Конфигурация SSH клиента и сервера
Обзор
SSH — это сетевой протокол, который позволяет обмениваться данными через защищённый канал между двумя сетевыми устройствами. SSH был разработан как замена Telnet и другим небезопасным удалённым оболочкам, которые передают информацию, включая пароли, в открытом виде, что делает их уязвимыми для анализа пакетов. Шифрование, используемое в SSH, предназначено для обеспечения конфиденциальности и целостности данных в небезопасной сети, такой как Интернет. SSH использует криптографию с открытым ключом для аутентификации удалённого компьютера и позволяет удалённому компьютеру аутентифицировать пользователя.
SSH обычно используется для входа на удалённую машину и выполнения команд, но также поддерживает туннелирование, переадресацию TCP портов и X11 соединений; он может передавать файлы с использованием связанных протоколов SFTP или SCP. SSH использует модель клиент-сервер.
TCP порт 22 назначен для подключения к SSH серверам. Этот документ охватывает конфигурацию SSH сервера для включения службы SSH, генерации ключей и конфигурации SSH клиента для удалённого входа на сервер.
Управление в пределах сети через Default VRF
PRSP поддерживает SSH через Default VRF и Management VRF через интерфейсы управления в пределах сети (in-band) и вне сети (out-of-band) соответственно.
SSH может работать одновременно на Default VRF и Management VRF. По умолчанию он работает на Management VRF.
Топология
Рисунок 4-8: Пример топологии SSH
Базовая конфигурация
#configure terminal | Перейти в режим конфигурации |
(config)#no feature ssh vrf management | Отключить функцию SSH |
(config)#ssh login-attempts 2 vrf management | Установить количество попыток входа равным 2 |
(config)#feature ssh vrf management | Включить функцию SSH |
(config)#exit | Выйти из режима конфигурации |
Функция SSH должна быть отключена при настройке количества попыток входа и включена перед созданием SSH сессии.
Конфигурация SSH клиента и сервера
Проверка
#show ssh server ssh
server enabled port: 22
authentication-retries 2
#show running-config
ssh server feature
ssh vrf management
ssh login-attempts 2 vrf management
Сессия SSH клиента
Когда устройство выступает в роли SSH клиента, оно поддерживает сессии SSH IPv4 для входа на удалённую машину.
#ssh root@10.10.10.1 vrf management | Войти на удалённую машину, используя IPv4 адрес |
SSH ключи
Используйте команду ssh key для генерации новых RSA/DSA ключей для SSH сервера. Эта команда может быть выполнена только при отключённом SSH сервере. По умолчанию система имеет пару открытого/закрытого ключей RSA/DSA, размещённых в /etc/ssh/. Если вы хотите сгенерировать RSA ключи заново, необходимо указать опцию force.
Конфигурация
#configure terminal | Перейти в режим конфигурации. |
(config)#no feature ssh vrf management | Отключить функцию SSH |
(config)#ssh key rsa force vrf management | Указать опцию force для повторной генерации RSA ключей SSH |
(config)#feature ssh vrf management | Включить функцию SSH |
(config)#exit | Выйти из режима конфигурации |
Проверка
#sh ssh key
******************************RSA KEY*******************************************
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDMuVc0jpNgMyNzaqzIELX6LlsaK/
1q7pBixmwHAGDsZm/
dClTLb18AIB27W68YD8k0+Yw0LR0rHuPtNeSFMEsMaQxsaLkSi7yg86xSJaqgLQTyOUTS/ OC9hreXkJ73ay
n0yXa8+bre0oyJq1NWxAI9B1jEhfSSAipoDSp/
dmc93VJyV+3hgy1FMTAheyebQaUVeLBEMH7siRlSfyo7OHsBYSF6GzAmSuCm6PAelpHm/ 3L4gChcnPL+0outQOifCSLdUOXEZhTFXrzC61l+14LGt8pR6YN+2uEnU6kq1i aDLEffIWK4dWCp67JUIef1BTOvxRurpssuRdslhJQXDFaj
bitcount: 2048 fingerprint: a4:23:5d:8a:5a:54:8b:3e:0b:38:06:79:82:e9:83:48
DSA KEY
ssh-dsa AAAAB3NzaC1kc3MAAACBALpY6MFhFPYI+VcAHzHppnwVnNXv9oR/
EGHUM50BBqdQE1Qi1mlt1rft4oa4tYR46P4gazKnnNfVE/
97FwEbCZaXaz9Wzfcfa3ALtsvGdyNQQk2BebYiRnmeWnS3wGV0M/D64bAiV0
2p/
LyF6D0ygMnZ3up3ttTN5QfHeyYQtwyzAAAAFQD+k6wQyr51IhXIQSsQD8by8qxjUwAAAIB0LxP3ljn
SSH Client Server Configuration
fzxEXyEkNNzlxCcJ7ZZkFYUmtDJxRZlDceuSf4QipMrQVrdrgdqZNhrUiDWM/ HaCMO9LdEQxfPh5TaIwPyccngn
VUS83Tx577ofBW6hellTey3B3/3I+FfiGKUXS/
mZSyf5FW3swwyZwMkF0mV0SRCYTprnFt5qx8awAAAIEAjDNqMkyxUvB6JBqfo7zbGqXjBQmJ+dE8fG jI2znlgq4lhYcMZJVNwTiydDIgMVNFfKc1dAT3zr6qMZfGv56EbK
1qUu103K5CF44XfVkYNcHJV+/
fcfAJasGU8W6oSbU5Q08abyMsIGRYTurOMkRhvif6sxvieEpVnVK2/nPVVXA=
bitcount: 1024 fingerprint: d9:7a:80:e0:76:48:20:72:a6:5b:1c:67:da:91:9f:52
******************************
Примечание: Новый созданный RSA/DSA ключ можно проверить, войдя на устройство с удалённой машины и проверив, совпадает ли отпечаток нового ключа с отпечатком в сессии входа.
Шифрование SSH
Укажите шифр SSH для шифрования SSH сессии. По умолчанию все шифры поддерживаются для нового SSH клиента, подключающегося к SSH серверу.
SSH поддерживает следующие алгоритмы шифрования:
- Advanced Encryption Standard Counter:
- aes128-ctr
- aes192-ctr
- aes256-ctr
- aes128-cbc
- Advanced Encryption Standard Cipher Block Chaining:
- aes192-cbc
- aes256-cbc
- Triple Data Encryption Standard Cipher Block Chaining:
- 3des-cbc
Конфигурация
#configure terminal | Перейти в режим конфигурации |
(config)#ssh server algorithm encryption aes128-ctr vrf management | Установить алгоритм шифрования SSH сервера на AES 128 bit counter |
(config)#ssh server algorithm encryption aes128-cbc vrf management | Установить алгоритм шифрования SSH сервера на AES 128 cipher block chaining |
(config)#exit | Выйти из режима конфигурации |
Проверка
Новый алгоритм шифрования вступает в силу для нового входящего подключения SSH клиента.
#show running-config ssh server
feature ssh vrf management
ssh server algorithm encryption aes128-ctr aes128-cbc vrf management
SSH Client Server Configuration
Сессия SSH клиента
#ssh cipher aes128-ctrroot@1.1.1.1vrf management | Указать шифрование AES 128-bit counter для установления SSH соединения с удалённой машиной, используя IPv4 адрес |