Tässä artikkelissa kerrotaan, miten voit määrittää ja setup SSH remote management Cisco IOS Reitittimet. Me näytämme sinulle, miten tarkistaa, jos SSH on tuettu IOS-versio, kuinka se on mahdollista, luo RSA-avaimen reitittimen ja lopulta määrittää SSH ensisijainen management protocol alle VTY rajapintoja.,
Secure Shell (SSH) tarjoaa turvallisen ja luotettavan tarkoittaa yhteyden kauko laitteet. Se on salattu verkkoprotokolla, jonka avulla käyttäjät voivat turvallisesti käyttää laitteita komentorivin käyttöliittymäsessioiden kautta. SSH käyttää TCP-porttia 22, joka on määrätty turvallisiin kirjautumisiin, tiedostojen siirtoon ja porttien huolintaan.,
SSH käyttää julkisen avaimen, jolla todennetaan kauko-laitteen ja salata kaikki tiedot välillä, että laitteen ja työaseman, joka tekee siitä paras valinta julkisissa verkoissa, toisin kuin (telnet), joka lähettää dataa tekstimuodossa, joka alistaa sen turvallisuuden uhat, että tämä tekee (telnet) suositellaan yksityisiä verkkoja vain pitää tiedot tinkimättömän.
Tarkastaa SSH-Tuen Reitittimen
ensimmäinen vaihe on tutkia, onko Cisco reitittimen IOS tukee SSH tai ei., Useimmat nykyaikaiset Ciscon reitittimet tukevat SSH: ta, joten tämän ei pitäisi olla ongelma.
Tuotteet (K9) kuvan nimi e.g c2900-universalk9-mz.SPA.154-3.M2.bin, tue vahvaa salausta 3DES / AES, kun taas (K8) IOS niput tukevat heikkoa salausta vanhentuneella DES.
tarkistaa, syötä etuoikeus tilassa ja käyttää esityksessä ip ssh-komento:
R1# show ip ssh
SSH Käytöstä – versio 1.99
%luo RSA-avaimet SSH (ja vähintään 768 bittiä SSH v2).,
aikakatkaisu Todennus: 120 sekuntia; Authentication retries: 3
Minimi lämpötila Diffie Hellman key koko : 1024 bittiä
IOS Avaimet SECSH-muodossa(ssh-rsa, base64-koodattu): EI
edellä tuotos, järjestelmä osoittaa SSH-tuki, mutta se on tällä hetkellä pois käytöstä, koska ei ole RSA-avain on luotu. On myös syytä huomata, että sshv2: n mahdollistamiseksi on luotava vähintään 768 bittiä sisältävä avain.,
, joka varmistaa Pääsyn Reitittimen
Se on aina hyvä idea ensin rajoittaa pääsyä Ciscon reititintä, ennen kuin otat SSH. Tämä on erittäin tärkeää erityisesti silloin, kun laitteessa on liitäntä julkisia verkkoja, kuten Internet, julkinen Hotspot.
Me ensin luoda käyttäjätiedot laitteen ja sitten mahdollistaa Athentication, Lupa & Kirjanpidon Palvelut (AAA)., Lopuksi, varmistaa, salainen salasana on asetettu suojelemaan pääsy etuoikeus tilassa, yhdessä service password-encryption-komento varmistaa, että kaikki selkeä-teksti salasanat ovat salattuja:
Seuraava, se on erittäin suositeltavaa rajoittaa etäkäytön SSH-protokollaa vain. Näin varmistetaan, että reitittimeen ei voi käyttää turvattomia palveluja, kuten Telnet-palvelua. Telnet lähettää kaikki tiedot salaamattomina, mukaan lukien käyttäjätunnus / salasana, ja siksi sitä pidetään turvallisuusriskinä.,
käytämme transport input ssh-komennon alla VTY-osiossa voit rajoittaa etäkäytön SSH vain. Huomaa, että voimme myös käyttää Access-lists rajoittaa SSH-yhteydet meidän reititin:
Huomautus: salasana komento käyttää alle line vty 0 4 kohta on täysin vapaaehtoista ja ei käytetty tässä tapauksessa, koska kirjautuminen todennus default-komento, joka pakottaa reititin käyttää AAA mekanismi kaikki käyttäjän todennus.,
Tuottaa Meidän Reititin on RSA – Digitaalinen Varmenne
Digitaalinen avaimet tarkoituksena on edistää turvallisen viestinnän laitteiden välillä. Seuraava askeleemme on luoda RSA-avainpari, jota SSH käyttää viestintäkanavan salaamiseen.
Ennen tuottaa meidän RSA-avain, se on tarpeen määritellä reitittimen toimialueen ip domain-name-komento, jonka jälkeen crypto key generate komento:
R1(config)# crypto key generate rsa
nimi avaimet tulee olemaan: R1.palomuurin.cx
Valitse koko avain moduuli välillä 360 4096 oman yleiskäyttöinen Avaimet. Avainmoduulin valitseminen yli 512 voi kestää muutaman minuutin. Kuinka monta bittiä modulus: 4096
% tuottaa 4096 bit RSA avaimet, avaimet on vietävissä…
(kulunut aika oli 183 sekuntia)
Kun tuottaa meidän avain paria, reititin ilmoittaa meille nimi, jota käytetään avaimet, joka koostuu reitittimen hostname (R1) + Määritetty Verkkotunnus (palomuuri.cx)., Lopuksi, voimme valita määrä bittiä käytetään modulus (avain).
Koska me valitut tuottaa avaimen käyttämällä 4096 bittiä, reititin kesti hieman yli 3 minuuttia luoda avain! Huomaa, että esimerkissämme käytetty reititin oli Cisco 877.
SSH käytössä, voimme ssh meidän reititin ja hallita sitä turvallisesti mistä tahansa ympäri maailmaa.,
näytä kaikki aktiiviset SSH-istunto, voit käyttää näytä ssh-komento:
R1# näytä ssh
Yhteys-Versio Tilassa Salaus Hmac Valtion Käyttäjätunnus
0 2.0 aes256-cbc hmac-sha1 Istunto alkoi admin
0 2.0 POIS aes256-cbc hmac-sha1 Istunto alkoi admin
%Ei SSHv1 palvelimen yhteydet käynnissä.
R1#
Tämä artikkeli selittää, miten tärkeää on mahdollistaa ja SSH: lla etänä hallita ja määrittää Cisco reitittimen., Näimme, miten luoda käyttäjiä varten etähallinta, jotta AAA, salata selkeä-teksti, salasanat, jotta SSHv2, luoda RSA-avaimet ja tarkistaa SSH istuntoja meidän reititin.
takaisin Ciscon reitittimien osioon