Традиционно
удаленный административный доступ на маршрутизаторах настраивался с помощью
Telnet на 23 TCP-порту. Сетевой протокол Telnet разработан в те дни, когда не
было проблем с безопасностью - трафик Telnet передается в виде обычного текста.
SSH работает по 22 TCP-порту и заменил Telnet для удаленного администрирования, шифруя весь трафик, включая и передаваемые пароли.
Настройка
SSH на маршрутизаторе Cisco:
- Переходим из привилегированного режима в режим конфигурирования:
Router# configure terminal
- Задаем имя устройству:
Router(config)#
hostname R01
- Присваиваем имя домена:
R01(config)#ip domain-name corp.arthurmorozov.pro
- Генерируем RSA ключи. При этом будет предложено выбрать размер ключа (по умолчанию 512 Бит, для безопасности используем значение 1024 Бита):
R01(config)#
crypto key generate rsa
- Проверка наличия ключей SSH:
R01(config)# do show crypto key mypubkey rsa
Примечание: "do"
позволяет исполнять команды привилегированного режима в режиме
конфигурирования.
- Создаем пользователя "cadmin" с паролем "FG32-HJ54-KL67" и максимальными привилегиями 15:
R01(config)# username
cadmin privilege 15 secret FG32-HJ54-KL67
- Включаем SSH версии 2:
R01(config)# ip ssh version 2
- Отключаем Telnet и включаем SSH на виртуальном интерфейсе VTY (VirtualTeletYpe):
R01(config)# line vty 0 3
R01(config-line)#
no transport input all
R01(config-line)#
transport input ssh
R01(config-line)#
login local
Примечание: 0 3 — это четыре
пользовательских виртуальных терминалов. Задействовать можно от 0 до 15 линий.
- Проверяем версию SSH:
R01#
show ip ssh
- Проверяем активные подключения:
R01# show ssh
- Подключиться к другому устройству из консоли маршрутизатора:
R01# ssh –l сadmin 192.168.0.1