В настоящее время для получения удаленного доступа к сетевому оборудованию часто используют протокол SSH. И это не случайно, ведь данный протокол имеет важное преимущество, которое заключается в его способности шифровать весь трафик и передаваемые пароли. Перед тем, как приступить к настройке оборудования, кратко рассмотрим принципы работы SSH.
SSH (Secure Shell) — сетевой протокол, позволяющий производить удаленное управление сетевым оборудованием и туннелировать TCP-соединения. Для своей работы SSH использует 22 порт.
Перед тем, как установить соединение происходит аутентификация. Аутентификация — это процедура установления подлинности. При аутентификации предварительно генерируется пара открытого и закрытого ключа для определенного пользователя. Оба файла хранятся как на удаленной машине, так и на машине, к которой производится подключение. Эти файлы не передаются при аутентификации, система лишь проверяет, что пользователь открытого ключа также владеет и закрытым. Открытый ключ используется для проверки электронной цифровой подписи и шифрования сообщений. Закрытый ключ используется для генерации электронной цифровой подписи и расшифрования сообщений. Электронная цифровая подпись позволяет проверить отсутствие искажений информации, а также подтвердить владельца сертификата. Для шифрования данных и создания ЭЦП используется криптографический алгоритм RSA. Работа RSA основывается на вычислительной сложности задачи факторизации больших целых чисел. Более подробно данный алгоритм описан по ссылке . Мы же рассмотрим работу RSA поверхностно.
Боб и Алиса переписываются в Интернете и хотят использовать шифрование для хранения переписки в секрете. В RSA открытый и закрытый ключ состоят из пары чисел. Закрытый ключ хранится в секрете, а открытый сообщается. Алиса заранее сгенерировала закрытый и открытый ключ, а затем отправила открытый Бобу. Боб хочет послать сообщение Алисе. Боб шифрует сообщение m , используя открытый ключ Алисы (e, N). В итоге он получает зашифрованное сообщение c . Далее по каналу связи сообщение c передается Алисе. Алиса расшифровывает сообщение c с помощью своего закрытого ключа (d, N) и получает отправленное сообщение m . Таким образом, для того, чтобы расшифровать данные необходимо иметь закрытый ключ, который имеется только у отправителя. В этом и заключается суть работы данного алгоритма.
Настройка доступа по SSH к коммутатору и маршрутизатору Cisco
В Packet Tracer собрана схема.
Между ноутбуком и коммутатором подключены два кабеля: первый — консольный (голубой), второй — Ethernet (черный). Консольный кабель имеет два разъема: DB-9 — для подключения к COM-порту компьютера и RG-45 для подключения к консольному порту коммутатора. 
Первоначальную настройку мы будем осуществлять именно через консоль, так как для доступа по SSH необходимо задать IP-адрес интерфейса, который в данный момент не задан. Тут стоит отметить один нюанс. Вообще коммутатор работает на канальном уровне эталонной модели OSI. Иными словами, коммутатор смотрит только Ethernet заголовок (который содержит лишь MAC-адрес) и не заглядывает вглубь IP заголовка (который находится выше). Тот IP-адрес, который мы будем задавать никак не связан с передачей данных, он будет нужен лишь для управления.
Настройка IP-адреса коммутатора подобна таковой у компьютера с одним интерфейсом Ethernet. С этой точки зрения у компьютера есть процессор, выполняющий операционную систему. У него есть плата сетевого интерфейса Ethernet (сетевая плата). Согласно конфигурации операционной системы, с сетевой платой связан IP-адрес, заданный вручную или полученный динамически от сервера DHCP. Коммутатор использует концепции, подобные хосту, за исключением того, что он может использовать виртуальную сетевую плату. Как и у компьютера, у коммутатора есть процессор, выполняющий операционную систему (Cisco IOS). Коммутатор использует концепцию, подобную сетевой плате, — коммутируемый виртуальный интерфейс (Swithced Virtual Interface — SVI) или более привычно — интерфейс VLAN, действующий как собственная сетевая плата коммутатора для подключения к локальной сети и передаче пакетов IP. Подобно хосту, настройка коммутатора подразумевает установку таких параметров IP, как IP-адрес для этого интерфейса VLAN.
Типичный коммутатор LAN Cisco уровня 2 может использовать только один интерфейс VLAN, но какой конкретно, выбирает сетевой инженер, перемещая управляющий трафик коммутатор на специфический интерфейс.
Заходим с ноута на коммутатор через консоль. Стандартные параметры лучше не менять без надобности.
Сейчас мы находимся в режиме оператора. Для перехода в режим конфигурации коммутатора необходимо ввести две команды.
Switch>enable - для перехода в расширенный режим Switch#configure terminal - для перехода в режим конфигурации
Для управления всеми сетевыми устройствами в сети мы будем использовать сеть 172.16.0.0/24 и VLAN 2. Перед настройкой коммутатор необходимо вручную задать IP-адрес ноутбука, маску сети и основной шлюз. Пусть для примера IP-адрес 172.16.0.5, маска 255.255.255.0, шлюз по-умолчанию 172.16.0.1. Далее я привожу конфигурацию коммутатора с комментариями.
Switch(config)#interface vlan 2 - переходим в настройки виртуального интерфейса Switch(config-if)#ip address 172.16.0.100 255.255.255.0 - настраиваем ip-адрес и маску VLAN 2 Switch(config-if)#no shutdown - административно включаем интерфейс Switch(config-if)#exit - выходим из режима конфигурирования vlan-интерфейса Switch(config)#ip default-gateway 172.16.0.1 - задаем шлюз по-умолчанию
Мы только что создали виртуальный интерфейс vlan 2, присвоили ему ip-адрес из пула ip-адресов для управления, административно перевили его в состояние up (включен) и также задали шлюз по-умолчанию, в качестве которого будет выступать маршрутизатор. Мы настроили виртуальный интерфейс. Теперь необходимо сконфигурировать физический интерфейс. Изначально все порты находятся в vlan 1. Наш ноутбук подключен к порту коммутатора fastEthernet 0/1. Таким образом, необходимо добавить в vlan 2 порт fastEthernet 0/1.
Switch(config)#interface fastEthernet 0/1 - переходим в настройки физического интерфейса Switch(config-if)#description admin - описание интерфейса (подключен админ) Switch(config-if)#switchport mode access - переводим порт в режим доступа Switch(config-if)#switchport access vlan 2 - добавляем порт во 2 vlan. Switch(config-if)#exit
Теперь все готово для настройки SSH.
Switch(config)#username user secres pass - заводим пользователя user с паролем pass Switch(config)#enable secret pass - защищаем привилигированный режим Switch(config)#line vty 0 4 - переходим в настройки виртуальных линий (5 сессий) Switch(config-line)#login local - авторизация по имени и паролю (из локальной базы) Switch(config-line)#transport input ssh - разрешаем доступ только по SSH Switch(config-line)#exec-timeout 0 60 - при бездеятельности отключаем от консоли через 60 сек. Switch(config-line)#logging synchronous - убираем всплывающие сообщения-уведомления Switch(config-line)#exit Switch(config)#ip ssh version 2 - ставим последнюю версию SSH Switch(config)#ip domain-name Switch - указываем доменное имя Switch(config)#crypto key generate rsa - генерируем ключи (1024 kb)
На этом в принципе все. С ноута заходите в консоль и подключаетесь к свитчу
ssh -l user 172.16.0.100
Далее настроим доступ к маршрутизатору. Маршрутизатор подключен не напрямую. Для доступа к нему необходимо, чтобы коммутатор пропускал vlan 2 через порт fastEthernet 0/2. Настроим порт fastEthernet 0/2 как транковый (тегированный) и добавим vlan 2.
Switch(config)#interface fastEthernet 0/2 Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan 2 Switch(config-if)#exit
Первоначальную настройку маршрутизатора также осуществляем через консольный кабель.
Router(config)#interface fastEthernet 0/0 Router(config-if)#description Switch Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 0/0.2 - создаем сабинтерфейс (виртуальный интерфейс) Router(config-subif)#encapsulation dot1Q 2 - тегируем 2 vlan Router(config-subif)#ip address 172.16.0.1 255.255.255.0 - задаем ip-адрес и маску Router(config-subif)#exit
Тут может возникнуть вопрос по поводу команды encapsulation dot1Q 2. Эта команда обозначает, что все кадры, попадающие на интерфейс fastEthernet 0/0 с тегом vlan 2 будут попадать на сабинтерфейс fastEthernet 0/0.2. А все кадры, которые будут уходить с этого сабинтерфейса — помечаются тегом vlan 2. Остальные настройки маршрутизатора абсолютно аналогичны тому, что мы делали ранее.
Router(config)#username user secres pass - заводим пользователя user с паролем pass Router(config)#enable secret pass - защищаем привилигированный режим Router(config)#line vty 0 4 - переходим в настройки виртуальных линий (5 сессий) Router(config-line)#login local - авторизация по имени и паролю (из локальной базы) Router(config-line)#transport input ssh - разрешаем доступ только по SSH Router(config-line)#exec-timeout 0 60 - при бездеятельности отключаем от консоли через 60 сек. Router(config-line)#logging synchronous - убираем всплывающие сообщения-уведомления Router(config-line)#exit Router(config)#ip ssh version 2 - ставим последнюю версию SSH Router(config)#ip domain-name Router - указываем доменное имя Router(config)#crypto key generate rsa - генерируем ключи (1024 kb)
___________________________
Сетевой протокол SSH часто используется для удаленного управления маршрутизаторами и коммутаторами Cisco. Протокол SSH, в отличие от telnet, осуществляет шифрование всей информации, в том числе передаваемых паролей. В статье будет рассмотрена настройка SSH сервера на оборудовании Cisco, позволяющего осуществлять безопасное удаленное управление устройствами.
Настройка SSH на Cisco. Обязательные параметры.
Для включения SSH в Cisco IOS необходимо выполнить следующие 5 обязательных шагов.
1. Задать имя устройства при помощи команды hostname
(config)#hostname sw012. Задать имя пользователя и пароль
(config)#username Admin1 secret 5 $1$ukk...3. Настроить DNS домен при помощи команды ip domain-name
(config)#ip domain-name domain.ru4. Сгенерировать RSA ключ для использования SSH на устройстве.
Для этого используется команда
(config)#crypto key generate rsaПроверить ключ можно при помощи команды:
#show crypto key mypubkey rsaПри наличии ключа, будет отображено его имя и дата создания:
% Key pair was generated at: 00:07:18 YEKT Jul 31 2014
Key name: sw01.domain.ru
Usage: Encryption Key
Key Data:
xxxxxxxx xxxxxxxx xxxxxxxx ...
5. Разрешить поддержку SSH для виртуального терминала
(config)#line vty 0 4 (config-line)#transport input ssh (config-line)#login local (если не используется aaa new-model в пункте 2)Настройка SSH на Cisco. Необязательные параметры.
При настройке SSH сервера на Cisco я, обычно, задаю следующие необязательные параметры.
1. Версия протокола SSH.
Используем 2-ю версию.
(config)#ip ssh version 2
2. Количество попыток аутентификации
Ограничение количества попыток аутентификации используется для предоствращения перебора пароля
(config)#ip ssh authentication-retries 23. Логирование событий протокола SSH
(config)#ip ssh logging eventsПри этом в логах можно будет увидеть какие пользователи с каких хостов пытались получить доступ к устройству.
1w5d: %SSH-5-SSH2_SESSION: SSH2 Session request from 192.168.1.2
(tty = 0)
using crypto cipher "aes128-cbc", hmac "hmac-md5" Succeeded
1w5d: %SSH-5-SSH2_USERAUTH: User "Admin1"
authentication for SSH2 Session
from 192.168.1.2
(tty = 0) using crypto cipher "aes128-cbc", hmac "hmac-md5"
Succeeded
Наличие в логах большого количества записей о неуспешной аутентификации либо записей с попыткой аутентификации под несуществующим именем пользователя может говорить о попытках подбора пароля.
1w5d: %SSH-5-SSH2_USERAUTH: User "User"
authentication for SSH2 Session from
192.168.1.2 (tty = 0) using crypto cipher "aes128-cbc", hmac "hmac-md5" Failed
4. Изменяю входящий порт SSH сервера на нестандартный.
Итак, настройки SSH закончены. Теперь можно скачать Putty с официального сайта и наслаждаться удаленным управлением Cisco!
Проверка настроек SSH на Cisco
Для проверки настроек используем команду show ip ssh, которая отображает статус и версию SSH сервера, а также некоторые параметры аутентификации.
Sw01.domain.ru#show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
Просмотреть текущие SSH сессии можно командой show ssh, которая отображает версию протокола, статус сессии, имя пользователя и параметры шифрования.
Sw01.domain.ru#show ssh
%No SSHv1 server connections running.
Connection Version Mode Encryption Hmac State Username
0 2.0 IN aes128-cbc hmac-md5 Session started Admin1
0 2.0 OUT aes128-cbc hmac-md5 Session started Admin1
1 2.0 IN aes128-cbc hmac-md5 Session started Admin2
1 2.0 OUT aes128-cbc hmac-md5 Session started Admin2
В статье рассмотрен процесс настройки и проверки SSH сервера на коммутаторах и маршрутизаторах Cisco. Приятной работы!
Компания Cisco - одна из ведущих транснациональных корпораций на рынке телекоммуникационного оборудования.
Продукция компании Cisco получила признание во всем мире из-за своей надежности и неприхотливости.
Настройка Cisco 2960: в этой статье мы выполним базовую настройку коммутатора. Статья будет полезна всем, начинающим работать с продукцией компании Cisco.
Шаг 1. Подключение оборудования Cisco
Настройка оборудования Cisco весьма специфична и несколько отличается от оборудования .
Например, для выполнения первичных настроек коммутаторов компании Cisco , нам потребуется фирменный плоский кабель RJ -45 – RS -232 голубого цвета (идет в комплекте с оборудованием) и наличие COM -порта на компьютере, с которого будет производиться настройка.
Решением вопроса является копирование папки HyperTerminal c Windows XP (месторасположение каталога – Program Files ) в любой удобный каталог Windows 7/8 .
Для запуска программы используется файл hypertrm .exe , который можно найти в той же папке.
Либо использовать программу Putty , которую помимо подключения к Cisco -оборудованию можно использовать для подключения к серверам, пр. с помощью SSH -подключения.
Переходим к подключению. На передней панели коммутатора ищем разъем RJ -45 с подписью «Console », и подключаем кабель.
Включаем питание коммутатора.
Заходим на компьютере в HyperTerminal, выбираем интерфейс разъема (COM1), скорость порта – 9600 Б/с, на все дальнейшие вопросы даем отрицательный ответ («No »).
Шаг 3. Общие принципы настройки оборудования Cisco
В целях безопасности на коммутаторах Cisco доступно 2 режима ввода команд: пользовательский режим для проверки состояния коммутатора и привилегированный режим (аналог пользователя root в UNIX или администратора в Windows) для изменения конфигурации коммутатора.
Для пользователей, привыкших работать в UNIX-системах, понять в каком режиме они работают не составит труда.
Для пользователей, работающих в Windows дадим пояснение, - если строка перед командной начинается с символа «#», вы в привилегированном режиме.
То же самое касается ввода пароля, как и в UNIX-системах, пароль, который вводит пользователь не отображается на экране.
Для перехода в привилегированный режим служит команда «enable», без кавычек, а для выхода «disable».
Приступим к первичной настройке коммутатора. При первой загрузке устройства мастер установки предложит выполнить пошаговую настройку, отказываемся от этого шага:
Continue with configuration dialog? : no
После чего оказываемся в пользовательский режиме:
Переходим в привилегированный режим, пароль по умолчанию, как правило, отсутствует, поэтому ничего не вводим, а нажимаем «Enter».
Switch> enable
Для задания настроек, касающихся всего коммутатора (задание имени коммутатора, IP-адреса , указание сервера синхронизации времени, пр), используется режим глобальной конфигурации, для настройки отдельных интерфейсов существует режим конфигурации интерфейса.
Шаг 4. Базовая настройка Cisco 2960
1. Изменим имя нашего коммутатора (по умолчанию имя Switch):
Switch# configure terminal
Switch(config)# hostname Switch01 (Задаем имя коммутатора – Switch01)
Switch01(config)#
В последующем это помогает быть уверенным, что конфигурация выполняется именно на нужном устройстве.
Также обращаем ваше внимание на то, что вместо длинных команд как, например, «configure terminal» существуют их короткие аналоги «conf t».
2. Зададим IP-адрес для интерфейса управления коммутатором.
Switch01(config)# interface fa0/0 (указываем интерфейс для настройки)
Switch01(config-if)# no shutdown (включаем интерфейс)
Switch01(config-if)# ip address 255.255.255.0 (задаем IP- адрес и маску)
Switch01(config-if)# exit (выходим из режима конфигурации интерфейса)
Switch01(config)#
3. Установим пароль для привилегированного режима:
Switch01(config)# enable secret pass1234 (пароль pass1234)
Switch01(config)# exit
Switch 01#
Важно! Установка пароля может быть выполнена двумя командами password и secret. В первом случае пароль хранится в конфигурационном файле в открытом виде, а во втором в зашифрованном. Если использовалась команда password , необходимо зашифровать пароли, хранящиеся в устройстве в открытом виде с помощью команды «service password-encryption» в режиме глобальной конфигурации.
4. Поскольку данные при telnet соединении передаются в открытом виде, для удаленного подключения к коммутатору будем использовать SSH -соединение позволяющее шифровать весь трафик.
Switch01# conf t
Switch 01(config )# ip domain name geek -nose .com (Указываем домен, если домена нет пишем любой)
Switch01(config)# crypto key generate rsa (Выполняем генерацию RSA- ключа для ssh)
Switch01(config)# ip ssh version 2 (Указываем версию ssh- протокола)
Switch01(config)# ip ssh autentification-retries 3 (Задаем кол- во попыток подключения по ssh)
Switch01(config)# service password-encryption (Сохраняем пароли в зашифрованном виде)
Switch 01(config )# line vty 0 2 (Переходим в режим конф-и терминальных линий)
Switch01(config-line)# transport input ssh (Разрешаем подключение только по ssh)
Switch01(config-line)# exec timeout 20 0 (Активируем автоматическое разъединение ssh- сессии через 20 минут)
Switch 01(config -line )# end (Выходим из режима конфигурирования)
Switch01# copy running-config startup-config (Сохраняем настройки)
Важно! Для выхода из подменю конфигурирования на 1 уровень выше, например, из «config -line » в «config » используется команда «exit ». Для полного выхода из режима конфигурирования используйте команду «end ».
Выше была описана базовая настройка ssh , с более продвинутой настройкой можно ознакомиться ниже:
Switch01# conf t
Switch01(config)# aaa new-model (Включаем ААА- протокол )
Вопрос «как настроить подключение к Cisco
по протоколу SSH
?» возникает у каждого, кто сталкивается с этим оборудованием. Ответ — «Просто!»
Для примера возьмем модель маршрутизатора Cisco 881
. Команды для настройки других маршрутизаторов (1841, 2800, 3825…) или коммутаторов (2900, 3500, 4800…) будут аналогичными. Различие может быть лишь в настройке интерфейсов. (Настройка доступ по протоколу SSH
на межсетевые экраны Cisco ASA
описана в статье « »
Итак, в нашем распоряжении:
Задача: настроить защищенное подключение к маршрутизатору Cisco с помощью протокола SSH и обеспечить безопасное удаленное управление.
Шаг 0. Настройка интерфейса
На маршрутизаторе должен быть включен интерфейс, который будет использоваться для управления. В нашем случае это будет внутренний (LAN ) интерфейс Fastethernet 0 .
Для справки:
На Маршрутизаторе Cisco 881
имеется один интерфейс 3го
уровня Fastethernet 4
(тот, на котором сразу можно задать IP
адрес) и встроенный коммутатор с четырьмя интерфейсами 2го
уровня (Fastethernet 0 – Fastethernet 3
). На каждый из этих 4ех интерфейсов можно привязать по одному(!)
виртуальному интерфейсу 3го
уровня. (Vlan
).
Для интерфейса управления маршрутизатора выбираем первый доступный адрес в сети офиса — 192.168.0.1
. Далее заходим в настройки виртуального интерфейса Vlan 1
и присваиваем ему этот ip
адрес. После этого привязываем его к одному из физических
интерфейсов маршрутизатора (Fastethernet 0
) и включаем его командой no shut
.
Для наглядности:
ip address
=> interface Vlan X
=> interface Fastethernet Y
Задаем ip
адрес на интерфейсе Vlan 1
R-DELTACONFIG (config)#
interface Vlan 1
ip address 192.168.0.1 255.255.255.0
no shutsown
Привязываем Vlan 1
к физическому интерфейсу FastEthernet 0
R-DELTACONFIG (config)#
interface Fa 0
switchport access vlan 1
no shutsown
Последнее действие выполняется для того, чтобы убедиться в корректности настройки. Vlan 1
привязан по умолчанию к каждому интерфейсу 2го
уровня и строчка будет отображаться в конфигурации только, если номер Vlan
будет отличаться от 1.
Далее необходимо проверить доступность созданного интерфейса с самого маршрутизатора, а затем с любой рабочей станции офиса, например с рабочей станции администратора. Подойдет простая проверка командой Ping
. Естественно, что интерфейс маршрутизатора Fastethernet 0
должен быть соединен с коммутатором локальной сети (или напрямую с компьютером администратора) и адрес компьютера, с которого выполняется проверка, находится в той же сети, что и адрес интерфейса маршрутизатора (например 192.168.0.10
).
Шаг 1 Создание учетной записи администратора
Для удаленного управления требуется создать учетную запись, если таковая еще отсутствует.
R-DELTACONFIG (config)#
username admin
secret *****
Вместо звездочек ******
задаем пароль для учетной записи admin.
Важно!
По правилам хорошего тона пароль состоит из заглавных и прописных букв, цифр и спец. символов, при этом не короче 8 символов.
Шаг 2 задание пароля на режим конфигурирования
При открытии консоли управления маршрутизатором пользователь попадает в упрощенный режим, из которого возможно посмотреть лишь некоторые параметры устройства и техническую информацию о нем. При этом рядом с названием устройства присутствует знак стрелки «>
»
R-DELTACONFIG>
Для просмотра конфигурации маршрутизатора и дальнейшей его настройки необходимо ввести команду enable
>
enable
#
Изначально этот режим не защищен паролем и любой пользователь, который подключился консольным кабелем (про кабель и как подключиться описано в ) сможет попасть в режим конфигурирования
. С другой стороны, пользователь, который подключился удаленно (ssh/telnet
),для которого не задан уровень привилегий (как раз наш случай), не сможет попасть в режим конфигурирования.
Задаем пароль на привилегированный режим
(знак решетки #
рядом с именем маршрутизатора), зайдя в режим конфигурирования (conf t
).
R-DELTACONFIG (config)#
R-DELTACONFIG (config)# enable secret ******
Этот пароль будет единым для всех пользователей.
Подробнее про режимы конфигурирования можно прочитать .
Шаг 3. Включение удаленного управления
Для удаленного управления необходимо указать способ аутентификации пользователя командой login local
R-DELTACONFIG (config)#
line vty 0 4
login local
После выполнения этого шага и при условии, что интерфейс управления маршрутизатора доступен пользователю, становится возможным подключение к маршрутизатору с помощью протокола telnet
. Для этого необходимо из командной строки рабочей станции администратора выполнить команду
C:\Documents and Settings\***>telnet 192.168.0.1
Должен последовать запрос пользователя и пароля, которые были заданы в шаге 1
. После успешной авторизации будет доступен упрощенный
режим управления маршрутизатора (со стрелкой «>
«). Для доступа к привилегированному
режиму (#
) необходимо ввести команду enable
, а после пароль из шага 2
.
Шаг 4 Настройка SSH
При использовании протокола Telnet
(TCP порт 23) все команды и данные о конфигурировании устройства передаются в открытом виде, что потенциально небезопасно. Для защиты подключения используется протокол SSH
(TCP порт 22).
Для настройки подключения через протокол SSH
необходимо задать имя домена (любое), сгенерировать криптографический ключ доступа и включить сам протокол SSH
версии 2.
R-DELTACONFIG (config)#
ip domain-name сайт
crypto key generate rsa
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
// после запроса необходимо указать 1024
How many bits in the modulus : 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...
ip ssh ver 2
После выполнения этого шага появляется возможность подключаться через SSH
с помощью специальной программы, поддерживающей данную функцию, например putty
. Скачать можно по этой ссылке .
Шаг 5. Ограничение подключения к маршрутизатору только через SSH
Для того, чтобы исключить возможность подключения к маршрутизатору по протоколу Telnet
необходимо ввести следующие команды:
R-DELTACONFIG (config)#
line vty 0 4
transport input ssh
После этого удаленный доступ к консоли устройства будет невозможен кроме как по протоколу SSH.
Дополнительно можно ограничить доступ к управлению маршрутизатором или коммутатором Cisco только с определенных ip адресов. Как это сделать описано .
Важно!
Будьте осторожны с доступом на устройства. Не пренебрегайте защитой подключения и ограничения круга лиц, допущенных к управлению.
Важно!
Не забудьте сохранить
конфигурацию всех устройств командой write
или copy run start
. Иначе после перезагрузки все изменения будут потеряны.
write
Building configuration...
SSH протокол часто используют для удаленного управления маршрутизаторами и коммутаторами. В частности, для управления сетевым оборудованием компании Cisco. Настройка этого оборудования для подключения по SSH и будет рассмотрена в данной статье.
Почему именно SSH для Cisco
SSH — это защищенный протокол, который станет помехой для подборщиков и взломщиков, которые захотят завладеть вашим сетевым оборудованием Cisco.
Но важна правильная настройка, если вы хотите, чтобы ваш маршрутизатор был в безопасности.
А для Cisco настройка протокола SSH осуществляется по особым правилам, не так, как создается удаленное управление сервером во Free BSD.
Как настроить SSH подключение для Cisco
Настройка начинается с того, что вам необходимо войти в привилегированный режим. Для этого воспользуйтесь следующей командой: cisco> enable. Лучше всего использовать публичный ключ для соединения с оборудованием, потому рекомендуется сгенерировать RSA. А для этого в Cisco необходимо установить точную дату и время, иначе ключ не сработает: cisco# clock set 17:10:00 28 Aug 2016. После этого переходите в непосредственный режим изменения конфигураций, который понадобится для создания подключения по SSH протоколу: cisco# configure terminal
Чтобы сформировать открытый ключ, вам нужно будет ввести имя домена, под которым клиент будет подключаться к сетевому оборудованию. Для этого воспользуйтесь командой: cisco(config)# ip domain name имя_домена.ру. Уже после этого можно генерировть RSA-ключ, используя следующую комбинацию: cisco(config)# crypto key generate rsa. Если вы хотите усилить защиту вашего сетевого оборудования, то можете воспользоваться дополнительными паролями, только активируйте предварительно их шифрование при помощи команды: cisco(config)# service password-encryption.
Далее вам предстоит создать пользователя, придумать для него пароль и указать уровень доступа: cisco(config)# username имя_пользователя privilege 15 password 7 пароль. Только после того, как вы заведете хотя бы одного пользователя в системе, можно будет запустить протокол AAA, используя следующую команду: cisco(config)# aaa new-model. А чтобы окончательно запустить терминальные линии по SSH протоколу, вам нужно зайти в их конфигурации. Для этого напишите: cisco(config)# line vty 0 4, где можете указать значение конфигураций от 0 до 4. После этого вы сможете активировать подключение по SSH протоколу — пропишите cisco(config-line)# transport input ssh.
Хоть вы уже и запустили терминальные линии по протоколу SSH, введите эту функцию для сохранения изменений: cisco(config-line)# logging synchronous, а также пропишите значение для таймаута сессии SSH: cisco(config-line)# exec-timeout 60 0. После этого выйдете из config-line и config. И напоследок добавьте новые конфигурации в систему сетевого оборудования Cisco: cisco# copy running-config startup-config. Все — работа сделана, теперь ваше оборудование будет работать по защищенному подключению SSH.
