Hogyan is kell Cisco routert ssh szerverként konfigurálni?
Példa topológia:
R1-ről fogunk R2-re SSH-zni. Cisco routereken az SSH kliens alapból engedélyezve van, az SSH szervert konfigurálni kell (K9-es IOS kell hozzá).
Az alábbi a folyamat:
- domain név kell
- RSA kulcsot kell generálni
- vty-kra rá kell tennünk az ssh elérést
- local user kell
- vty-kon login
Nézzük szép sorjában. Először is nézzük meg, Layer3-ig jók vagyunk -e.
R1#ping 10.0.12.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.12.2, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 28/58/80 ms
R1#
Rendben. Konfiguráljuk fel R2-t.
!!! Felhasználó konfigurálása !!!
R2(config)#username hunciscoblog priv 15 password HCB
!!! Domain név konfiguárálása !!!
R2(config)#ip domain-name hunciscoblog.local
!!! Kulcs generálása, 1024 bit !!!
R2(config)#crypto key generate rsa
The name for the keys will be: R2.hunciscoblog.local
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable…[OK]R2(config)#
*Mar 1 00:11:52.615: %SSH-5-ENABLED: SSH 1.99 has been enabled
!!! Login és SSH engedélyezése a vty-okon !!!
R2(config)#line vty 0 15
R2(config-line)#login local
R2(config-line)#transport input ssh
R2(config-line)#^Z
Teszt.
R1#ssh -l hunciscoblog 10.0.12.2
Password:
R2#
Működik.
Ha nem default porton akarjuk elérni a routert SSH-n (22), használhatunk rotary group-t:
R2(config)#line vty 0 15
R2(config-line)#rotary 1
R2(config)#ip ssh port 2001 rotary 1
Teszt.
R1#ssh -l hunciscoblog -p 2001 10.0.12.2
Password:
R2#
Ez király, de megy még mellette a 22-es port is:
R1#ssh -l hunciscoblog 10.0.12.2
Password:
R2#
Megoldás: ACL.
!!! ACL !!!
R2(config)#ip access-l e SSH
R2(config-ext-nacl)#permit tcp host 10.0.12.1 any eq 2001 log
!!! VTY-re alkalmazzuk!!!
R2(config-ext-nacl)#line vty 0 15
R2(config-line)#access-class SSH in
R2(config-line)#^Z
R2#
Teszt.
R1#ssh -l hunciscoblog -p 2001 10.0.12.2
Password:
R2#
Eközben R2-n:
R2#
*Mar 1 00:32:18.119: %SYS-5-CONFIG_I: Configured from console by console
R2#
*Mar 1 00:32:21.315: %SEC-6-IPACCESSLOGP: list SSH permitted tcp 10.0.12.1(38550) -> 0.0.0.0(2001), 1 packet
R2#
Default (22-es) porton:
R1#ssh -l hunciscoblog 10.0.12.2
% Connection refused by remote hostR1#