Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта

Вы находитесь здесь: START » Аппаратное обеспечение Cisco » Как включить SSH сервер на коммутаторе Cisco Catalyst с IOS v.15
cisco:cisco-ios-how-to-activate-ssh-server

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слеваПредыдущая версия
Следующая версия		Предыдущая версия
cisco:cisco-ios-how-to-activate-ssh-server [14.01.2018 00:27] Алексей Максимовcisco:cisco-ios-how-to-activate-ssh-server [12.08.2019 19:52] (текущий) Алексей Максимов
Строка 1: Строка 1:
 ===== Как включить SSH сервер на коммутаторе Cisco Catalyst с IOS v.15 ===== ===== Как включить SSH сервер на коммутаторе Cisco Catalyst с IOS v.15 =====
  
-Имеем коммутатор **Cisco Catalyst** с включенным **Telnet** и заданными паролями "Virtual terminal password" и "Enable secret".+{{:cisco:pasted:20180114-005525.png }} Имеем коммутатор **Cisco Catalyst** с включенным **Telnet** и заданными паролями "Virtual terminal password" и "Enable secret".
 Для улучшения уровня безопасности при администрировании коммутатора, нам требуется включить встроенный сервер **SSH** и исключить возможность используемого по умолчанию Telnet.  Для улучшения уровня безопасности при администрировании коммутатора, нам требуется включить встроенный сервер **SSH** и исключить возможность используемого по умолчанию Telnet. 
 Обратите внимание на то, что включение SSH возможно не во всех версиях **Cisco IOS**. Обратите внимание на то, что включение SSH возможно не во всех версиях **Cisco IOS**.
  
  
-Подключаемся к коммутатору через Telnet, указав пароль "Virtual terminal password":+Подключаемся к коммутатору через **Telnet**, указав пароль "Virtual terminal password":
  
 <HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">User Access Verification <HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">User Access Verification
  
 Password: <вводим пароль Virtual terminal password> Password: <вводим пароль Virtual terminal password>
-SW001>+Switch>
 </pre></HTML> </pre></HTML>
  
-Повышаем привелегии до уровня администратора командой enable:+Повышаем привелегии до уровня администратора командой **enable**:
  
-SW001> enable+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">Switch> enable
 Password: <font><вводим пароль Enable secret> Password: <font><вводим пароль Enable secret>
-SW001#+Switch#</pre></HTML>
  
-Чтобы задействовать поддержку SSH, нам потребуется выполнить генерацию ключевой пары RSA. Однако для возможности генерации ключей предварительно потребуется настроить имя хоста, имя домена и синхронизацию времени.+Чтобы задействовать поддержку **SSH**, нам потребуется выполнить генерацию ключевой пары **RSA**. Однако для возможности генерации ключей предварительно потребуется настроить имя хоста, имя домена и синхронизацию времени.
  
-Входим в режим изменения конфигурации (configure terminal) и задаём коммутатору имя хоста, если оно не было задано ранее...+Входим в режим изменения конфигурации (''configure terminal'') и задаём коммутатору имя хоста, если оно не было задано ранее...
  
-SW001# configure terminal +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">Switch# configure terminal 
-SW001(config)# hostname SW001 +Switch(config)# hostname SW001 
-SW001(config)#+SW001(config)#</pre></HTML>
  
 ...затем задаём имя домена... ...затем задаём имя домена...
  
-SW001(config)# ip domain-name my.holding.com +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01(config)# ip domain-name my.holding.com 
-SW001(config)# end +SW01(config)# end 
-SW001#+SW01#</pre></HTML>
  
-Если часы коммутатора не настроены, то при попытке генерации ключей RSA, которую мы будем в дальнейшем придпринимать, мы можем получить ошибку "% Rsa keys cannot be generated, as system clock is invalid"+Если время в IOS не настроено, то при попытке генерации ключей RSA, которую мы будем в дальнейшем придпринимать, мы можем получить ошибку "''% Rsa keys cannot be generated, as system clock is invalid''"
 Итак, настраиваем синхронизацию времени.  Итак, настраиваем синхронизацию времени. 
  
-SW001# show clock+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# show clock 
 +</br><font style="color:#B2B2B2;">20:18:51.664 UTC Mon Aug 29 1932</font></pre></HTML>
  
-20:18:51.664 UTC Mon Aug 29 1932+Как видно, на нашем коммутаторе часы не настроены и показывают неверное время. Настроим синхронизацию времени с **NTP**-серверов, расположенных в нашей локальной сети:
  
-Как видно, на нашем коммутаторе часы не настроены и показывают неверное время. Настроим синхронизацию времени с NTP-серверов, расположенных в нашей локальной сети:+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;"> 
 +SW01# 
 +SW01# configure terminal 
 +SW01(config)# clock timezone MSK 3 
 +SW01(config)# ntp server 10.5.0.3 prefer 
 +SW01(config)# ntp server 10.5.1.2 
 +SW01(config)# end 
 +SW01#</pre></HTML>
  
-SW001# +Здесь мы указали местную временную зону (Московское время, со сдвигом +3 часа от UTC) и задали в качестве источника времени два NTP-сервера, один из которых (с опцией ''prefer'') является приоритетным.
-SW001# configure terminal +
-SW001(config)# clock timezone MSK 3 +
-SW001(config)# ntp server 10.5.0.3 prefer +
-SW001(config)# ntp server 10.5.1.2 +
-SW001(config)# end +
-SW001# +
- +
-Здесь мы указали местную временную зону (Московское время, со сдвигом +3 часа от UTC) и задали в качестве источника времени два NTP-сервера, один из которых (с опцией prefer) является приоритетным.+
 Через несколько секунд часы нашего коммутатора должны отображать правильное время:  Через несколько секунд часы нашего коммутатора должны отображать правильное время: 
  
-SW001# show clock +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# show clock 
 +<font style="color:#B2B2B2;">
 14:35:32.272 MSK Thu Jan 11 2018 14:35:32.272 MSK Thu Jan 11 2018
 +</font></pre></HTML>
  
-Проверить статус синхронизации можно следующим обраом: +Проверить статус синхронизации можно следующим образом:
- +
-SW001# show ntp status+
  
 +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# show ntp status
 +<font style="color:#B2B2B2;">
 Clock is unsynchronized, stratum 4, reference is 1.5.0.3 Clock is unsynchronized, stratum 4, reference is 1.5.0.3
 nominal freq is 286.1023 Hz, actual freq is 286.1023 Hz, precision is 2**20 nominal freq is 286.1023 Hz, actual freq is 286.1023 Hz, precision is 2**20
Строка 70: Строка 71:
 loopfilter state is 'FREQ' (Drift being measured), drift is 0.000000000 s/s loopfilter state is 'FREQ' (Drift being measured), drift is 0.000000000 s/s
 system poll interval is 64, last update was 10 sec ago. system poll interval is 64, last update was 10 sec ago.
 +</font></pre></HTML>
  
 Проверить состояние источников синхронизации времени можно так: Проверить состояние источников синхронизации времени можно так:
  
-SW001# show ntp associations +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# show ntp associations 
 +<font style="color:#B2B2B2;">
   address   ref clock   st   when   poll reach  delay  offset   disp   address   ref clock   st   when   poll reach  delay  offset   disp
 +~10.5.0.3    10.0.1.2       16     64   377 12.505   5.026 16.552 +~10.5.0.3    10.0.1.2       16     64   377 12.505   5.026 16.552
 *~10.5.1.2    10.0.1.2       12     64   377 12.932   9.249 16.550 *~10.5.1.2    10.0.1.2       12     64   377 12.932   9.249 16.550
  * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured  * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured
 +</font></pre></HTML>
  
 Теперь всё готово для того, чтобы сгенерировать ключевую пару RSA. Теперь всё готово для того, чтобы сгенерировать ключевую пару RSA.
  
-SW001# configure terminal +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# configure terminal 
-SW001(config)# crypto key generate rsa +SW01(config)# crypto key generate rsa 
 +<font style="color:#B2B2B2;">
 The name for the keys will be: SW001.my.holding.com The name for the keys will be: SW001.my.holding.com
 Choose the size of the key modulus in the range of 360 to 4096 for your Choose the size of the key modulus in the range of 360 to 4096 for your
Строка 90: Строка 93:
   a few minutes.   a few minutes.
  
-How many bits in the modulus [512]: 4096+How many bits in the modulus [512]: <font style="color:#FFFFFF;">4096</font>
 % Generating 4096 bit RSA keys, keys will be non-exportable... % Generating 4096 bit RSA keys, keys will be non-exportable...
 [OK] (elapsed time was 79 seconds) [OK] (elapsed time was 79 seconds)
 +</font></pre></HTML>
  
 Теперь встроенный в IOS SSH сервер готов принимать подключения. Теперь встроенный в IOS SSH сервер готов принимать подключения.
 Если планируется использовать подключение с использованием локальной учётной записи, то можем её создать: Если планируется использовать подключение с использованием локальной учётной записи, то можем её создать:
  
-SW01# configure terminal+<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# configure terminal
 SW01(config)# username vasya privilege 15 secret MyPa$$w0rd SW01(config)# username vasya privilege 15 secret MyPa$$w0rd
 SW01(config)# service password-encryption SW01(config)# service password-encryption
 SW01(config)# end SW01(config)# end
 SW01# SW01#
 +</pre></HTML>
  
-Запрещаем Telnet и оставляем только SSH для виртуальных терминалов с 0 по 15+Запрещаем Telnet и оставляем только SSH для виртуальных терминалов **vty** с **0** по **15**
  
-SW001# configure terminal +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# configure terminal 
-SW001(config)# line vty 0 15 +SW01(config)# line vty 0 15 
-SW001(config-line)# transport input ssh +SW01(config-line)# transport input ssh 
-SW001(config-line)# end +SW01(config-line)# end 
-SW01#+SW01#</pre></HTML>
  
 Разрешаем использование локальных учётных записей в конфигурации виртуальных терминалов Разрешаем использование локальных учётных записей в конфигурации виртуальных терминалов
  
-SW001# configure terminal +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# configure terminal 
-SW001(config)# line vty 0 15 +SW01(config)# line vty 0 15 
-SW001(config-line)# login local +SW01(config-line)# login local 
-SW001(config-line)# end +SW01(config-line)# end 
-SW01#+SW01#</pre></HTML>
  
 В конце не забываем сохранять рабочую конфигурацию на флэш, чтобы она восстановилась после выключения коммутатора. В конце не забываем сохранять рабочую конфигурацию на флэш, чтобы она восстановилась после выключения коммутатора.
  
-SW001# write +<HTML><pre style="background:#5a5a62;color:#ffffff;padding:10px;border:0px;">SW01# write</pre></HTML>
- +
  
  
Строка 133: Строка 137:
 Проверено на следующих конфигурациях: Проверено на следующих конфигурациях:
 ^ Модель коммутатора  ^ Версия IOS  ^ ^ Модель коммутатора  ^ Версия IOS  ^
-|Cisco Catalyst 2960X-48TD-L Switch | 15.2.2E7 |+|Cisco Catalyst WS-2960X-48TD-L V05 | 15.2.2E7 
 +|Cisco Catalyst WS-C3560X-48T-L V05 | 15.2.4E8 |
  
 ---- ----
 {{:user:blogroot.png?50&nolink |}} Автор текущей редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 13.01.2018 23:01 {{:user:blogroot.png?50&nolink |}} Автор текущей редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 13.01.2018 23:01
-{{tag>Cisco Catalyst IOS Switch SSH Security NTP}}+{{tag>Cisco Catalyst 3560X 2960X IOS Switch SSH Security NTP}}
  
 ~~DISCUSSION~~ ~~DISCUSSION~~
  
cisco/cisco-ios-how-to-activate-ssh-server.1515878866.txt.gz · Последнее изменение: 14.01.2018 00:27 — Алексей Максимов
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki