Главная > Безопасность компьютерных сетей

Настройка SSH на коммутаторе Cisco c2960

Создана 29.07.2023
Отредактирована 30.10.2024

Telnet упрощает удаленный доступ к устройствам, но не является безопасным. Данные в пакете Telnet передаются в незашифрованном виде. По этой причине в целях обеспечения безопасного удаленного доступа настоятельно рекомендуется использовать на устройствах протокол SSH.

SSH (Secure Shell — «безопасная оболочка») — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем.

Настройка поддержки протокола SSH для устройства Cisco выполняется в несколько шагов. Далее будет рассмотрена настройка SSH на коммутаторе Cisco c2960.

Как настроить SSH на коммутаторе Cisco в симуляторе Sisco Packet Tracer

Скачать файл для программы Cisco Packet Tracer - kak-nastroit-ssh-v-simulyatore-cisco-packet-tracer.pkt

Шаг 1. Настройте уникальное имя хоста устройства

Устройство должно иметь уникальное имя хоста, отличное от имени по умолчанию.

Switch#configure terminal
Switch(config)#hostname sw3
sw3(config)#exit

Шаг 2. Создайте VLAN

sw3(config)#vlan 300
sw3(config-vlan)#name switches-mgmt
sw3(config-vlan)#exit

Шаг 3. Создайте interface vlan

sw3(config)#interface vlan 300
sw3(config-if)#description switches-mgmt
sw3(config-if)#ip address 192.168.30.6 255.255.255.0
sw3(config-if)#exit

Выделяем подсеть 192.168.30.0/24 для сетевого оборудования, коммутаторы, маршрутизаторы. Коммутатору sw3 присвоили IP-адрес 192.168.30.6 с маской /24 (255.255.255.0)

Шаг 4. Настройте шлюз по умолчанию

sw3(config)#ip default-gateway 192.168.30.1

Если вы настраиваете сеть на коммутаторе Cisco Catalyst 4948E, то нужно указать статический маршрут
sw3(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1

Шаг 5. Определите доменное имя по умолчанию

Настройте имя IP-домена сети с помощью команды режима глобальной конфигурации ip domain-name

sw3(config)#ip domain-name ru

Шаг 6. Укажите адрес используемого сервера имен (IP-адрес сервера домена)

sw3(config)#ip name-server 192.168.200.10

Шаг 7. Сгенерируйте ключ для шифрования SSH-трафика

SSH шифрует трафик между источником и получателем. Однако для этого уникальный ключ проверки подлинности должен быть создан с помощью команды глобальной конфигурации crypto key generate rsa general-keys modulus bits. Следует лишь отметить, что модуль определяет размер ключа, который может быть в диапазоне от 360 бит до 4096 бит. Чем больше значение бит, тем безопаснее ключ. Однако большие значения битов также требовать больше времени для шифрования и расшифровки информации.
Минимальная рекомендуемая длина модуля — 2048 бит. (в примере ниже будет сгенерирован ключ с 4096 битностью, так как ключи с меньшей битностью уже скомпрометированы, и могут быть открыты).

sw3(config)#crypto key generate rsa general-keys modulus 4096
The name for the keys will be: sw3.nocip.ru % The key modulus size is 4096 bits % Generating 4096 bit RSA keys, keys will be non-exportable...[OK]
Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled

Шаг 8. Настройте параметры SSH

Укажите количество попыток аутентификации (в примере указаны 3 попытки)

sw3(config)#ip ssh authentication-retries 3

Укажите интервал тайм-аута SSH

sw3(config)#ip ssh time-out 120

Укажите явно версию протокола, которая будет поддерживаться

sw3(config)#ip ssh version 2

потом можно проверить информацию об SSH
sw3(config)#exit
sw3#show ip ssh

Шаг 9. Установите аутентификацию имени пользователя и укажите пароль для пользователя

Создайте учетную запись пользователя в локальной базе данных с помощью команды username в режиме глобальной конфигурации. В примере параметр secret используется так, чтобы пароль был зашифрован с помощью MD5.

sw3(config)#username maxim secret Cisco123

username maxim это имя пользователя, а Cisco123 это пароль, задайте свой пароль и имя пользователя

Шаг 10. Создайте пароль для входа в привилегированный режим

sw3(config)#enable secret Сisco456

Шаг 11. Создайте стандартный нумерованный acl

sw3(config)#ip access-list standard 45
sw3(config-std-nacl)#permit 10.10.10.0 0.0.0.255
sw3(config-std-nacl)#exit

Обратите внимание на созданный acl с подсетью 10.10.10.0/24 Эта подсеть принадлежит сетевым администраторам, их ПК имеют IP адреса из этой подсети. В шаге 12 нужно привязать этот acl к виртуальным терминалам командой access-class 45 in
В вашем случае подсеть и номер acl может быть иной, это лишь пример.

Шаг 12. Настройте виртуальный терминал

sw3(config)#line vty 0 15
sw3(config-line)#access-class 45 in
sw3(config-line)#login local
sw3(config-line)#transport input ssh
sw3(config-line)#exec-timeout 60 0
sw3(config-line)#exit
sw3(config)#exit

line vty 0 15 - настраиваем сразу на 16 виртуальных терминалах (vty) от 0 до 15

exec-timeout 60 0 - для линий виртуального терминала (vty) значение времени ожидания было установлено на 60 минут 0 секунд

Шаг 13. Сохраните настройки

sw3#copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]