Descripción: Lista de los Comandos mas Utilizados en la Configuración de Router Cisco
ConfigDescripción completa
Descripción completa
ktkttu
Full description
Descripción completa
Descripción completa
Descripción: SSH
SSH Free
Descripción completa
Descripción completa
Descripción: Como debemos minimamente trabajar con ssh
CONFIGURAR SSH EN UN ROUTER CISCO Usar Telnet para gestionar un router, un switch o un firewall no es seguro, ya que transmite en texto claro a través de la red, lo cual es un problema cuando se transmite el nombre de usuario o password. Una alternativa a usar Telnet y que es capaz de remediar esta laguna es el uso de SSH. Al igual que con Telnet, tu puedes usar SSH para entrar comandos IOS a través de la red o copiar ficheros sobre la red a un dispositivo. Pero con SSH, el cual usa certificados digitales encriptadas, apenas tienes que preocuparte por la seguridad. Hay dos versiones de Secure Shell : SSH1 y SSH2. Cisco IOS 12.1(3)T fue la primera versión en soportar SSH1, no requiere encriptación de datos standard ( DES ) o 3DES. 3DES. Con la versión SSH2 soportar soportar 3DES. SSH1 y SSH2 son dos protocolos diferentes. SSH2 ofrece mucha más seguridad y es recomendable usarlo siempre que sea posible. Cisco IOS ofrece la posibilidad de actuar como servidor SSH o cliente SSH. Así tu puedes conectarte al servidor SSH en el router desde un cliente SSH o desde el cliente SSH en el router a un servidor SSH. Para configurar SSH en el router, debemos asegurarnos de tener la imagen IOS apropiada: c2600-ik9o3s3-mz.122-15.T9.bin.
Los siguientes pasos habilitarán SSH en un router Cisco, también deshabilitará Telnet: 1. 2. 3. 4. 5. 6. 7.
Enter configuration mode. Assign a host name for the router. Create at least one local user account. Assign a DNS domain name for the router. Generate an RSA key. Configure SSH timeout and retries settings. Enable SSH on virtual type terminals (VTYs).
! Assign a host name for the router hostname myrouter ! Create at least one local user account aaa new-model username cisco password cisco ! Assign a DNS domain name for the router ip domain-name yourdomain.com ! Generate an RSA key crypto key generate rsa ! Configure SSH timeout and retries settings ip ssh time-out 60 ip ssh authentication-retries 3 ! Enable SSH on VTYs line vty 0 4 transport input ssh
Testear la Autenticación sin SSH.
Primero testee la autenticación sin SSH para comprobar que la autenticación trabaja con el router correctamente. La autenteicación puede ser con un username y password local o con un servidor AAA que corre TACAC+ o RADIUS. !--- The aaa new-model command causes the local username and password on the router !--- to be used in the absence of other AAA statements.
aaa new-model username cisco password 0 cisco line vty 0 4 transport input telnet !--- Instead of aaa new-model , you can use the login local command.
Testear la Autenticación sin SSH.
Con el fin de testear la autenticación con SSH tu debes añadir al router las siguientes lineas y probar la conexión desde un PC Cliente.
ip domain-name rtp.cisco.com !--- Generate an SSH key to be used with SSH.
crypto key generate rsa ip ssh time-out 60 ip ssh authentication-retries 2
Testear desde un ordenador cliente para ver que no se pueden establecer conexiones Telnet
Configurar un Router o Switch como Cliente SSH.
Hay que realizar los siguientes 4 pasos para habilitar SSH en un router Cisco:
1. 2. 3. 4.
Configure the hostname command. Configure the DNS domain. Generate the SSH key to be used. Enable SSH transport support for the virtual type terminal (vtys).
!--- Step 1: Configure the hostname if you have not previously done so.
switch/router(config)# hostname carter !--- The aaa new-model command causes the local username and password on the router !--- to be used in the absence of other AAA statements.
Configurar un hostname al router: Router(config)# hostname TR-Router.
-
Configurar un domain name en el router: TR-Router(config)# ip domain-name TechRepublic.com
-
Crear un par de claves de encriptación RSA para que el router use autenticación y encriptación de los datos SSH. Una de las cosas que tenemos que responder durante el proceso es el modelo del tamaño de clave. Asegurese de que al menos es de 768-bits: TR-Router(config)# crypto key generate rsa
The name for the keys will be: TR-Router.TechRepublic.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 768% Generating 768 bit RSA keys ...[OK] TR-Router(config)#*Mar 1 00:17:13.337: %SSH-5-ENABLED: SSH 1.5 has been enabled
Como podemos después de que el sistema genera la clave, se recibirá un mensaje de que: - SSH 1.5 se ha habilitado automáticamente en el router. Esto es la forma que tiene cisco de decirle al router que está corriendo SSH1. - SSH 1.99 indicaria que ambos SSH1 y SSH2 estarían habilitados. - SSH 2.0 indicaría que solo SSH2 estaría habilitado.
Configurando los parametros opcionales completaría el proceso de configuración de SSH en el router.
switch/router(config)# ip ssh authentication-retries switch/router(config)# ip ssh time-out switch/router(config)# ip ssh version 2
Para ver el estatus de SSH, se pueden usar los siguientes comandos: -
Show ip ssh : para ver los parámetros de SSH. Show ssh : para ver las conexiones de SSH.
TR-Router# show ip ssh SSH Enabled - version 1.5Authentication timeout: 120 secs; Authentication retries: 3 3TR-Router# show ssh No SSH server connections running.TR-Router# También podemos usar el cliente construido en el dispositivo para conectarnos a otros servidores SSH. Desde el Privilege Mode entraremos el comando “ssh”. TR-Router# ssh ? -c Select encryption algorithm -l Log in using this username -o Specify options -p Connect to this port WORD IP address or hostname of a remote system.