Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта


cisco:cisco-ios-how-to-activate-ssh-server

Это старая версия документа!


Как включить SSH сервер на коммутаторе Cisco Catalyst с IOS v.15

Имеем коммутатор Cisco Catalyst с включенным Telnet и заданными паролями «Virtual terminal password» и «Enable secret». Для улучшения уровня безопасности при администрировании коммутатора, нам требуется включить встроенный сервер SSH и исключить возможность используемого по умолчанию Telnet. Обратите внимание на то, что включение SSH возможно не во всех версиях Cisco IOS.

Подключаемся к коммутатору через Telnet, указав пароль «Virtual terminal password»:

User Access Verification

Password: <вводим пароль Virtual terminal password>
SW001>

Повышаем привелегии до уровня администратора командой enable:

SW001> enable
Password: <вводим пароль Enable secret>
SW001#

Чтобы задействовать поддержку SSH, нам потребуется выполнить генерацию ключевой пары RSA. Однако для возможности генерации ключей предварительно потребуется настроить имя хоста, имя домена и синхронизацию времени.

Входим в режим изменения конфигурации (configure terminal) и задаём коммутатору имя хоста, если оно не было задано ранее…

SW001# configure terminal SW001(config)# hostname SW001 SW001(config)#

…затем задаём имя домена…

SW001(config)# ip domain-name my.holding.com SW001(config)# end SW001#

Если часы коммутатора не настроены, то при попытке генерации ключей RSA, которую мы будем в дальнейшем придпринимать, мы можем получить ошибку «% Rsa keys cannot be generated, as system clock is invalid». Итак, настраиваем синхронизацию времени.

SW001# show clock

20:18:51.664 UTC Mon Aug 29 1932

Как видно, на нашем коммутаторе часы не настроены и показывают неверное время. Настроим синхронизацию времени с NTP-серверов, расположенных в нашей локальной сети:

SW001# SW001# configure terminal SW001(config)# clock timezone MSK 3 SW001(config)# ntp server 10.5.0.3 prefer SW001(config)# ntp server 10.5.1.2 SW001(config)# end SW001#

Здесь мы указали местную временную зону (Московское время, со сдвигом +3 часа от UTC) и задали в качестве источника времени два NTP-сервера, один из которых (с опцией prefer) является приоритетным. Через несколько секунд часы нашего коммутатора должны отображать правильное время:

SW001# show clock

14:35:32.272 MSK Thu Jan 11 2018

Проверить статус синхронизации можно следующим обраом:

SW001# show ntp status

Clock is unsynchronized, stratum 4, reference is 1.5.0.3 nominal freq is 286.1023 Hz, actual freq is 286.1023 Hz, precision is 2**20 ntp uptime is 76500 (1/100 of seconds), resolution is 3496 reference time is DE01CCFD.A2B78D5D (14:46:05.635 MSK Thu Jan 11 2018) clock offset is 9.2496 msec, root delay is 75.43 msec root dispersion is 146.12 msec, peer dispersion is 16.55 msec loopfilter state is 'FREQ' (Drift being measured), drift is 0.000000000 s/s system poll interval is 64, last update was 10 sec ago.

Проверить состояние источников синхронизации времени можно так:

SW001# show ntp associations

address   ref clock   st   when   poll reach  delay  offset   disp

+~10.5.0.3 10.0.1.2 3 16 64 377 12.505 5.026 16.552 *~10.5.1.2 10.0.1.2 3 12 64 377 12.932 9.249 16.550 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

Теперь всё готово для того, чтобы сгенерировать ключевую пару RSA.

SW001# configure terminal SW001(config)# crypto key generate rsa

The name for the keys will be: SW001.my.holding.com Choose the size of the key modulus in the range of 360 to 4096 for your

General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 4096 % Generating 4096 bit RSA keys, keys will be non-exportable… [OK] (elapsed time was 79 seconds)

Теперь встроенный в IOS SSH сервер готов принимать подключения. Если планируется использовать подключение с использованием локальной учётной записи, то можем её создать:

SW01# configure terminal SW01(config)# username vasya privilege 15 secret MyPa$$w0rd SW01(config)# service password-encryption SW01(config)# end SW01#

Запрещаем Telnet и оставляем только SSH для виртуальных терминалов с 0 по 15

SW001# configure terminal SW001(config)# line vty 0 15 SW001(config-line)# transport input ssh SW001(config-line)# end SW01#

Разрешаем использование локальных учётных записей в конфигурации виртуальных терминалов

SW001# configure terminal SW001(config)# line vty 0 15 SW001(config-line)# login local SW001(config-line)# end SW01#

В конце не забываем сохранять рабочую конфигурацию на флэш, чтобы она восстановилась после выключения коммутатора.

SW001# write


Дополнительные источники информации:


Проверено на следующих конфигурациях:

Модель коммутатора Версия IOS
Cisco Catalyst 2960X-48TD-L Switch 15.2.2E7

Автор текущей редакции:
Алексей Максимов
Время публикации: 13.01.2018 23:01

Обсуждение

Ваш комментарий:
 
cisco/cisco-ios-how-to-activate-ssh-server.1515878994.txt.gz · Последнее изменение: 14.01.2018 00:29 — Алексей Максимов

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki