на панель управления. Теперь соединим их прямым подключением.
Базовая настройка IP для подключения
Следующим шагом будет присвоение этим устройствам подходящей настройки IP.Для простоты и упрощения подключения мы назначим этому устройству только два IP-адреса. Мы присвоим ПК IP-адрес. Для этого откроются настройки ПК, а затем IP-конфигурация. Здесь мы назначим хосту IP-адрес, в нашем случае мы собираемся назначить ему 192.168.1.1 со шлюзом по умолчанию. Для шлюза по умолчанию мы назначим IP-адрес 192.168.1.10. Мы назначаем второй IP-адрес нашему интерфейсу Vlan1 на коммутаторе. И его IP-адрес будет шлюзом хоста 192.168.1.10. Для этого воспользуемся основными командами.

Переключатель> включить
# конфигурация переключателя
Коммутатор (config) #interface vlan 1
Коммутатор (config-if) # IP-адрес 192.168.1.10 255.255.255.0
Переключатель (config -if) # no shut
Когда вы закончите с базовой настройкой IP, вы можете проверить возможность подключения, выполнив эхо-запрос интерфейса vlan1 IP от хоста.
Установить имя хоста и имя домена на коммутаторе
Для конфигураций SSh вам необходимо настроить имя хоста и имя домена для вашего коммутатора, вы можете сделать это с помощью этих простых команд.
# конфигурация переключателя
Switch (config) #hostname SW1
SW1 ( конфигурация) #ip доменное имя w7cloud.com
Установить консоль и включить пароль для входа по SSH
Для доступа по SSH необходимо настроить консоль и включить пароль на коммутаторе cisco.Вы можете установить эти два пароля с помощью следующих команд.
SW1 (config) #line console 0
SW1 (строка конфигурации) # пароль cisco
SW1 (config -line) # регистрация синхронная
SW1 (конфигурационная строка) # локальный вход
SW1 (конфигурация) #exit
SW1 # enable secret cisco
Создание ключей RSA
Ваш коммутатор Cisco должен иметь ключи RSA для процесса SSH.Вы можете сгенерировать ключи RSA с помощью следующей команды:
SW1 (config) # генерация криптографического ключа rsa
Сколько битов в модуле [512]: 1024
% Создание 1024-битных ключей RSA, ключи не будут экспортироваться… [OK]
Установите размер ключа 1024 бит.
Если на вашем коммутаторе Cisco установлена более старая версия образа Cisco IOS, настоятельно рекомендуется выполнить обновление до последней версии Cisco IOS.
Настройка конфигурации линии VTY
Для настройки SSH на коммутаторе cisco вам потребуются следующие строковые конфигурации vty, а входной транспорт необходимо установить на SSH. Установите локальный логин и пароль на 7.
sw1 (config) #line vty 0 4
sw1 (строка конфигурации) #transport input ssh
sw1 (config -line) #login local
sw1 (конфигурация) # пароль 7
sw1 (конфигурационная строка) #exit
Создайте пароль имени пользователя для доступа по SSH с ПК
Если у вас нет имени пользователя для доступа по SSH, вам необходимо создать имя пользователя.Вы можете сделать это с помощью этой простой команды:
Sw1 # config t
sw1 (config) # имя пользователя w7cloud пароль cisco
Убедитесь, что на вашем коммутаторе включены службы шифрования паролей, эта служба зашифрует ваш пароль, и когда вы выполните «sh run», вы увидите только зашифрованный пароль, а не пароль в виде открытого текста.
SW1 # сервисный пароль-шифрование
Проверить доступ SSH с хоста
После того, как вы закончите с вышеуказанными конфигурациями, вы можете протестировать все эти конфигурации, создав SSH-соединение с хоста.Вы делаете это командой ssh –l <имя пользователя> . Откройте командную строку хоста и используйте команду
C: \> ssh -l waqas 192.168.1.10
Он запросит пароль, укажите пароль, который вы создали с этим именем пользователя на предыдущих шагах. Затем он запросил пароль консоли, а затем вам нужно указать пароль включения. Теперь вы в своем коммутаторе Cisco. Вы можете выполнять настройку коммутатора со своего хоста.
С коммутатора, если вы используете команду « sh ip ssh» , он также подтвердит, что SSH включен на этом коммутаторе Cisco.
Для лучшего понимания посмотрите видео и поставьте лайк.

Надеюсь, это будет полезно для вас, поделитесь своими комментариями. Если вам это нравится, поделитесь этим в социальных сетях. Спасибо за чтение этого..!
Руководство по настройке маршрутизатора Cisco для начинающих
Связано: 4 лучших клиента SSH, используемых профессионалами
Конфигурация
SSH версии 2 на маршрутизаторе Cisco
Конфигурация SSH версии 2
Протокол SSH (Secure Shell) — это метод безопасного удаленного входа с одного устройства на другое. SSH обеспечивает безопасный канал через незащищенную сеть в архитектуре клиент-сервер , соединяя клиентское приложение SSH с сервером SSH. Как обсуждалось в другом блоге, SSH имеет две версии —

SSH VERSION 1
SSH v1 (Secure Shell) предоставляет пользователям зашифрованный канал для входа на удаленное устройство. Он обеспечивает надежную аутентификацию между хостами и пользователей. Он также обеспечивает безопасную зашифрованную связь через Интернет.
Версия SSH2
Напротив, SSh3 — это гораздо более защищенная и эффективная версия SSH, которая включает SFTP, который функционально похож на FTP с добавлением шифрования SSh3.
SSH работает на порту 22. Это безопасная альтернатива незащищенным протоколам входа в систему (например, Telnet ) и небезопасным методам передачи файлов (например, FTP ).
Шаги по настройке SSH:
Настройте имя хоста маршрутизатора с помощью команды « hostname» .
Настройте доменное имя с помощью команды « ip domain-name» .
Сгенерируйте открытый и закрытый ключи с помощью команды « crypto key generate rsa» .
Создайте пользователя в локальной базе данных с помощью команды « имя пользователя… секрет» .
Разрешить только SSH-доступ к линиям VTY с помощью команды « транспортный вход ssh» .
Конфигурация SSH версии 2 на маршрутизаторе Cisco IOS —
Шаг 1-
Настройка имени хоста и домена DNS
имя хоста R1
aaa новая модель
имя пользователя Пароль Cisco Cisco
ip-имя домена Cisco.local
Шаг 2 —
Сгенерируйте ключ RSA, который будет использоваться.
ip ssh rsa имя-пары ключей sshkey
Включает SSH-сервер для локальной и удаленной аутентификации на маршрутизаторе
Для SSH версии 2 размер модуля должен быть не менее 768 бит.
криптоключ генерирует метку ключей использования rsa sshkey модуль 768
Настраивает управляющие переменные SSH на маршрутизаторе.
Настройте SSH версии 2 (это отключит SSH версии 1)
Шаг 3 —
Включить поддержку транспорта SSH для терминала виртуального типа (vty)
линия vty 0 4
транспортный вход SSH
КОМАНДЫ ДЛЯ ПРОВЕРКИ КОНФИГУРАЦИИ SSH:
показать ssh
как ip ssh
IP отладки ssh

Конфигурация SSH на Packet Tracer
Конфигурация SSH
SSH (Secure Shell) — один из наиболее часто используемых протоколов в сетевом мире.Как безопасная альтернатива Telnet, SSH всегда в жизни сетевого инженера. Это помогает нам подключать наши маршрутизаторы, коммутаторы и любое другое сетевое оборудование. Тем более, что SSH более безопасен, он всегда предпочтительнее, чем Telnet . В этом уроке мы сосредоточимся на конфигурации SSH на маршрутизаторах Cisco с примером конфигурации SSH . Мы изучим , настраивая SSH .
Итак, каковы будут наши шаги SSH Config ? В этом примере мы пройдем следующие шесть шагов один за другим:
IP-конфигурации
Шифрование пароля
Шифрование данных домена
Конфигурация пользователя маршрутизатора
Конфигурация SSH
Проверка SSH
Итак, давайте запустим SSH Configuration и посмотрим, как устроена конфигурация объединительной платы нашего SSH-соединения на маршрутизаторах.
IP-конфигурации
Перед настройкой SSH , сначала мы настроим IP-адреса интерфейса маршрутизатора и ПК. Мы будем использовать следующие IP-адреса:
Маршрутизатор fa0 / 0 Интерфейс
IP: 10.0.0.1
Подсеть: 255.255.255.0

ПК
IP: 10.0.0.2
Подсеть: 255.255.255.0
Шлюз: 10.0.0.1
Маршрутизатор # настроить терминал
Маршрутизатор (конфигурация) # интерфейс fa0 / 0
Маршрутизатор (config-if) # IP-адрес 10.0.0.1 255.255.255.0
Маршрутизатор (config-if) # без выключения
Шифрование пароля
На втором этапе мы будем использовать команду « service password-encryption» для шифрования паролей на маршрутизаторах.Это классическая команда, используемая после настройки пароля. Основная задача этой команды — шифрование паролей в виде открытого текста. И с помощью этой команды пароли сохраняются как хешированные в файле конфигурации маршрутизатора.
Маршрутизатор (config) # сервисный пароль-шифрование

Шифрование данных домена
На этом этапе мы установим доменное имя . Наше доменное имя будет SSHabc .И после этого мы зашифруем данные в нем с помощью команды « crypto key generate rsa ».
Во время этой конфигурации мы установим размеры модуля. Итак, мы будем использовать здесь 512 .
Маршрутизатор (конфигурация) # ip доменное имя SSHabc
Маршрутизатор (конфигурация) # криптоключ генерирует rsa
Конфигурация пользователя маршрутизатора
Этот шаг является классическим определением пользователя на маршрутизаторе.Мы сделаем это с помощью имени пользователя, пароля и уровня привилегий. Наш пользователь Gokhan, пароль abc123 и привилегированный режим 15.
Маршрутизатор (конфигурация) # имя пользователя gokhan привилегия 15 пароль abc123
Мы будем использовать это имя пользователя и пароль для SSH-соединения .
Конфигурация SSH
Основной шаг настройки этого урока Настройка SSH — это этот шаг.Здесь мы будем выполнять настройку SSH в линейном режиме.
Сначала мы перейдем в линейный режим и настроим ssh для 17 пользователей от 0 до 16. Затем мы будем использовать « транспортный вход ssh ». Эта команда разрешит доступ только по SSH. Доступ через Telnet будет отклонен.
Затем мы установим логин как локальный с помощью команды « login local ». С помощью этой команды мы можем использовать пользователей локального маршрутизатора для доступа по ssh.
После этого мы настроим SSH версии .Существует две версии SSH: SSH версия 1 и SSH версия 2 . Второй обеспечивает более высокий агоритм безопасности. Здесь мы будем использовать SSH версии 2 . Для его настройки воспользуемся командой « ip ssh version 2 ».
Наконец, мы сохраним в нашей конфигурации SSH .
Маршрутизатор (конфигурация) # линия vty 0 16
Маршрутизатор (config-line) # транспортный вход ssh
Маршрутизатор (config-line) # логин локальный
Маршрутизатор (config-line) # ip ssh версия 2
Маршрутизатор (config-line) # конец
Маршрутизатор # запись
Проверка SSH
На последнем шаге Configuring SSH, SSH Config Example , мы можем попытаться подключиться через SSH с ПК к маршрутизатору.Для этого мы откроем командную строку на ПК и подключимся к маршрутизатору с помощью следующей команды. Здесь ip нашего интерфейса маршрутизатора — 10.0.0.1.
ПК> ssh –l gokhan 10.0.0.1
Вернуться к: CCNA 200-301> Управление сетью
Как настроить SSH на устройстве Cisco! • h3IT.tech
Secure Shell (SSH) — это протокол, который помогает нам обеспечивать безопасный доступ к удаленным сетевым устройствам.
Преимущество SSH перед Telnet заключается в том, что он шифрует данные между SSH-клиентом и SSH-сервером. SSH использует TCP в качестве транспортного протокола и хорошо известный TCP-порт 22 для установления сеанса с SSH-сервером.
SSH удобен с автоматизацией, так как вы можете настроить несколько устройств с адресами управления SSH и запустить свои сценарии для отправки команд конфигурации этим нескольким устройствам. (Например, Python, Ansible.)
Давайте использовать простую диаграмму (Маршрутизатор на Stick) для представления конфигурации. Ниже:
. Причина, по которой я хотел это сделать, состоит в том, чтобы показать, как мы можем использовать список доступа, чтобы гарантировать, что только пользователи из Management Vlan могут входить в наши устройства через SSH, все остальные должны быть отклонены.
Конфигурация маршрутизатора
Сначала настройте имена хостов на устройствах, на которые вы хотите установить ssh. (Это требование, иначе вы не сможете настроить ssh)
R1 (config) #enable secret cisco
R1 (config) #username cisco secret cisco
R1 (config) #line vty 0 4
R1 ( config) #transport input ssh
R1 (config) # login local
R1 (config) #exit
R1 (config) #ip ssh version 2
R1 (config) #ip domain-name test.com
R1 (config) #crypto key generate rsa
Тип 1024 или выше (Чем выше, тем лучше шифрование)
Настройте субинтерфейсы маршрутизатора, мы будем использовать Int Gig 0/0 / 0.1 и Gig 0 / 0 / 0.

Настройка SSH в Cisco / Хабр

Как включить ssh в Cisco на примере Cisco 2960+48TC-S

Что такое ssh соединение

Настройка ssh cisco

Безопасность ssh соединения Cisco

Как настроить SSH на коммутаторах Catalyst под управлением ОС CatOS

Содержание

Требования

Используемые компоненты

Условные обозначения

Solaris для Catalyst, стандарт тройного шифрования данных (3DES), пароль Telnet

Solaris

Catalyst

ПК к Catalyst, 3DES, пароль Telnet

Catalyst

Solaris до Catalyst, 3DES, аутентификация, авторизация и учет (AAA)

Solaris

Catalyst

Отладка Catalyst, когда клиент делает [неподдерживаемую] попытку шифрования по алгоритму Blowfish

Отладка ускорителя процесса с неверным паролем протокола сети связи

Отладка Catalyst с недействительной проверкой подлинности AAA

Как настроить доступ по SSH к роутеру Cisco | cisco

Доступ по SSH на Cisco IOS

Шаг 0. Настройка интерфейса

Шаг 1 Создание учетной записи администратора

Шаг 2 задание пароля на режим конфигурирования

Шаг 3. Включение удаленного управления

Шаг 4 Настройка SSH

Шаг 5. Ограничение подключения к маршрутизатору только через SSH

Важно!

Перейти к оглавлению

Как настроить SSH для Cisco

Почему именно SSH для Cisco

Как настроить SSH подключение для Cisco

Настройка ssh в Cisco ­ Дневник ­ Максим Боголепов

Настройка Secure Shell на маршрутизаторах и коммутаторах под управлением Cisco IOS

Требования

Используемые компоненты

Условные обозначения

Проверка аутентификации без SSH

Проверка аутентификации с SSH

Запретить подключения не по SSH

Настройка маршрутизатора или коммутатора IOS в качестве клиента SSH

Настройка маршрутизатора IOS в качестве сервера SSH, который выполняет аутентификацию пользователя на основе RSA

Добавить SSH Terminal-Line Access

Ограничить доступ SSH к подсети

Настроить версию SSH

Варианты вывода команды баннера

Невозможно отобразить баннер входа в систему

Отладка маршрутизатора

Отладка сервера

SSH от клиента SSH, не скомпилированного со стандартом шифрования данных (DES)

Отладка Solaris

Отладка маршрутизатора

Неверный пароль

Отладка маршрутизатора

Клиент SSH отправляет неподдерживаемый (Blowfish) шифр

Отладка маршрутизатора

Получение «% SSH-3-PRIVATEKEY: невозможно получить закрытый ключ RSA для» Ошибка

Включить SSH в маршрутизаторе Cisco IOS

Включить SSH в маршрутизаторе Cisco IOS

1. Подготовка устройства

2. Подготовка сети

3. Сгенерируйте ключ RSA и активируйте SSH

4. Примените транспорт SSH для vtys

Проверка

Управление сеансом SSH

Включение и настройка SSH на маршрутизаторах Cisco.Ограничить SSH для управления и включить аутентификацию AAA для сеансов SSH

Проверка поддержки SSH на маршрутизаторе

Защита доступа к маршрутизатору

Создание ключа RSA для нашего маршрутизатора — цифровой сертификат

Конфигурация SSH на коммутаторе Cisco в Packet Tracer 2019

Руководство по настройке маршрутизатора Cisco для начинающих

SSH версии 2 на маршрутизаторе Cisco

SSH VERSION 1

Версия SSH2

КОМАНДЫ ДЛЯ ПРОВЕРКИ КОНФИГУРАЦИИ SSH:

Конфигурация SSH на Packet Tracer

Конфигурация SSH

Настройка ssh в Cisco Дневник Максим Боголепов