Paano sa I-configure ang SSH (Secure Shell) Para sa Remote login sa isang Cisco router
Sa pamamagitan ng Don R. Crawley
Bago ang pagpapakilala ng SSH sa Cisco IOS, lamang ang remote na login ng protocol ay Telnet. Kahit medyo functional, Telnet ay isang hindi-secure na protocol na kung saan ang buong session, kabilang ang pagpapatunay, ay sa malinaw teksto at kaya paksa sa snooping.
SSH ay parehong protocol at ng aplikasyon na pumapalit ng Telnet at nagbibigay ng isang naka-encrypt na koneksyon para sa remote na pangangasiwa ng isang Cisco network aparato tulad ng isang router, switch, o seguridad appliance.
Ang Cisco IOS kabilang ang parehong isang SSH server at isang SSH client. Ang dokumentong ito ay nababahala lamang sa pamamagitan ng pagsasaayos ng bahagi ng server ng SSH.
Kinakailangan
Software
Ang bahagi ng SSH server ay nangangailangan na mayroon kang isang encryption IPSec (Des o 3DES) imahe ng software mula sa Cisco IOS Release 12.1 (1) T o mamaya install sa iyong router. Advanced na IP serbisyo imahe isama ang IPSec bahagi. Ang dokumentong ito ay isinulat gamit ang c2800nm-advipservicesk9-mz.123-14.T5.bin.
Pre-configuration
Kailangan mong i-configure ang isang hostname at isang pangalan ng domain sa iyong router. Halimbawa:
router#
router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
router01(config)#hostname router01
router01(config)#ip domain-name domain.local
Kailangan mo ring bumuo ng isang RSA keypair para sa iyong router na awtomatikong nagbibigay-daan sa SSH. Sa sumusunod na halimbawa, tandaan kung paano ang keypair ay pinangalanan para sa kumbinasyon ng mga hostname at pangalan ng domain na ay dati isinaayos. Ang modulus ang kumakatawan sa key haba. Cisco Inirerekomenda ng isang minimum key haba ng 1024 bits (kahit na ang haba ng key ng default ay 512 bits):
router01(config)#
router01(config)#crypto key generate rsa
Ang pangalan para sa mga susi ay magiging: router01.domain.local
Piliin ang laki ng key modulus sa hanay ng mga 360 sa 2048 para sa iyong Pangkalahatang Layunin Keys. Pagpili ng isang key modulus mas malaki kaysa sa 512 ay maaaring tumagal ng ilang minuto.
How many bits in the modulus [512]: 1024
% Pagbuo 1024 bit RSA key ... [OK]
Panghuli, dapat mong alinman sa gumamit ng isang AAA server tulad ng isang radius o TACACS + server o makalikha ng isang lokal na database gumagamit upang patotohanan ang remote gumagamit at paganahin ang pagpapatunay sa terminal ang linya. Para sa layunin ng dokumentong ito, kami ay lumikha ng isang lokal na database ng user sa router. Sa sumusunod na halimbawa, ang gumagamit ng "donc" ay nilikha na may isang antas ng pribilehiyo ng 15 (maximum na pinapayagan) at ibinigay ang isang naka-encrypt password ng "p @ ss5678". (Ang command na "lihim" na sinundan ng "0" nagsasabi ang router sa encryption ang sumusunod na mga password plaintext. Sa pagtakbo configuration ng router ng, password ang hindi gusto maging tao nababasa.) Kami din ginamit linya configuration mode upang sabihin ang router upang gamitin ang mga lokal na database ng gumagamit para sa pagpapatunay (login lokal) sa terminal linya 0-4.
router01(config)#username donc privilege 15 secret p@ss5678
router01(config)#line vty 0 4
router01(config-line)#login local
Ang pagpapaandar ng SSH
Upang paganahin ang SSH, kailangan mong sabihin sa router kung saan keypair gamitin. Optionally, maaari mong i-configure ang SSH bersyon (ito ng mga default sa SSH bersyon 1), mga timeout halaga ng pagpapatunay, at ilang iba pang mga parameter. Sa mga sumusunod na halimbawa, sinabi namin ng router upang gamitin ang nakaraang nalikha na keypair at gamitin ang SSH bersyon 2:
router01(config)#
router01(config)#ip ssh version 2
router01(config)#ip ssh rsa keypair-name router01.domain.local
Maaari mo na ngayong mag-log on sa iyong router secure na gumagamit ng isang SSH client tulad ng TeraTerm.
Pagtingin SSH configuration at Connections
Maaari mong gamitin ang privileged mode command "view SSH" at "view ip SSH" upang tingnan ang SSH configuration at mga koneksyon (kung mayroon). Sa sumusunod na halimbawa, ang SSHv1 configuration mula sa isang router ng Cisco 871 ay napatunayan gamit ang "ipakita ang ip SSH" at isang solong SSHv1 koneksyon ay ipinapakita gamit ang command na "ipakita ang SSH". Pansinin na hindi namin ay paganahin SSHv2 sa router ito, kaya defaulted sa SSH bersyon 1.99. Tandaan din sa output ng command na "ipakita ang SSH" na SSH bersyon 1 default sa 3DES. SSHv2 suporta AES, isang mas matatag at mahusay encryption teknolohiya. SSHv2 ay din hindi paksa sa parehong mga nagsasamantala seguridad bilang SSHv1. Pinapayo nang pinakamahusay na kasanayan sa paggamit ng SSHv2 at hindi pagpapagana ng isang dropback sa SSHv1. Ang pagpapaandar SSHv2 disables SSHv1. Halimbawa na ito ay kasama lamang upang ipakita ang paurong pagkakatugma:
router04#
router04#show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3
router04#
router04#show ssh
Connection Version Encryption State Username
2 1.5 3DES Session started donc
%No SSHv2 server connections running.
router04#
Maaari mo ring gamitin ang command na "debug ip SSH" upang maareglo ang SSH configuration.
Copyright (c) 2008 Don R. Crawley
Don R. Crawley, Linux + at CCNA-certified, ay president at chief teknologo sa soundtraining.net , Seattle pagsasanay kompanya specialize sa pinabilis, gawain-oriented na pagsasanay para sa mga IT propesyonal. Siya ay gumagana sa mga IT pros upang mapahusay ang kanilang trabaho, buhay, at karera. Para sa karagdagang impormasyon tungkol sa pag-aaral ng mga pagkakataon sa soundtraining.net, bisitahin dito .
Artikulo Source: http://EzineArticles.com/?expert=Don_R._Crawley
Kaugnay na mga post:
Pinakabagong Komento