den här artikeln visar hur du konfigurerar och konfigurerar SSH för fjärrhantering av Cisco IOS-Routrar. Vi visar dig hur du kontrollerar om SSH stöds av din IOS-version, hur du aktiverar den, genererar en RSA-nyckel för din router och slutligen konfigurerar SSH som det föredragna hanteringsprotokollet under VTY-gränssnitten.,
Secure Shell (SSH) ger ett säkert och pålitligt sätt att ansluta till fjärranslutna enheter. Det är ett krypterat nätverksprotokoll som tillåter användare att säkert komma åt utrustning via kommandoradsgränssnittssessioner. SSH använder sig av TCP-port 22 som är tilldelad till säkra inloggningar, filöverföring och Port forwarding.,
SSH använder offentlig nyckel för att autentisera fjärrenheten och kryptera alla data mellan den enheten och arbetsstationen vilket gör det till det bästa valet för offentliga nätverk, till skillnad från (telnet) som överför data i vanlig text som utsätter den för säkerhetshot, detta gör (telnet) rekommenderas för privata nätverk endast för att hålla data kompromisslös.
verifiera SSH-stöd på din Router
det första steget innebär att undersöka om din Cisco-routers IOS har stöd för SSH eller inte., De flesta moderna Cisco routrar stöder SSH, så det borde inte vara ett problem.
produkter med (K9) i bildnamnet t.ex.C2900-universalk9-MZ.SPA.154-3.Kvadratmeter.bin, stödja stark kryptering med 3DES / AES medan (K8) IOS buntar stöder svag kryptering med föråldrade DES.
för att kontrollera, skriv bara in behörighetsläge och använd kommandot Visa ip SSH:
R1# visa ip ssh
SSH Disabled – version 1.99
%skapa RSA-nycklar för att aktivera SSH (och av minst 768 bitar för SSH v2).,
– Autentisering timeout: 120 sek; Autentisering försök: 3
Minsta förväntade Diffie Hellman-nyckel storlek : 1024 bitar
IOS Nycklar i SENARE format(ssh rsa, base64-kodad): INGEN
I ovanstående produktionen, systemet visar SSH-stöd, men det är för närvarande inaktiverad som inte RSA-nyckel har skapats. Det är också värt att notera att en nyckel på minst 768 bitar måste genereras för att möjliggöra sshv2.,
säkra åtkomst till routern
det är alltid en bra idé att först begränsa åtkomsten till Cisco-routern innan SSH aktiveras. Detta är mycket viktigt, särskilt när enheten har ett gränssnitt mot offentliga nätverk, t. ex. Internet, offentlig Hotspot.
vi skapar först användaruppgifter för enheten och aktiverar sedan Athentication, Authorization& Accounting Services (AAA)., Slutligen, se till att ett hemligt lösenord är inställt för att skydda åtkomst till privilege-läge, tillsammans med kommandot service password-encryption för att säkerställa att alla clear-text lösenord krypteras:
därefter rekommenderas det starkt att begränsa fjärråtkomst via SSH-protokollet. Detta kommer att säkerställa att osäkra tjänster som Telnet inte kan användas för att komma åt routern. Telnet skickar all information okrypterad, inklusive användarnamn / lösenord, och anses därför vara en säkerhetsrisk.,
vi använder kommandot transport input SSH under VTY-sektionen för att begränsa fjärråtkomst med endast SSH. Observera att vi också kan använda åtkomstlistor för att begränsa SSH-anslutningar till vår router:
Obs! lösenordskommandot som används under VTY 0 4-sektionen är helt valfritt och används inte i vårt fall på grund av standardkommandot för inloggningsautentisering som tvingar routern att använda AAA-mekanismen för all användarautentisering.,
generera vår routers RSA – nyckel-digitalt certifikat
digitala nycklar tjänar syftet att ytterligare säkra kommunikation mellan enheter. Vårt nästa steg innebär att skapa ett RSA-nyckelpar som kommer att användas av SSH för att kryptera kommunikationskanalen.
innan vi genererar vår RSA-nyckel är det nödvändigt att definiera vår routers domän med kommandot ip domain-name, följt av kommandot crypto key generate:
R1(config)# crypto key generera RSA
namnet på nycklarna kommer att vara: R1.firewall.cx
Välj storleken på nyckelmodulen i intervallet 360 till 4096 för dina allmänna Ändamålstangenter. Att välja en nyckelmodul som är större än 512 kan ta några minuter. Hur många bitar i modulen: 4096
% generera 4096 bit RSA nycklar, nycklar kommer att vara icke-exporterbara…
(förfluten tid var 183 sekunder)
när du skapar våra nyckelpar meddelar routern oss med namnet som används för tangenterna, som består av routerns värdnamn (R1) + konfigurerat domännamn (firewall.cx)., Slutligen kan vi välja mängden bitar som används för modulen (nyckel).
eftersom vi valde att skapa en nyckel med 4096 bitar tog routern lite över 3 minuter för att generera nyckeln! Observera att routern som används i vårt exempel var en Cisco 877.
med SSH aktiverat kan vi SSH i vår router och hantera den säkert från vilken plats som helst runt om i världen.,
för att visa en aktiv SSH-session, använd bara kommandot Visa SSH:
R1# visa ssh
Anslutningsversion kryptering HMAC State användarnamn
0 2.0 i AES256-CBC HMAC-sha1-sessionen startade admin
0 2.0 ut aes256-CBC HMAC-sha1-sessionen startade admin
%ingen sshv1-Session server anslutningar körs.
R1#
I den här artikeln förklaras vikten av att aktivera och använda SSH för att fjärrstyra och konfigurera din Cisco-router., Vi såg hur man skapar användare för fjärrhantering, aktivera AAA, kryptera clear-text lösenord, Aktivera sshv2, generera RSA-nycklar och verifiera SSH-sessioner till vår router.
tillbaka till avsnittet Cisco routrar