Comment configurer SSH sur un switch/routeur Cisco

Comment configurer SSH sur un switch/routeur Cisco

Secure Shell (SSH) est recommandé comme protocole à utiliser pour la gestion des périphériques distants. La configuration de SSH (port 22) est une meilleure pratique de sécurité car Telnet (port 23) utilise une transmission en texte clair non sécurisée du login et des données à travers la connexion. L’exemple A affiche une configuration SSH.

Exemple A – Configuration de l’accès distant SSH sur un commutateur

S1# show ip ssh
SSH Disabled-version 1.99
%Please create RSA keys to enable SSH (of at least 768 bits size) to enable SSH v2.
Authentication timeout: 120 secs; Authentication retries:3
S1# conf t
S1(config)# ip domain-name cisco.com
S1(config)# crypto key generate rsa
The name for the keys will be: S1.cisco.com
Choose the size of the key modulus in the range of 360 to 4096 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]:1024
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 4 seconds)

*Mar 1 02:20:18.529: %SSH-5-ENABLED: SSH 1.99 has been enabled
S1(config)# line vty 0 15
S1(config-line)# login local
S1(config-line)# transport input ssh
S1(config-line)# user admin password ccna
!The following commands are optional SSH configurations.
S1(config)# ip ssh version2
S1(config)# ip ssh authentication-retries 5
S1(config)# ip ssh time-out 60
S1(config)# end
S1# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 60 secs; Authentication retries: 5
S1#

 

Description détaillée des étapes de la Configuration SSH

Étape 1. Vérifiez que le commutateur supporte SSH en utilisant la commande show ip ssh. Si la commande n’est pas reconnue, vous savez que SSH n’est pas supporté.

Étape 2. Configurez un nom de domaine DNS avec la commande de configuration globale ip domain-name.

Étape 3. Configurez le commutateur à l’aide de la commande crypto key generate rsa pour générer une paire de clés RSA et activer automatiquement SSH. Lors de la génération des clés RSA, vous êtes invité à saisir une longueur de module. Cisco recommande une taille de module minimale de 1024 bits, comme dans l’exemple A.

REMARQUE : Pour retirer la paire de clés RSA, utilisez la commande crypto key zeroize rsa. Ceci désactive le service SSH.

Étape 4. Modifiez les lignes vty pour utiliser les noms d’utilisateur, avec soit des noms d’utilisateur configurés localement, soit sur un serveur d’authentification, d’autorisation et de comptabilité (AAA). Dans l’exemple A, la sous-commande vty login local définit l’utilisation des noms d’utilisateur locaux, remplaçant la sous-commande vty login .

Étape 5. Configurez le commutateur pour qu’il n’accepte que les connexions SSH avec la sous-commande vty input ssh. (Par défaut, la configuration du transport est input telnet.)

Étape 6. Ajoutez une ou plusieurs commandes de configuration globale username password pour configurer les paires nom d’utilisateur/mot de passe.

Étape 7. Si vous le souhaitez, vous pouvez modifier la configuration par défaut de SSH pour changer la version de SSH à 2.0, le nombre d’essais d’authentification et le délai, comme dans l’exemple A.

Étape 8. Vérifiez vos paramètres SSH à l’aide de la commande show ip ssh.

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here


CAPTCHA Image
Reload Image