Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта


cisco:cisco-ios-how-to-activate-ssh-server

Как включить SSH сервер на коммутаторе Cisco Catalyst с IOS v.15

Имеем коммутатор Cisco Catalyst с включенным Telnet и заданными паролями «Virtual terminal password» и «Enable secret». Для улучшения уровня безопасности при администрировании коммутатора, нам требуется включить встроенный сервер SSH и исключить возможность используемого по умолчанию Telnet. Обратите внимание на то, что включение SSH возможно не во всех версиях Cisco IOS.

Подключаемся к коммутатору через Telnet, указав пароль «Virtual terminal password»:

User Access Verification

Password: <вводим пароль Virtual terminal password>
Switch>

Повышаем привелегии до уровня администратора командой enable:

Switch> enable
Password: <вводим пароль Enable secret>
Switch#

Чтобы задействовать поддержку SSH, нам потребуется выполнить генерацию ключевой пары RSA. Однако для возможности генерации ключей предварительно потребуется настроить имя хоста, имя домена и синхронизацию времени.

Входим в режим изменения конфигурации (configure terminal) и задаём коммутатору имя хоста, если оно не было задано ранее…

Switch# configure terminal
Switch(config)# hostname SW001
SW001(config)#

…затем задаём имя домена…

SW01(config)# ip domain-name my.holding.com
SW01(config)# end
SW01#

Если время в IOS не настроено, то при попытке генерации ключей RSA, которую мы будем в дальнейшем придпринимать, мы можем получить ошибку «% Rsa keys cannot be generated, as system clock is invalid». Итак, настраиваем синхронизацию времени.

SW01# show clock

20:18:51.664 UTC Mon Aug 29 1932

Как видно, на нашем коммутаторе часы не настроены и показывают неверное время. Настроим синхронизацию времени с NTP-серверов, расположенных в нашей локальной сети:

SW01#
SW01# configure terminal
SW01(config)# clock timezone MSK 3
SW01(config)# ntp server 10.5.0.3 prefer
SW01(config)# ntp server 10.5.1.2
SW01(config)# end
SW01#

Здесь мы указали местную временную зону (Московское время, со сдвигом +3 часа от UTC) и задали в качестве источника времени два NTP-сервера, один из которых (с опцией prefer) является приоритетным. Через несколько секунд часы нашего коммутатора должны отображать правильное время:

SW01# show clock

14:35:32.272 MSK Thu Jan 11 2018

Проверить статус синхронизации можно следующим образом:

SW01# show ntp status

Clock is unsynchronized, stratum 4, reference is 1.5.0.3
nominal freq is 286.1023 Hz, actual freq is 286.1023 Hz, precision is 2**20
ntp uptime is 76500 (1/100 of seconds), resolution is 3496
reference time is DE01CCFD.A2B78D5D (14:46:05.635 MSK Thu Jan 11 2018)
clock offset is 9.2496 msec, root delay is 75.43 msec
root dispersion is 146.12 msec, peer dispersion is 16.55 msec
loopfilter state is 'FREQ' (Drift being measured), drift is 0.000000000 s/s
system poll interval is 64, last update was 10 sec ago.

Проверить состояние источников синхронизации времени можно так:

SW01# show ntp associations

  address   ref clock   st   when   poll reach  delay  offset   disp
+~10.5.0.3    10.0.1.2   3     16     64   377 12.505   5.026 16.552
*~10.5.1.2    10.0.1.2   3     12     64   377 12.932   9.249 16.550
 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

Теперь всё готово для того, чтобы сгенерировать ключевую пару RSA.

SW01# configure terminal
SW01(config)# crypto key generate rsa

The name for the keys will be: SW001.my.holding.com
Choose the size of the key modulus in the range of 360 to 4096 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 4096
% Generating 4096 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 79 seconds)

Теперь встроенный в IOS SSH сервер готов принимать подключения. Если планируется использовать подключение с использованием локальной учётной записи, то можем её создать:

SW01# configure terminal
SW01(config)# username vasya privilege 15 secret MyPa$$w0rd
SW01(config)# service password-encryption
SW01(config)# end
SW01#

Запрещаем Telnet и оставляем только SSH для виртуальных терминалов vty с 0 по 15

SW01# configure terminal
SW01(config)# line vty 0 15
SW01(config-line)# transport input ssh
SW01(config-line)# end
SW01#

Разрешаем использование локальных учётных записей в конфигурации виртуальных терминалов

SW01# configure terminal
SW01(config)# line vty 0 15
SW01(config-line)# login local
SW01(config-line)# end
SW01#

В конце не забываем сохранять рабочую конфигурацию на флэш, чтобы она восстановилась после выключения коммутатора.

SW01# write

Дополнительные источники информации:


Проверено на следующих конфигурациях:

Модель коммутатора Версия IOS
Cisco Catalyst 2960X-48TD-L Switch 15.2.2E7

Автор текущей редакции:
Алексей Максимов
Время публикации: 13.01.2018 23:01

Обсуждение

Ваш комментарий:
 

cisco/cisco-ios-how-to-activate-ssh-server.txt · Последние изменения: 14.01.2018 00:55 — Алексей Максимов