Thứ Ba, 25 tháng 6, 2013

Hướng dẫn Cấu hình SSH server trên Switch Cisco full


Bài này sẽ mô tả cách cấu hình tính năng SSH trên switch. Để dùng tính năng này trên switch, bạn sẽ phải cài đặt đúng IOS image trên switch (ví du về một IOS có thể cài đặt trên switch để hỗ trợ giao thức SSH như: c2950-i6k2l2q4-mz.121-22.EA10a ). Bạn có thể download những IOS này trên trang Cisco.com.

1. Tìm hiều SSH:- SSH là một giao thức hoạt động ở layer Applications trong mô hình OSI, cung cấp tính năng bảo mật cho một kết nối từ xa đến một thiết bị. SSH cung cấp nhiều tính năng bảo mật hơn cho những kết nối từ xa so với giao thức Telnet bằng cách cung cấp cơ chế mã hóa mạnh khi một thiết bị đã được xác thực. Thông thường các IOS bây giờ thường hỗ trợ các phiên bản của SSH: SSH version 1 (SSHv1) và SSH version 2 (SSH2).
- Trong bài viết này sẽ bao gồm một số các chủ đề sau:
+ SSH servers, Integrated Clients, và Supported versions.
+ Limitations.

2. SSH servers, Integrated clients, và Support Versions:

- SSH có các tính năng cho một SSH server và một SSH client, đó là những tính năng có thể chạy trên switch của cisco. Bạn có thể sử dụng một phần mềm để làm SSH client và kết nối đến một switch đang cài đặt là SSH server. SSH server có thể làm việc với SSH client là thiết bị cisco hoặc không phải là thiết bị cisco. SSH client cũng làm việc với SSH server là thiết bị cisco hoặc không phải là thiết bị cisco.
- Switch hỗ trợ SSHv1 hoặc SSHv2 server.
- Switch chỉ hỗ trợ SSHv1 client.
- Giao thức SSH hỗ trợ các thuật toán mã hóa sau: Data Encryption Standard (DES), Triple DES (3DES) và password-based cho việc xác thực các user.
- SSH cũng hỗ trợ những phương thức xác thực sau cho các user: TACACS+, RADIUS, Local AAA.

3. Limitations:
- SSH cũng sẽ có những hạn chế sau:
+ Switch hỗ trợ RSA authentication
+ SSH hỗ trợ duy nhất ứng dụng execution-shell 
+ SSH server và SSH client hỗ trợ duy nhất các thuật toán: DES (56-bit) và 3DES(168-bit) cho việc mã hóa dữ liệu
+ Switch không hỗ trợ thuật toán mã hóa đối xứng Advanced Encryption Standard (AES) 

4. Cấu hình SSH.
- Trong bài viết này chúng ta sẽ cấu hình những thông số sau:
+ cấu hình theo hướng dẫn,
+ Cấu hình Switch để chạy SSH
+ Cấu hình SSH server

a. Cấu hình theo hướng dẫn:
- Khi các bạn cấu hình SSH server hoặc SSH client thì những thông số sau cần được đề cập đến:
+ Một khóa RSA sẽ phải được tạo bởi một SSHv1 server có thể được sử dụng bởi SSHv2 server
+ Nếu bạn thấy có thông báo lỗi từ CLI sau khi bạn nhập vào dòng lệnh crypto key generate rsa ở mode configuration, một RSA key đã không được tạo ra, Bạn sẽ phải cấu hình lại hostname và domain, rồi sau đó nhập lại dòng lệnh crypto key generate rsa ở mode configuration.
+ Khi tạo một RSA key, bạn thấy xuất hiện một thông báo lỗi: "No host name specified". Có nghĩa là bạn chưa cấu hình hostname, bây giờ bạn sẽ phải tạo hostname.
+ Khi tạo một RSA key, bạn có thấy xuất hiện một thông báo lỗi: "No domain specified". Có nghĩa là bạn chưa cấu hình domain name, bây giờ bạn sẽ phải tạo lại domain name bằng câu lệnh: ip domain-name ở configuration mode.
+ Khi bạn cấu hình xác thực và cấp quyền local thì bạn phải chắc chắn rằng AAA đang bị disable trên console.

b. Cấu hình Switch chạy SSH:
Sau đây là các bước tiến hành cần thiết để cấu hình switch chạy SSH:
- Download cryptographic Cisco IOS từ trang http://cisco.com. Bước này rất cần thiết.
- Cấu hình hostname và IP domain name cho switch. Bước này cần thiết khi bạn muốn cấu hình Switch chạy với SSH server
- Tạo một RSA key cho switch, khi đó sẽ tự động enable SSH. Bước này cũng chỉ cần thiết nếu switch là SSH server.
- Cấu hình xác thực user thông qua local hay remote access. Bước này cần thiết đối với cả SSH server và SSH client.
Sau đây là những câu lệnh cần thiết để thực hiện 4 bước trên:
- configuration terminal: vào mode configuration 
- hostname vne: cấu hình hostname cho Switch.
- ip domain-name vnexperts.net: cấu hình domain name cho switch.
- crypto key generate rsa: Enable SSH server cho phép xác thực thông qua local và remote trên switch, đồng thời tạo một RSA key.
- end: trở về mode privilege exec 
- show ip ssh hoặc show ssh: hiển thị version và các thông tin cấu hình cho SSH server.
- copy run start: Lưu file cấu hình.
- crypto key zeroize rsa: câu lệnh này thực hiện ở mode configuration và dùng để xóa RSA key đã tạo.

C. Cấu hình SSH server:
Sau đây là những câu lệnh cần thiết cấu hình trên switch để cho phép switch là SSH server:
- configure termial: vào mode configuration.
- ip ssh version 2 : cấu hình Swtich chạy SSH v2.
- ip ssh timeout 10 authentication-retries 4: Cấu hình thời gian timeout cho client nếu không thao tác trên màn hình remote và số lần mà client có thể xác thực lại nếu không thành công (mặc định là 3 lần, và cho phép xác thực lại tối đa là 5)
- line vty 0 4: vào mode line vty
- transport input ssh: chỉ ra phương thức để cho phép remote access là SSH.

d. Hiển thị thông số cấu hình SSH và trạng thái hoạt động:
- show ip ssh
- show ssh

Example:
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname VNE
!
enable secret 5 $1$e971$ZqPlcBhT8xNKS/4WctsnY.
enable password vne
!
username vne privilege 15 password 0 vne
ip subnet-zero
!
ip domain-name vnexperts.net
ip ssh time-out 10
ip ssh authentication-retries 4
ip ssh version 2
!
!
interface Vlan1
ip address 192.168.1.15 255.255.255.0
no ip route-cache
no shutdown
!
ip http server
ip http secure-server
!
line con 0
pass vne
login
line vty 0 4
privilege level 15
login local
transport input ssh
line vty 5 15
login

!
end


 

0 nhận xét:

Đăng nhận xét