Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта

Вы находитесь здесь: START » Аппаратное обеспечение Cisco » Как включить SSH сервер на коммутаторе Cisco Catalyst с IOS v.15
cisco:cisco-ios-how-to-activate-ssh-server

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Следующая версия		Предыдущая версия
cisco:cisco-ios-how-to-activate-ssh-server [13.01.2018 20:04] – создано Алексей Максимовcisco:cisco-ios-how-to-activate-ssh-server [12.08.2019 16:52] (текущий) Алексей Максимов
Строка 1: Строка 1:
 ===== Как включить SSH сервер на коммутаторе Cisco Catalyst с IOS v.15 ===== ===== Как включить SSH сервер на коммутаторе Cisco Catalyst с IOS v.15 =====
 +
 +{{:cisco:pasted:20180114-005525.png }} Имеем коммутатор **Cisco Catalyst** с включенным **Telnet** и заданными паролями "Virtual terminal password" и "Enable secret".
 +Для улучшения уровня безопасности при администрировании коммутатора, нам требуется включить встроенный сервер **SSH** и исключить возможность используемого по умолчанию Telnet. 
 +Обратите внимание на то, что включение SSH возможно не во всех версиях **Cisco IOS**.
 +
 +
 +Подключаемся к коммутатору через **Telnet**, указав пароль "Virtual terminal password":
 +
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">User Access Verification
 +
 +Password: <вводим пароль Virtual terminal password>
 +Switch>
 +</pre></HTML>
 +
 +Повышаем привелегии до уровня администратора командой **enable**:
 +
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">Switch> enable
 +Password: <font><вводим пароль Enable secret>
 +Switch#</pre></HTML>
 +
 +Чтобы задействовать поддержку **SSH**, нам потребуется выполнить генерацию ключевой пары **RSA**. Однако для возможности генерации ключей предварительно потребуется настроить имя хоста, имя домена и синхронизацию времени.
 +
 +Входим в режим изменения конфигурации (''configure terminal'') и задаём коммутатору имя хоста, если оно не было задано ранее...
 +
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">Switch# configure terminal
 +Switch(config)# hostname SW001
 +SW001(config)#</pre></HTML>
 +
 +...затем задаём имя домена...
 +
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01(config)# ip domain-name my.holding.com
 +SW01(config)# end
 +SW01#</pre></HTML>
 +
 +Если время в IOS не настроено, то при попытке генерации ключей RSA, которую мы будем в дальнейшем придпринимать, мы можем получить ошибку "''% Rsa keys cannot be generated, as system clock is invalid''"
 +Итак, настраиваем синхронизацию времени. 
 +
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# show clock
 +</br><font style="color:#B2B2B2;">20:18:51.664 UTC Mon Aug 29 1932</font></pre></HTML>
 +
 +Как видно, на нашем коммутаторе часы не настроены и показывают неверное время. Настроим синхронизацию времени с **NTP**-серверов, расположенных в нашей локальной сети:
 +
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">
 +SW01#
 +SW01# configure terminal
 +SW01(config)# clock timezone MSK 3
 +SW01(config)# ntp server 10.5.0.3 prefer
 +SW01(config)# ntp server 10.5.1.2
 +SW01(config)# end
 +SW01#</pre></HTML>
 +
 +Здесь мы указали местную временную зону (Московское время, со сдвигом +3 часа от UTC) и задали в качестве источника времени два NTP-сервера, один из которых (с опцией ''prefer'') является приоритетным.
 +Через несколько секунд часы нашего коммутатора должны отображать правильное время: 
 +
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# show clock
 +<font style="color:#B2B2B2;">
 +14:35:32.272 MSK Thu Jan 11 2018
 +</font></pre></HTML>
 +
 +Проверить статус синхронизации можно следующим образом:
 +
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# show ntp status
 +<font style="color:#B2B2B2;">
 +Clock is unsynchronized, stratum 4, reference is 1.5.0.3
 +nominal freq is 286.1023 Hz, actual freq is 286.1023 Hz, precision is 2**20
 +ntp uptime is 76500 (1/100 of seconds), resolution is 3496
 +reference time is DE01CCFD.A2B78D5D (14:46:05.635 MSK Thu Jan 11 2018)
 +clock offset is 9.2496 msec, root delay is 75.43 msec
 +root dispersion is 146.12 msec, peer dispersion is 16.55 msec
 +loopfilter state is 'FREQ' (Drift being measured), drift is 0.000000000 s/s
 +system poll interval is 64, last update was 10 sec ago.
 +</font></pre></HTML>
 +
 +Проверить состояние источников синхронизации времени можно так:
 +
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# show ntp associations
 +<font style="color:#B2B2B2;">
 +  address   ref clock   st   when   poll reach  delay  offset   disp
 ++~10.5.0.3    10.0.1.2       16     64   377 12.505   5.026 16.552
 +*~10.5.1.2    10.0.1.2       12     64   377 12.932   9.249 16.550
 + * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured
 +</font></pre></HTML>
 +
 +Теперь всё готово для того, чтобы сгенерировать ключевую пару RSA.
 +
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# configure terminal
 +SW01(config)# crypto key generate rsa
 +<font style="color:#B2B2B2;">
 +The name for the keys will be: SW001.my.holding.com
 +Choose the size of the key modulus in the range of 360 to 4096 for your
 +  General Purpose Keys. Choosing a key modulus greater than 512 may take
 +  a few minutes.
 +
 +How many bits in the modulus [512]: <font style="color:#FFFFFF;">4096</font>
 +% Generating 4096 bit RSA keys, keys will be non-exportable...
 +[OK] (elapsed time was 79 seconds)
 +</font></pre></HTML>
 +
 +Теперь встроенный в IOS SSH сервер готов принимать подключения.
 +Если планируется использовать подключение с использованием локальной учётной записи, то можем её создать:
 +
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# configure terminal
 +SW01(config)# username vasya privilege 15 secret MyPa$$w0rd
 +SW01(config)# service password-encryption
 +SW01(config)# end
 +SW01#
 +</pre></HTML>
 +
 +Запрещаем Telnet и оставляем только SSH для виртуальных терминалов **vty** с **0** по **15**
 +
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# configure terminal
 +SW01(config)# line vty 0 15
 +SW01(config-line)# transport input ssh
 +SW01(config-line)# end
 +SW01#</pre></HTML>
 +
 +Разрешаем использование локальных учётных записей в конфигурации виртуальных терминалов
 +
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# configure terminal
 +SW01(config)# line vty 0 15
 +SW01(config-line)# login local
 +SW01(config-line)# end
 +SW01#</pre></HTML>
 +
 +В конце не забываем сохранять рабочую конфигурацию на флэш, чтобы она восстановилась после выключения коммутатора.
 +
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# write</pre></HTML>
  
  
Строка 10: Строка 137:
 Проверено на следующих конфигурациях: Проверено на следующих конфигурациях:
 ^ Модель коммутатора  ^ Версия IOS  ^ ^ Модель коммутатора  ^ Версия IOS  ^
-|Cisco Catalyst 2960X-48TD-L Switch | 15.2.2E7 |+|Cisco Catalyst WS-2960X-48TD-L V05 | 15.2.2E7 
 +|Cisco Catalyst WS-C3560X-48T-L V05 | 15.2.4E8 |
  
 ---- ----
 {{:user:blogroot.png?50&nolink |}} Автор текущей редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 13.01.2018 23:01 {{:user:blogroot.png?50&nolink |}} Автор текущей редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 13.01.2018 23:01
-{{tag>Cisco Catalyst IOS Switch SSH Security NTP}}+{{tag>Cisco Catalyst 3560X 2960X IOS Switch SSH Security NTP}}
  
 ~~DISCUSSION~~ ~~DISCUSSION~~
  
cisco/cisco-ios-how-to-activate-ssh-server.1515873897.txt.gz · Последнее изменение: Алексей Максимов