이 문서는 방법을 보여줍을 구성하고 설치 SSH 원격 관리 시스코 IOS 라우터입니다. 우리는 방법을 보여 드리겠습니다 경우 확인 SSH 지원하는 IOS 버전을 사용하도록 설정하는 방법,RSA 키를 생성하고 당신의 라우터 및 마지막으로 구성 SSH 기본으로 관리 프로토콜에서 VTY 인터페이스가 있습니다.,
SSH(Secure Shell)는 원격 장치에 연결하는 안전하고 안정적인 수단을 제공합니다. 사용자가 명령 줄 인터페이스 세션을 통해 장비에 안전하게 액세스 할 수있게 해주는 암호화 된 네트워크 프로토콜입니다. SSH 는 보안 로그인,파일 전송 및 포트 전달에 할당 된 TCP 포트 22 를 사용합니다.,
SSH 을 사용하여 공개 키를 인증하기 위한 원격 장치를 암호화하고 모든 데이터 사이에는 장치와 워크스테이션 만드는 최고의 선택을 위해 공용 네트워크와는 달리,(telnet)가 전송되는 데이터는 일반 텍스트에서는 과목하는 보안 위협이 만드(telnet)을 권장 전용 네트워크를 유지하는 데이터로 전파되지 않도록 합니다.
을 확인하 SSH 지원이 당신의 라우터
첫 번째 단계를 포함 여부를 검사 시스코 라우터 IOS 지원 SSH 나지 않습니다., 대부분의 최신 시스코 라우터는 SSH 를 지원하므로 문제가되지 않아야합니다.
이미지 이름에(K9)가있는 제품(예:c2900-universalk9-mz).스파.154-3.M2.bin,3des/AES 로 강력한 암호화 지원(K8)IOS 번들은 오래된 des 로 약한 암호화를 지원합니다.
을 확인하는 특권 모드를 사용하여 ip ssh 명령:
R1#쇼 ip ssh
SSH 장애인-버전 1.99
%만드십시오 RSA 할 수 있도록 키 SSH(고의 768 비트에 대한 SSH v2).,
인증 제한 시간:120 초;인증은 재시도 횟수:3
최소 예 Diffie Hellman 키 크기:1024 비트
IOS 키 SECSH 형식으로(ssh-rsa,base64 인코딩된):NONE
위에서 출력,시스템은 보여주는 SSH 지원하지만,그것의 현재 사용하지 않으로 RSA 키가 생성되었습니다. SSHv2 를 활성화하려면 최소 768 비트의 키를 생성해야한다는 점도 주목할 가치가 있습니다.,
에 대한 액세스 보호 라우터
항상 좋은 아이디어 첫 번째 대한 액세스를 제한하는 시스코 라우터를 사용하기 전에 터미널입니다. 이것은 매우 중요 특히 장치 인터페이스를 가지고 있 직면하는 공공 네트워크 e.g 인터넷,공용 핫스팟합니다.
우리는 먼저 사용자 만들기 자격 장치에 대해 다음 사용하 Athentication,Authorization&회계 서비스(AAA)., 마지막으로,지키는 비밀 암호가 설정되어 있을 보호 액세스 권한 모드와 함께 서비스를 암호를 암호화하는 명령 모든 분명한 텍스트는 암호를 암호화:
다음에,그것은 매우 추천하는 제한을 통한 원격 액세스 SSH 프로토콜에만 해당됩니다. 이렇게하면 텔넷과 같은 안전하지 않은 서비스를 사용하여 라우터에 액세스 할 수 없게됩니다. 텔넷은 사용자 이름/암호를 포함하여 암호화되지 않은 모든 정보를 전송하므로 보안 위험으로 간주됩니다.,
VTY 섹션 아래의 전송 입력 ssh 명령을 사용하여 SSH 만 사용하여 원격 액세스를 제한 할 것입니다. 참고는 우리가 사용할 수도 있습 액세스 목록을 제한하는 SSH 연결하여 우리 라우터:
참고:비밀번호는 데 사용되는 명령에서 선 vty0 4 섹션은 완전하지 않으며 우리에 사용되는 경우 때문에 로그인한 인증 기본 명령을 강제하는 라우터를 사용하 AAA 메커니즘에 대한 모든 사용자 인증이 있습니다.,
생성하는 우리의 라우터는 RSA 키–디지털 인증서
디지털 키를 목적을 제공하는 데 도움이 더 안전한 통신이 가능합니다. 우리의 다음 단계는 통신 채널을 암호화하는 데 도움이 SSH 에 의해 사용될 RSA 키 쌍을 생성하는 것을 포함한다.
을 생성하기 전에 우리의 통하여,그것은을 정의하기 위하여 필요한 우리 라우터를 사용하여 도메인이 ip 도메인 이름을 명령에 의해 따라 암호화 키 생성 명령:
R1(config)#crypto key generate rsa
키의 이름은 다음과 같습니다.R1.firewall.cx
범용 키에 대해 360~4096 범위의 키 모듈러스의 크기를 선택하십시오. 512 보다 큰 키 모듈러스를 선택하는 데 몇 분이 걸릴 수 있습니다. 모듈러스의 비트 수:4096 비트 RSA 키를 생성하는 4096
%,키는 내보낼 수 없습니다…
(시간이 경과되었 183 초)
를 생성할 때 우리의 중요한 쌍,라우터 알리 이름을 우리에게 사용을 위한 열쇠로 구성된 라우터의 호스트 이름(R1)+도록 구성된 도메인 이름(firewall.cx)., 마지막으로 모듈러스(키)에 사용되는 비트의 양을 선택할 수 있습니다.
4096 비트를 사용하여 키를 생성하도록 선택 했으므로 라우터가 키를 생성하는 데 3 분이 조금 걸렸습니다! 우리의 예에서 사용 된 라우터가 시스코 877 이었음을 주목하십시오.
SSH 가 활성화 된 상태에서 우리는 라우터에 ssh 를하고 전 세계 어느 위치에서나 안전하게 관리 할 수 있습니다.,
을 보려면 활성 SSH 세션을,단순히 사용하여 ssh 명령:
R1#쇼 ssh
연결 버전 모드를 암호화 Hmac 상태로 사용자 이름
0 2.0aes256-cbc hmac-sha1 세션을 시작했 admin
0 2.0OUT aes256-cbc hmac-sha1 세션을 시작했 admin
지 SSHv1 서버는 연결을 실행합니다.
R1#
이 기사에서는 SSH 를 사용하여 Cisco 라우터를 원격으로 관리하고 구성하는 것의 중요성에 대해 설명했습니다., 우리가 보았을 만드는 방법을 사용자를 위한 원격 관리,사용 AAA,암호화하는 명확한 텍스트,암호를 사용하 SSHv2 생성,RSA 키를 확인 SSH 세션에 우리의합니다.
Cisco 라우터 섹션으로 돌아 가기