Пошаговые руководства, шпаргалки, полезные ссылки...
БлогФорумАвторы
Полезные Online-сервисы
Перечень Бесплатного ПО
Подписка на RSS-канал
Имеем коммутатор Cisco Catalyst с включенным Telnet и заданными паролями «Virtual terminal password» и «Enable secret». Для улучшения уровня безопасности при администрировании коммутатора, нам требуется включить встроенный сервер SSH и исключить возможность используемого по умолчанию Telnet. Обратите внимание на то, что включение SSH возможно не во всех версиях Cisco IOS.
Подключаемся к коммутатору через Telnet, указав пароль «Virtual terminal password»:
User Access Verification Password: <вводим пароль Virtual terminal password> Switch>
Повышаем привелегии до уровня администратора командой enable:
Switch> enable Password: <вводим пароль Enable secret> Switch#
Чтобы задействовать поддержку SSH, нам потребуется выполнить генерацию ключевой пары RSA. Однако для возможности генерации ключей предварительно потребуется настроить имя хоста, имя домена и синхронизацию времени.
Входим в режим изменения конфигурации (configure terminal) и задаём коммутатору имя хоста, если оно не было задано ранее…
configure terminal
Switch# configure terminal Switch(config)# hostname SW001 SW001(config)#
…затем задаём имя домена…
SW01(config)# ip domain-name my.holding.com SW01(config)# end SW01#
Если время в IOS не настроено, то при попытке генерации ключей RSA, которую мы будем в дальнейшем придпринимать, мы можем получить ошибку «% Rsa keys cannot be generated, as system clock is invalid». Итак, настраиваем синхронизацию времени.
% Rsa keys cannot be generated, as system clock is invalid
SW01# show clock 20:18:51.664 UTC Mon Aug 29 1932
Как видно, на нашем коммутаторе часы не настроены и показывают неверное время. Настроим синхронизацию времени с NTP-серверов, расположенных в нашей локальной сети:
SW01# SW01# configure terminal SW01(config)# clock timezone MSK 3 SW01(config)# ntp server 10.5.0.3 prefer SW01(config)# ntp server 10.5.1.2 SW01(config)# end SW01#
Здесь мы указали местную временную зону (Московское время, со сдвигом +3 часа от UTC) и задали в качестве источника времени два NTP-сервера, один из которых (с опцией prefer) является приоритетным. Через несколько секунд часы нашего коммутатора должны отображать правильное время:
prefer
SW01# show clock 14:35:32.272 MSK Thu Jan 11 2018
Проверить статус синхронизации можно следующим образом:
SW01# show ntp status Clock is unsynchronized, stratum 4, reference is 1.5.0.3 nominal freq is 286.1023 Hz, actual freq is 286.1023 Hz, precision is 2**20 ntp uptime is 76500 (1/100 of seconds), resolution is 3496 reference time is DE01CCFD.A2B78D5D (14:46:05.635 MSK Thu Jan 11 2018) clock offset is 9.2496 msec, root delay is 75.43 msec root dispersion is 146.12 msec, peer dispersion is 16.55 msec loopfilter state is 'FREQ' (Drift being measured), drift is 0.000000000 s/s system poll interval is 64, last update was 10 sec ago.
Проверить состояние источников синхронизации времени можно так:
SW01# show ntp associations address ref clock st when poll reach delay offset disp +~10.5.0.3 10.0.1.2 3 16 64 377 12.505 5.026 16.552 *~10.5.1.2 10.0.1.2 3 12 64 377 12.932 9.249 16.550 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured
Теперь всё готово для того, чтобы сгенерировать ключевую пару RSA.
SW01# configure terminal SW01(config)# crypto key generate rsa The name for the keys will be: SW001.my.holding.com Choose the size of the key modulus in the range of 360 to 4096 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 4096 % Generating 4096 bit RSA keys, keys will be non-exportable... [OK] (elapsed time was 79 seconds)
Теперь встроенный в IOS SSH сервер готов принимать подключения. Если планируется использовать подключение с использованием локальной учётной записи, то можем её создать:
SW01# configure terminal SW01(config)# username vasya privilege 15 secret MyPa$$w0rd SW01(config)# service password-encryption SW01(config)# end SW01#
Запрещаем Telnet и оставляем только SSH для виртуальных терминалов vty с 0 по 15
SW01# configure terminal SW01(config)# line vty 0 15 SW01(config-line)# transport input ssh SW01(config-line)# end SW01#
Разрешаем использование локальных учётных записей в конфигурации виртуальных терминалов
SW01# configure terminal SW01(config)# line vty 0 15 SW01(config-line)# login local SW01(config-line)# end SW01#
В конце не забываем сохранять рабочую конфигурацию на флэш, чтобы она восстановилась после выключения коммутатора.
SW01# write
Дополнительные источники информации:
Проверено на следующих конфигурациях:
Автор текущей редакции: Алексей Максимов Время публикации: 13.01.2018 23:01