Коммутируемые сети

Конфигурирование протокола SSH на коммутаторе

Протокол удаленного доступа Telnet передает данные в открытой незашифрованной форме, что снижает информационную безопасность. Поэтому рекомендуется Telnet заменять протоколом SSH, который шифрует передаваемые данные. Номер порта Telnet - 23, SSH - 22. Оба протокола на транспортном уровне взаимодействуют с TCP.

Для того чтобы сконфигурировать SSH на коммутаторе ( рис. 6.4) необходимо выполнить ряд команд.

Предварительно нужно задать имя коммутатора, например:

Switch(config)#hostname S-A
    

В режиме глобального конфигурирования требуется задать имя домену, где функционирует SSH, например class:

S-A(config)#ip domain-name class
    

Протокол SSH автоматически включается при создании пары ключей RSA, при этом требуется указать длину модуля в диапазоне от 360 до 2048. В приведенном примере задана длина 1024:

S-A(config)#crypto key generate rsa
The name for the keys will be: S-A.class
Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
    

Для аутентификации пользователя задают его имя (например, vas) и пароль (например, cis1):

S-A(config)#username vas secret cis1
*??? 1 0:4:3.608:  %SSH-5-ENABLED: SSH 1.99 has been enabled
    

Сообщение говорит о том, что используется версия 1.99. В настоящее время предпочтительной является версия 2, которую необходимо задать.

Настройку SSH на виртуальных линиях реализует следующая последовательность команд:

S-A(config)#line vty 0 4
S-A(config-line)#transport input ssh
S-A(config-line)#login local
S-A(config-line)#exit
S-A(config)#ip ssh version 2
    

Если ранее на виртуальном интерфейсе(SVI) не была установлена конфигурация для управления коммутатором, то это необходимо сделать, например:

S-A(config)#int vlan 101
S-A(config-if)#ip add 192.168.10.11 255.255.255.0
S-A(config-if)#no shut
S-A(config-if)#exit
S-A(config)#ip default-gateway 192.168.10.1
    

Кроме того, необходимо сформировать виртуальную локальную сеть vlan 101 и к ней приписать физический интерфейс, например interface f0/19, к которому подключен персональный компьютер:

S-A(config)#vlan 101
S-A(config-vlan)#
%LINK-5-CHANGED: Interface Vlan101, changed state to up

S-A(config-vlan)#int f0/19
S-A(config-if)#switchport access vlan 101
S-A(config-if)#
    

Проверка возможности удаленного доступа по SSH с персонального компьютера ( рис. 6.4) производится по команде:

PC>ssh -l vas 192.168.10.11
Open
Password:
S-А>
    

При этом протокол Telnet не работает.

Ввод команды transport input all на линиях vty разрешает функционирование как SSH, так и Telnet.