Các phiên bản SSH
– SSH Server Phiên bản 1.0 (SSH v1): từ phiên bản Cisco IOS 12.0.5.S đã được giới thiệu và bắt đầu sử dụng.
– SSH client: từ phiên bản Cisco IOS 12.1.3.T đã được giới thiệu và bắt đầu sử dụng .
– SSH terminal-line access (reverse-Telnet): từ phiên bản Cisco IOS 12.2.2.T đã được giới thiệu và bắt đầu sử dụng.
– SSH Version 2.0 (SSH v2): từ phiên bản Cisco IOS 12.1(19)E đã được giới thiệu và bắt đầu sử dụng.
Bạn cần phải kiểm tra phiên bản hiện tại IOS, nếu kết quả thấp hơn thì bạn có thể download bản IOS mới nhất để có thể cập nhập cho Switch.
Cấu hình SSH cho Switch Cisco với RSA
Bước 1. Thay đổi hostname và domain name
Switch(config)#hostname NetworkPro
NetworkPro(config)#ip domain-name networkpro.vn
Bước 2. Chọn phiên bản SSH
NetworkPro(config)#ip ssh version 2
Bước 3. Định nghĩa RSA key
– Bạn cần phải tạo một domain-name trước > Sau đó mới tạo được RSA Key.
– Lúc này RSA key sẽ tạo theo hostname.domain-name. Ở ví dụ trên thì RSA key sẽ tạo theo NetworkPro.networkpro.vn.
– Khi định nghĩa RSA key, sẽ được hỏi độ dài của key.
– Size này có giá trị từ 360 đến 4096, mặc định là 512. Nếu chọn size mặc định là 512 thì SSH v1.5 sẽ được bật. Để sử dụng SSH v2 phải chọn từ 768 đến 4096. Giá trị mà càng cao thì key càng khó để crack.
Switch(config)#crypto key generate rsa
The name for the keys will be: NetworkPro.networkpro.vn
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 768
% Generating 768 bit RSA keys, keys will be non-exportable…
[OK] (elapsed time was 2 seconds)
Bước 4. Tạo tài khoản SSH
Dựa vào chỉ số privilege, ta có thể phân quyền sử dụng cho client. Giá trị này là từ 0 đến 15. Nếu là giá trị 15 thì nghĩa là có toàn quyền với thiết bị.
NetworkPro(config)#username cisco privilege 15 password cisco@123
Bước 5. Bật tính năng SSH trên VTY
NetworkPro(config)# line vty 0 4
NetworkPro(config-line)# login local
NetworkPro(config-line)# transport input ssh
NetworkPro(config-line)# exit
Lệnh login local để chỉ định chứng thực dựa trên tài khoản thiết bị. Nếu có một Server Radius/TACACS, có thể cấu hình AAA. Sau đó, chọn kiểu chứng thực qua Radius/TACACS.
Bước 6. Chỉ định timeout
Thời gian timeout là điểm thời gian kết thúc phiên SSH. Timeout được tính bằng phút. Ví dụ như cấu hình timeout là 05 phút:
NetworkPro(config)# line vty 0 4
NetworkPro(config-line)# exec-timeout 5