Настройка SSH в Cisco.
Цель данной статьи — включить SSH на оборудовании Cisco и сделать его дефолтным для терминальных подключений.
SSH очень удобен тем, что позволяет безопасно передавать в незащищенной среде практически любой другой сетевой протокол. То есть, SSH позволяет работать на удалённой машине, передавать любые данные по шифрованному каналу.
Итак, входим в привилегированный режим:
router> enable
Для генерации ключа необходимо выставить точное время:
router# clock set 18:00:00 14 Jan 2010
Теперь идём в режим конфигурирования:
router# configure terminal
Для генерации ключа необходимо указать имя домена
router(config)# ip domain name mydomain.ru
Далее генерируем ключ RSA
router(config)# crypto key generate rsa
Пароли должны храниться в конфиге зашифрованными — активируем эту возможность:
router(config)# service password-encryption
Теперь нам нужно завести пользователя. Для примера заведём пользователя с именем simple, уровнем привелегий 15 и паролем my_passwd
router(config)# username simple privilege 15 password 7 my_passwd
Запускаем протокол aaa и лезем в конфиг терминальных линий например с нулевой 0 по четвёртую 4.
router(config)# aaa new-model
router(config)# line vty 0 4
Теперь ставим ssh для сессий по-умолчанию.
router(config-line)# transport input ssh
router(config-line)# logging synchronous
Здесь мы пропишем таймаут на SSH-сессии в 30 минут
router(config-line)# exec-timeout 30 0
Выходим из конфигурирования терминалов
router(config-line)# exit
Выходим из режима конфига
router(config)# exit
Сохраняемcя
router# write
Ну и собственно всё. Можно подключаться к нашему маршрутизатору через SSH.
Добрый день!
вопрос про доменное имя для генерации ключа, откуда её взять?
Здравствуйте. Если у вас домена нет — введите произвольный — test.com например.
на седьмом шаге выдаёт эту ошибку,
Invalid encrypted password: cisco
из-за чего может не принять пароль?
проставил 0 (по незашифр паролю), чем это может грозить?!
вопрос ещё адын, возможно ли включить ssh и к этому же оборудованию ещё по telnet-у можно было конектиться. Сейчас вроде включил ssh но по телнету уже не погу конектиться Подключение к *.*.*.*…Не удалось открыть подключение к этому узлу, на порт 23: Сбой подключения.
0 — означает что вы не шифруете пароль, т.е. он в конфиге хранится в явном видел. Для средних и крупных сетей это недопустимо в целях безопасности. Для малой или домашней сети — не критично.
по поводу телнета — как прописаны line vty?
vty 0 4
тогда мне необходимо шифровать пароль, но с индексом 7 он у меня не принимает пароль, пишет вышеописанную проблему.
router(config-line)# transport input ssh telnet — Съело и пускает по обеим протоколам, vty на всякий поставил ещё на 0 15. Правда не совсем ещё догнал эту опцию.
VTY — это виртуальные терминальные линии. С помощью них и настраивается доступ к маршрутизатору по телнету или ссш.
видео бы не помешало сделать по настройке сетевого оборудования cisco
Настройка вся понятна , кроме exec-timeout 30 0 зачем задавать тайм аут ссш сесии ??? что бы потом переключилось на telnet??
Алекс — чтобы по неактивности выкидывало. Иначе может сложиться ситуция, когда на маршрутизаторе будет висеть несколько сессий, которые пользователи не закрыли сами, оставив консоль запущенной. А это не нужно.