SSH kapcsolódás routerre

Hogyan is kell Cisco routert ssh szerverként konfigurálni?

Példa topológia:

R1-ről fogunk R2-re SSH-zni. Cisco routereken az SSH kliens alapból engedélyezve van, az SSH szervert konfigurálni kell (K9-es IOS kell hozzá).

Az alábbi a folyamat:

  • domain név kell
  • RSA kulcsot kell generálni
  • vty-kra rá kell tennünk az ssh elérést
  • local user kell
  • vty-kon login

Nézzük szép sorjában. Először is nézzük meg, Layer3-ig jók vagyunk -e.

R1#ping 10.0.12.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.12.2, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 28/58/80 ms
R1#

Rendben. Konfiguráljuk fel R2-t.

!!! Felhasználó konfigurálása !!!
R2(config)#username hunciscoblog priv 15 password HCB
!!! Domain név konfiguárálása !!!
R2(config)#ip domain-name hunciscoblog.local
!!! Kulcs generálása, 1024 bit !!!
R2(config)#crypto key generate rsa
The name for the keys will be: R2.hunciscoblog.local
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable…[OK]

R2(config)#
*Mar 1 00:11:52.615: %SSH-5-ENABLED: SSH 1.99 has been enabled
!!! Login és SSH engedélyezése a vty-okon !!!
R2(config)#line vty 0 15
R2(config-line)#login local
R2(config-line)#transport input ssh
R2(config-line)#^Z

Teszt.

R1#ssh -l hunciscoblog 10.0.12.2

Password:

R2#

Működik.

Ha nem default porton akarjuk elérni a routert SSH-n (22), használhatunk rotary group-t:

R2(config)#line vty 0 15
R2(config-line)#rotary 1
R2(config)#ip ssh port 2001 rotary 1

Teszt.

R1#ssh -l hunciscoblog -p 2001 10.0.12.2

Password:

R2#

Ez király, de megy még mellette a 22-es port is:

R1#ssh -l hunciscoblog 10.0.12.2

Password:

R2#

Megoldás: ACL.

!!! ACL !!!
R2(config)#ip access-l e SSH
R2(config-ext-nacl)#permit tcp host 10.0.12.1 any eq 2001 log
!!! VTY-re alkalmazzuk!!!
R2(config-ext-nacl)#line vty 0 15
R2(config-line)#access-class SSH in
R2(config-line)#^Z
R2#

Teszt.

R1#ssh -l hunciscoblog -p 2001 10.0.12.2

Password:

R2#

Eközben R2-n:

R2#
*Mar 1 00:32:18.119: %SYS-5-CONFIG_I: Configured from console by console
R2#
*Mar 1 00:32:21.315: %SEC-6-IPACCESSLOGP: list SSH permitted tcp 10.0.12.1(38550) -> 0.0.0.0(2001), 1 packet
R2#

Default (22-es) porton:

R1#ssh -l hunciscoblog 10.0.12.2
% Connection refused by remote host

R1#