Настройка Ssh на коммутаторе cisco
Обновлено: 21.11.2024
SSH или Secure Shell — это в основном безопасный метод доступа и отправки команд в интерфейс командной строки вашего маршрутизатора через сетевое соединение. без прямого подключения консольного кабеля. В отличие от стандартного telnet, который отправляет данные в текстовом формате, SSH использует шифрование, обеспечивающее конфиденциальность и целостность данных. Существует две версии SSH, где SSH v2 является улучшением по сравнению с v1 из-за дыр в безопасности, обнаруженных в v1. По умолчанию, если мы включим SSH в маршрутизаторе Cisco IOS, он будет поддерживать обе версии.
Включить SSH в маршрутизаторе Cisco IOS
Мы можем разделить этот процесс на следующие 4 простых шага:
1. Подготовка устройства (настройка имени хоста, доменного имени, имени пользователя и паролей)
2. Подготовка сети (IP-адресация и маршрутизация)
3. Сгенерируйте ключ RSA и активируйте SSH
4. Применить SSH-транспорт для vtys
В оставшейся части этой статьи будет продемонстрирована подробная конфигурация каждого шага, упомянутого выше. Обратите внимание, что для первоначальной настройки вам потребуется прямой доступ к маршрутизатору с помощью консольного кабеля.
1. Подготовка устройства
На этапе подготовки вам необходимо дать имя своему устройству и установить доменное имя. В этом примере мы будем использовать локальную базу данных для учетных данных, поэтому также необходимо создать хотя бы одно имя пользователя и пароль для маршрутизатора, так как SSH не будет работать без него. Пример команды для этого выглядит следующим образом:
В этом примере мы создали два имени пользователя («admin» и «monitor») с разными уровнями привилегий. Это будет объяснено в разделе подтверждения позже.
На данный момент это все, что нам нужно настроить. На следующем шаге мы настроим сеть.
2. Подготовка сети
Конфигурация сети может различаться в зависимости от топологии сети, с которой вы работаете. В этом примере мы будем использовать простую топологию, в которой один интерфейс маршрутизатора подключен к стандартному коммутатору Cisco с подключенным к нему ПК. Статическая IP-конфигурация была назначена ПК с IP-адресом маршрутизатора Fa0/1 в качестве шлюза. У нас также есть IP-адрес управления, назначенный петлевому интерфейсу на маршрутизаторе. См. схему и конфигурацию ниже:
Предполагая, что все кабели подключены правильно, теперь мы собираемся дать IP-адрес маршрутизатору Fa0/1 и петлевому интерфейсу со следующими конфигурациями:
В этой примерной топологии конфигурация маршрутизации не требуется, и у нас не должно возникнуть проблем с доступностью IP-адреса. Но всегда полезно проверить все, в этом случае мы бы проверили, можем ли мы отправить эхо-запрос на ПК с интерфейса обратной связи маршрутизатора.
Исходя из приведенных выше выходных данных, эхо-запрос от петлевого интерфейса маршрутизатора к ПК работает, и, конечно же, ответный эхо-запрос тоже будет работать. Таким образом, мы можем сделать вывод, что все сетевые конфигурации хороши, и мы можем перейти к нашему основному фокусу в этой статье, а именно к настройке SSH.
3. Сгенерируйте ключ RSA и активируйте SSH
На этом шаге мы создадим ключ RSA, который будет использоваться SSH для шифрования данных. Вам нужно будет указать размер ключевого модуля. Чем выше число, тем сильнее будет шифрование; но это займет больше времени, чтобы сгенерировать ключ. В приведенном ниже примере конфигурации мы используем 1024 в качестве размера модуля ключа, в то время как размер по умолчанию равен 512.
После настройки, как указано выше, вы увидите сообщение, похожее на это:
Это сообщение указывает на то, что SSH активирован на маршрутизаторе. Чтобы проверить это, мы можем выполнить команду show ip ssh на маршрутизаторе, и вывод будет примерно таким:
Вам может быть интересно, почему в выходных данных отображается SSH версии 1.99 вместо версии 1 или версии 2. Ответ на этот вопрос заключается в том, что по умолчанию Cisco поддерживает как SSH v1, так и v2. Число 1,99 указывает на обратную совместимость.
Однако в соответствии с рекомендациями по безопасности настоятельно рекомендуется отключить SSH v1. Для этого мы можем просто ввести команду ниже, чтобы отключить обратную совместимость v1.
После этого давайте проверим еще раз:
Хорошо, как вы можете видеть в выходных данных выше, там написано версия 2.0 (теперь я чувствую себя в большей безопасности!), и это означает, что мы закончили с этим шагом. Переходим к последнему шагу.
4. Применить SSH-транспорт для vtys
Мы уже активировали SSH на предыдущем шаге. Теперь нам осталось сделать только две вещи: применить SSH к линии виртуального терминала, а затем установить метод аутентификации при входе, чтобы использовать локальное имя пользователя, которое мы создали на этапе подготовки устройства.
Мы добьемся этого с помощью команды, как в примере ниже:
Командная строка vty 0 4 используется для указания максимального количества сеансов виртуальных терминалов, разрешенных на маршрутизаторе.В этом примере мы разрешаем максимум 5 сеансов (от сеанса с номером 0 до сеанса с номером 4) на маршрутизаторе.
Команда transport input ssh применит SSH к линии виртуального терминала, а также отключит другие методы, такие как telnet. Это означает, что после применения этой команды SSH — единственный метод, который вы можете использовать для доступа к маршрутизатору.
Команда login local используется для аутентификации любой попытки входа в локальную базу данных имен пользователей, и помните, что ранее мы создали два локальных имени пользователя (см. шаг 1).
С этой конфигурацией мы успешно включили SSH на маршрутизаторе Cisco IOS.
Подтверждение
Теперь мы собираемся протестировать доступ к нашему маршрутизатору с помощью клиентского программного обеспечения SSH на ПК, в этом примере мы используем PuTTY. Мы указали петлевой адрес маршрутизатора 1.1.1.1 в качестве пункта назначения и SSH в качестве типа подключения.
Затем нам будет предложено войти в систему, поэтому мы вводим имя пользователя «admin» и пароль «letmein123», как мы настроили ранее (см. шаг 1).
Это имя пользователя остается в пользовательском режиме EXEC (обозначается знаком «>» рядом с именем хоста маршрутизатора). На шаге 1 мы не назначали этому имени пользователя какой-либо уровень привилегий, поэтому он находится на уровне привилегий по умолчанию 1. Он не может вносить какие-либо изменения в конфигурацию в пользовательском режиме EXEC, пока не введет команду enable и не введет пароль. Для этого требуется включить пароль, поэтому мы настроили его на шаге 1.
Управление сеансом SSH
Иногда нам нужно знать, кто в данный момент подключен к нашему маршрутизатору. Мы можем легко показать активных пользователей, выполнив команду show users на маршрутизаторе. Вывод будет примерно таким:
Вывод выше показывает, что оба имени пользователя «admin» и «monitor» в настоящее время входят в систему с одного и того же IP-адреса, поскольку в этой демонстрации мы используем только один компьютер. Однако вы можете видеть, что каждый из них имеет разный номер сеанса. Имя пользователя «admin» имеет номер сеанса 0, а имя пользователя «monitor» имеет номер сеанса 1.
И если вы заметили, звездочка (*) в имени пользователя «admin» указывает на то, что эта команда выполняется из сеанса «admin». Вы можете отключить любой сеанс из привилегированного режима EXEC, введя команду clear line vty x, где «x» — номер сеанса. В этом примере мы хотим отключить сеанс от имени пользователя «монитор», поэтому мы будем использовать команду очистки строки vty 1. Вывод для сеанса «администратор» будет таким:
Мы нажали клавишу ввода, когда нас попросили подтвердить, и в результате получили «ОК». С помощью этой команды мы успешно отключили имя пользователя «монитор» из сеанса SSH, что подтверждается выводом команды ниже:
В: В моей сети есть коммутатор Cisco, к которому я могу получить доступ, подключив консольный кабель непосредственно к устройству. Мне нравится удаленный доступ к коммутатору с помощью SSH. Как включить ssh на коммутаторе Cisco 3750 Catalyst?
О: По умолчанию при настройке устройства Cisco для доступа к нему необходимо использовать консольный кабель и напрямую подключаться к системе. Выполните шаги, указанные ниже, чтобы включить SSH-доступ к вашим устройствам Cisco. После включения SSH вы можете получить к нему удаленный доступ с помощью PuTTY или любого другого клиента SSH.
1. IP-адрес управления настройкой
Во-первых, убедитесь, что вы выполнили базовую настройку сети на своем коммутаторе. Например, назначить шлюз по умолчанию, назначить IP-адрес управления и т. д. Если это уже сделано, перейдите к следующему шагу.
В следующем примере IP-адрес управления установлен как 192.168.101.2 в 101 VLAN. Шлюз по умолчанию указывает на брандмауэр: 192.168.101.1
2. Установить имя хоста и доменное имя
Затем убедитесь, что для коммутатора правильно заданы имя хоста и доменное имя.
3. Создайте ключи RSA
Коммутатор или маршрутизатор должны иметь ключи RSA, которые он будет использовать в процессе SSH. Итак, сгенерируйте их с помощью криптографической команды, как показано ниже.
Кроме того, если вы используете старый образ Cisco IOS, настоятельно рекомендуется выполнить обновление до последней версии Cisco IOS.
4. Настройте конфигурации Line VTY
Настройте следующие параметры конфигурации линии vty, где входной транспорт установлен на SSH. Установите локальный логин и пароль 7.
Если вы еще не установили строку консоли, установите для нее следующие значения.
5. Создайте имя пользователя и пароль
Если у вас еще нет имени пользователя, сделайте это, как показано ниже.
Примечание. Если вы не настроили активирующий пароль должным образом, сделайте это сейчас.
Убедитесь, что включена служба шифрования паролей, которая будет шифровать пароль, и когда вы выполните "sh run", вы увидите только зашифрованный пароль, а не пароль в открытом виде.
5. Подтвердите доступ по SSH
Если вы выполните команду «sh ip ssh» на коммутаторе, это подтвердит, что SSH включен на этом устройстве Cisco.
После указанных выше настроек войдите в систему с удаленного компьютера, чтобы убедиться, что вы можете использовать ssh для подключения к этому коммутатору Cisco.
В этом примере 192.168.101.2 — это IP-адрес управления коммутатором.
Если вам понравилась эта статья, вам также может понравиться...
Комментарии к этой записи закрыты.
Я использую telnet для подключения к коммутатору Cisco. Telnet включен по умолчанию? Если да, то как мне это отключить?
Чтобы отключить телнет:
Это позволит подключаться к устройству только по протоколу SSH. Обязательно выполните перечисленные выше шаги.
Очень хорошее объяснение! Спасибо.
Отличный пост. Спасибо.
Привет,
Очень хороший и полезный материал…
Кстати, на Cisco ASA это определенно не так 😉
Анон, это просто мои слова из твоих уст 😉
Привет, Анон и Педрам!
Тогда почему бы вам 2 не просветить нас.
очень пользовательский полный пост, спасибо, что поделились им. BDY, если вы также можете описать, как использовать telnet и ssh на линии vty, то же самое, я буду gr8
очень хорошее объяснение, спасибо!! много
имя пользователя sshuser пароль sshpassword
сгенерировать ключ шифрования rsa модуль 2048
ssh 10.1.1.1 255.255.255.255 внутри
тайм-аут ssh 5
ssh версия 2
aaa аутентификация ssh консоль ЛОКАЛЬНО
@JOHN:- вы можете выбрать сами…
привет, мой вопрос в том, что после включения SSH на устройстве cisco, как отключить SSH?
Друзья, я нашел способ отключить SSH с устройства cisco. Как правило, мы не используем перед какой-либо командой, чтобы удалить эту конкретную команду. br />скорее устройство предложит вам использовать команду
'crypto key zeroize rsa', удивительно….
Как узнать, на какой модуль настроен коммутатор после его настройки?
Пожалуйста, я пытаюсь выполнить следующие шаги, чтобы включить ssh в своей домашней лаборатории. Я подключаюсь через консоль к коммутатору 2950, а маршрутизатор подключен к коммутатору через кабель rj45.
Я включил ssh на моем коммутаторе при подключении к моему последовательному порту.
проблема в том, что когда я устанавливаю пароль 7
он пишет неполная команда ! что я делаю не так?
спасибо за помощь.
У меня есть несколько удаленных коммутаторов в часе езды, к которым я сейчас подключаюсь через telnet. Могу ли я войти в систему с помощью Telnet, включить SSH, затем переключить соединение SSH на вход и отключить telnet? Чтобы не посещать каждый коммутатор физически?
Да, это неправильно. Вам либо нужно установить пароль (и зачем он вам нужен, если вы используете локальную аутентификацию с пользователем/паролем?), либо не устанавливать его (т.е. вообще не иметь строки пароля).
Мой вопрос: следующие команды генерируются по умолчанию или их нужно настраивать?
crypto pki trustpoint TP-self-signed-1134361687
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1134361687
revocation-check none
rsakeypair TP-самоподписанный-113436168
и как генерируется этот криптографический ключ?
крипто ИПК цепочки сертификатов TP-самозаверяющими-1134361687
Сертификат самозаверяющими 01
3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 <бр /> 69666963 31313334 33363136 6174652D 3837301E 170D3037 31313236 31353138
35325A17 0D323030 31303130 30303030 06035504 305A3031 312F302D 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 31333433 74652D31
36313638 3730819F 300D0609 2A864886 F70D0101 01050003 81890281 818D0030
8100A736 BE0686B5 08396D41 86CAF6C3 90D0C3AE 19DE30B1 44231816 E723ADE1
16B6A5F3 B1EC84A7 523735A2 72406164 2B9C2C33 DEA3E4C8 D273AF3D 19482724
3C13ABDC 4575A1D1 2F4C27D4 0306EABB 4A1826DB 326E746F 54970E3E 99F6D1AC
CE6362BC B5673A4F E18B7E59 4E591E05 E2B5772E 6CA8AF8A 475D1B07 760E7065
E5390203 010001A3 77307530 0F060355 1D130101 FF040530 030101FF 30220603 551D1104 1B301982 17796F75 726E616D 652E79 6F 7572646F 6D61696E 2E636F6D
301F0603 551D2304 18301680 14D9ADAA EB5BA80F 051EB9AB DD559144 294CD5D6
C1301D06 03551D0E 04160414 D9ADAAEB 5BA80F05 1EB9ABDD 55914429 4CD5D6C1
300D0609 2A864886 F70D0101 04050003 8181001E FBD340BE 2DAC68CF B073A8A3
6930C5FD 2AFAF675 FE803E30 9FA6D61D A16A557D 51331506 BEE81F2E
A370BB59 A3B7A90C 690DA7C9 48547FF4 2005CAF4 677A59CC 774FE833 31EC0CC3
A8D6C07B 161C9C4E B3D53589 6199C2E6 6093B60E F3D1692E F356B2EE 375676EE
10B846A0 ACC13B68 461C2FE2 F575E922 36AEF8
проверить авто р >
Спасибо за это, но я хочу спросить, если я достиг того, где есть ключ cryto, что будет дальше
- Электронная книга Linux 101 Hacks, 2-е издание. Практические примеры создания прочной основы в Linux. Возьмите под свой контроль командную строку Bash и сценарии оболочки. Улучшите свою жизнь в UNIX/Linux с помощью Sed и Awk. Редактор Vim: следите за всем, будьте активны и спокойно спите
О гиковском материале
Меня зовут Рамеш Натараджан. Я буду публиковать инструкции, практические советы, советы и рекомендации по устранению неполадок в Linux, базах данных, оборудовании, безопасности и Интернете. Я сосредоточен на написании статей, которые либо научат вас, либо помогут решить проблему. Узнайте больше о Рамеше Натараджане и блоге.
Свяжитесь с нами
Напишите мне по электронной почте: используйте эту контактную форму, чтобы связаться со мной с вашими комментариями, вопросами или предложениями об этом сайте. Вы также можете просто написать мне, чтобы поздороваться!.
Поддержите нас
Поддержите этот блог, купив одну из моих электронных книг.
Авторское право © 2008–2021 Рамеш Натараджан. Все права защищены | Условия использования
В предыдущем уроке я объяснил, как можно использовать telnet для удаленного доступа к вашим устройствам Cisco IOS. Проблема с telnet в том, что все пересылается в виде открытого текста, поэтому его использовать не следует.
SSH (Secure Shell) — это безопасный метод удаленного доступа, который включает аутентификацию и шифрование. Для этого используется пара открытого и закрытого ключей RSA.
Существует две версии: версия 1 и версия 2. Версия 2 более безопасна и широко используется.
И последнее, но не менее важное: для настройки SSH требуется образ IOS, поддерживающий функции шифрования. В противном случае вы не сможете настроить SSH.
Конфигурация
Для демонстрации SSH я буду использовать следующую топологию:
Мы настроим SSH на маршрутизаторе R1, чтобы иметь доступ к нему с любого другого устройства. R2 будет использоваться как SSH-клиент.
SSH-сервер
имя пары ключей RSA будет именем хоста и доменным именем маршрутизатора. Давайте настроим имя хоста:
И доменное имя:
Теперь мы можем сгенерировать пару ключей RSA:
Когда вы используете команду криптографического ключа для создания rsa, она спросит вас, сколько битов вы хотите использовать для размера ключа. Сколько вы должны выбрать?
Об этом лучше всего прочитать в статье о шифровании следующего поколения от Cisco. На данный момент допустим размер ключа 2048 бит. Следует избегать ключей размером 1024 или меньше. Большие размеры ключа также требуют больше времени для вычисления.
После создания пары ключей появится следующее сообщение:
Как видно выше, SSH версии 1 является версией по умолчанию. Перейдем к версии 2:
SSH включен, но нам также необходимо настроить линии VTY:
Это гарантирует, что мы хотим использовать только SSH (а не telnet или что-то еще) и что мы хотим проверить локальную базу данных на наличие имен пользователей. Давайте создадим пользователя:
Теперь все на месте. Теперь мы сможем подключиться к маршрутизатору R1 через SSH.
Клиент SSH
Наиболее распространенным SSH-клиентом, вероятно, является putty. Единственное, что вам нужно сделать, это выбрать протокол SSH, ввести IP-адрес и оставить порт по умолчанию 22:
Вы увидите это на консоли шпатлевки:
Вы также можете использовать другое устройство Cisco IOS в качестве клиента SSH. Вот как:
Есть несколько вариантов, но как минимум мы должны указать имя пользователя и IP-адрес:
Теперь мы подключены к R1 через SSH.
Хотите посмотреть сами? Здесь вы найдете окончательную конфигурацию каждого устройства.
Настройка SSH на коммутаторе Cisco в Packet Tracer
Эта статья посвящена настройке SSH на коммутаторе Cisco. Вы можете очень легко настроить SSH на устройствах Cisco, выполнив следующие простые действия:
Ознакомьтесь с некоторыми лучшими коммутаторами с высокой скоростью сети.
- Создание лаборатории топологии Packet Tracer
- Основные настройки IP для подключения
- Установите имя хоста и доменное имя на коммутаторе
- Установите консоль и включите пароль для входа по SSH
- Создайте ключи RSA
- Настройка конфигурации Line VTY
- Создайте имя пользователя и пароль для доступа по SSH с ПК.
- Подтвердить доступ по SSH
Для настройки SSH в трассировщике пакетов на коммутаторе Cisco необходимо выполнить описанные выше шаги. Давайте начнем и выполните эти шаги один за другим. (Узнайте, что такое PSSH)
Создание лаборатории топологии Packet Tracer
Наш первый шаг — открыть трассировщик пакетов и создать простую лабораторию. Для этой топологии мы будем использовать только один коммутатор и ПК. Просто перетащите эти два элемента на панель инструментов. Теперь мы соединим их прямым соединением.
Базовая настройка IP для подключения
Следующий шаг — назначить подходящие настройки IP для этих устройств. Для простоты и обеспечения базового подключения мы назначим этому устройству только два IP-адреса. Мы назначим IP-адрес ПК. Для этого откроется настройка ПК, а затем конфигурация IP. Здесь мы назначим хосту IP-адрес, в нашем случае мы собираемся назначить его 192.168.1.1 со шлюзом по умолчанию. Для шлюза по умолчанию мы назначим IP-адрес 192.168.1.10. Мы назначаем второй IP-адрес нашему интерфейсу Vlan1 на коммутаторе. И его IP-адрес будет шлюзом хоста 192.168.1.10. Для этого мы будем использовать основные команды.
Переключить> включить
После того, как вы закончите с базовой настройкой IP-адреса, вы можете проверить подключение, отправив эхо-запрос на IP-адрес интерфейса vlan1 с хоста.
Установите имя хоста и доменное имя на коммутаторе
Для конфигураций SSH вам необходимо настроить имя хоста и доменное имя для вашего коммутатора. Это можно сделать с помощью этих простых команд.
Установите консоль и включите пароль для входа по SSH
Для доступа по SSH необходимо настроить консоль и включить пароль на коммутаторе Cisco. Вы можете установить эти два пароля с помощью следующих команд.
Сгенерируйте ключи RSA
Ваш коммутатор Cisco должен иметь ключи RSA для процесса SSH. Вы можете сгенерировать ключи RSA с помощью следующей команды:
Сколько бит в модуле [512]: 1024
% Создание 1024-битных ключей RSA, ключи нельзя будет экспортировать…[OK]
Установите размер ключа на 1024 бита.
Если на вашем коммутаторе Cisco установлена старая версия образа Cisco IOS, настоятельно рекомендуется выполнить обновление до последней версии Cisco IOS.
Настройка конфигурации Line VTY
Для настройки SSH на коммутаторе Cisco вам потребуются следующие конфигурации линии vty, а для входного транспорта необходимо установить SSH. Установите локальный логин и пароль на 7.
Создайте пароль пользователя для доступа по SSH с ПК
Если у вас нет имени пользователя для доступа по SSH, вам необходимо создать имя пользователя. Вы можете сделать это с помощью этой простой команды:
Убедитесь, что на вашем коммутаторе включены службы шифрования паролей. Эта служба зашифрует ваш пароль, и когда вы нажмете "sh run", вы увидите только зашифрованный пароль, а не пароль в открытом виде.
Подтвердить доступ по SSH с хоста
После того, как вы закончите с вышеуказанными конфигурациями, вы можете протестировать все эти конфигурации, создав SSH-соединение с хоста. Вы делаете это командой ssh –l . Откройте командную строку хоста и введите команду
C:\>ssh -l waqas 192.168.1.10
Он запросит пароль. Введите пароль, который вы создали с этим именем пользователя на предыдущих шагах. Затем он запросил пароль консоли, а затем вам нужно указать пароль включения. Теперь вы находитесь в своем коммутаторе Cisco. Вы можете выполнять настройку коммутатора с вашего хоста.
Если вы используете на коммутаторе команду «sh ip ssh», это также подтвердит, что SSH включен на этом коммутаторе Cisco.
Для лучшего понимания посмотрите видео и поставьте лайк.
Я надеюсь, что это будет полезно для вас, пожалуйста, поделитесь своими комментариями. Если вам это нравится, поделитесь этим в социальных сетях. Спасибо, что прочитали это.
Читайте также: