Jak skonfigurować SSH na Cisco IOS
zawartość lekcji
w poprzedniej lekcji wyjaśniłem, w jaki sposób można używać telnet do zdalnego dostępu do urządzeń Cisco IOS. Problem z telnet polega na tym, że wszystko jest wysyłane w postaci zwykłego tekstu, z tego powodu nie powinieneś go używać.
SSH (Secure Shell) to bezpieczna metoda zdalnego dostępu, która obejmuje uwierzytelnianie i szyfrowanie. Aby to zrobić, używa public/private keypair RSA.
istnieją dwie wersje: Wersja 1 i 2. Wersja 2 jest bardziej bezpieczna i powszechnie używana.,
wreszcie, aby skonfigurować SSH, potrzebujesz obrazu IOS, który obsługuje funkcje kryptograficzne. W przeciwnym razie nie będzie można skonfigurować SSH.
Konfiguracja
aby zademonstrować SSH, użyję następującej topologii:
skonfigurujemy SSH na R1, abyśmy mogli uzyskać do niego dostęp z dowolnego innego urządzenia. R2 będzie używany jako klient SSH.
serwer SSH
nazwa RSA keypair będzie nazwą hosta i nazwą domeny routera., Skonfigurujmy nazwę hosta:
i nazwę domeny:
teraz możemy wygenerować RSA keypair:
gdy użyjesz polecenia generowania klucza kryptograficznego RSA, zapyta Cię ono ile bitów chcesz użyć dla rozmiaru klucza. Ile powinieneś wybrać?
najlepiej sprawdzić w tym artykule szyfrowanie nowej generacji od Cisco. W tej chwili dopuszczalny jest rozmiar klucza 2048 bitów. Należy unikać kluczy o rozmiarach 1024 lub mniejszych. Większe rozmiary kluczy również trwają dłużej.,
po wygenerowaniu pary klawiszy pojawi się następujący komunikat:
jak widać powyżej, SSH w wersji 1 jest wersją domyślną. Przejdźmy do wersji 2:
SSH jest włączone, ale musimy również skonfigurować linie VTY:
to gwarantuje, że chcemy używać tylko SSH (nie telnet ani czegokolwiek innego) i że chcemy sprawdzić lokalną bazę danych pod kątem nazw użytkowników. Stwórzmy użytkownika:
wszystko jest już na swoim miejscu. Powinniśmy być w stanie połączyć się z R1 przez SSH teraz.,
klient SSH
najczęstszym klientem SSH jest prawdopodobnie putty. Jedyne, co musisz zrobić, to wybrać protokół SSH, wprowadzić adres IP i pozostawić domyślny port na 22:
zobaczysz to na konsoli putty:
Możesz również użyć innego urządzenia Cisco IOS jako klienta SSH. Oto jak to zrobić:
istnieje wiele opcji, ale jako minimum powinniśmy podać nazwę użytkownika i adres IP:
jesteśmy teraz połączeni z R1 przez SSH.,
chcesz sam sprawdzić? Tutaj znajdziesz ostateczną konfigurację każdego urządzenia.
R1
R2
serwer i klient SSH
podsumowanie
nauczyłeś się jak skonfigurować serwer SSH na routerze lub przełączniku Cisco IOS i jak korzystać z klienta SSH.
- SSH jest bezpieczną metodą zdalnego dostępu do routera lub przełącznika, w przeciwieństwie do telnetu.
- SSH wymaga pary kluczy publicznych/prywatnych RSA.,
- SSH Wersja 2 jest bezpieczniejsza niż wersja 1.
- upewnij się, że masz obraz IOS, który obsługuje funkcje kryptograficzne, w przeciwnym razie nie możesz używać SSH.