SSH adalah protokol dan aplikasi yang menggantikan Telnet dan menyediakan koneksi terenkripsi untuk administrasi jarak jauh dari perangkat jaringan Cisco seperti router, switch, atau alat keamanan.
Cisco IOS mencakup server SSH dan klien SSH. Dokumen ini hanya berkaitan dengan konfigurasi komponen server SSH.
Prasyarat
Perangkat lunak
Komponen server SSH mengharuskan Anda memiliki image perangkat lunak enkripsi IPSec (DES atau 3DES) dari Cisco IOS Release 12.1 (1) T atau yang lebih baru yang diinstal pada router Anda. Gambar layanan IP tingkat lanjut termasuk komponen IPSec. Dokumen ini ditulis menggunakan c2800nm-advipservicesk9-mz.123-14.T5.bin.
Konfigurasi SSH di Cisco Router
Pra-konfigurasi
Anda harus mengonfigurasi nama host dan nama domain pada router Anda. Sebagai contoh:
router #
router # conf t
Masukkan perintah konfigurasi, satu per baris. Akhiri dengan CNTL / Z.
router01 (config) #hostname router01
router01 (config) #ip domain-name soundtraining.net
Anda juga harus membuat RSA keypair untuk router Anda yang secara otomatis mengaktifkan SSH. Dalam contoh berikut, perhatikan bagaimana keypair dinamai untuk kombinasi nama host dan nama domain yang sebelumnya dikonfigurasi. Modulus mewakili panjang kunci. Cisco merekomendasikan panjang kunci minimum 1024 bit (meskipun panjang kunci default adalah 512 bit):
router01 (config) #
router01 (config) kunci #crypto menghasilkan rsa
Nama kuncinya adalah: router01.soundtraining.net
Pilih ukuran modulus kunci di kisaran 360 hingga 2048 untuk Kunci Tujuan Umum Anda. Memilih modulus kunci yang lebih besar dari 512 mungkin memerlukan waktu beberapa menit.
Berapa banyak bit dalam modulus [512]: 1024
% Menghasilkan kunci RSA 1024 bit ... [OK]
Terakhir, Anda harus menggunakan server AAA seperti server RADIUS atau TACACS + atau membuat basis data pengguna lokal untuk mengautentikasi pengguna jarak jauh dan mengaktifkan otentikasi pada jalur terminal. Untuk tujuan dokumen ini, kami akan membuat basis data pengguna lokal di router. Dalam contoh berikut, pengguna :donc: dibuat dengan tingkat hak istimewa 15 (maksimum diizinkan) dan diberi kata sandi terenkripsi :p @ ss5678:. (Perintah :rahasia: diikuti oleh :0: memberitahu router untuk mengenkripsi kata sandi plaintext berikut. Dalam konfigurasi router yang sedang berjalan, kata sandi tidak akan dapat dibaca manusia.) Kami juga menggunakan mode konfigurasi baris untuk memberi tahu router menggunakan router lokal database pengguna untuk otentikasi (login lokal) pada terminal baris 0-4.
router01 (config) #username donc privilege 15 secret 0 p @ ss5678
router01 (config) #line vty 0 4
router01 (config-line) #login lokal
Mengaktifkan SSH
Untuk mengaktifkan SSH, Anda harus memberi tahu router keypair mana yang harus digunakan. Secara opsional, Anda dapat mengonfigurasi versi SSH (default ke SSH versi 1), nilai batas waktu otentikasi, dan beberapa parameter lainnya. Dalam contoh berikut, kami memberi tahu router untuk menggunakan keypair yang dibuat sebelumnya dan menggunakan SSH versi 2:
router01 (config) #
router01 (config) #ip ssh versi 2
router01 (config) #ip ssh rsa keypair-name router01.soundtraining.net
Anda sekarang dapat masuk ke router Anda dengan aman menggunakan klien SSH seperti TeraTerm.
Melihat Konfigurasi dan Koneksi SSH
Anda dapat menggunakan perintah mode istimewa :view ssh: dan :view ip ssh: untuk melihat konfigurasi dan koneksi SSH (jika ada). Dalam contoh berikut, konfigurasi SSHv1 dari router Cisco 871 diverifikasi menggunakan :show ip ssh: dan koneksi SSHv1 tunggal ditampilkan menggunakan perintah :show ssh:. Perhatikan bahwa kami tidak mengaktifkan SSHv2 di router ini, jadi defaultnya ke SSH versi 1.99. Perhatikan juga dalam output perintah :show ssh: yang SSH versi 1 default ke 3DES. SSHv2 mendukung AES, teknologi enkripsi yang lebih kuat dan efisien. SSHv2 juga tidak tunduk pada eksploitasi keamanan yang sama seperti SSHv1. soundtraining.net merekomendasikan penggunaan SSHv2 dan menonaktifkan dropback ke SSHv1. Mengaktifkan SSHv2 menonaktifkan SSHv1. Contoh ini hanya disertakan untuk menunjukkan kompatibilitas ke belakang:
router04 #
router04 # tampilkan ip ssh
SSH Diaktifkan - versi 1.99
Batas waktu otentikasi: 120 detik; Coba lagi otentikasi: 3
router04 #
router04 # tampilkan ssh
Nama Pengguna Status Enkripsi Versi Koneksi
2 1,5 Sesi 3DES dimulai donc
% Tidak ada koneksi server SSHv2 yang berjalan.
router04 #
Anda juga dapat menggunakan perintah :debug ip ssh: untuk memecahkan masalah konfigurasi SSH.