How to Enable SSH in Cisco Router with Packet Tracer
SSH is a much safer protocol than the Telnet protocol and uses the TCP 22 port by default. The port number may vary.
There are 2 versions of the SSH protocol. These; Version 1 and Version 2.
SSH V1 exploits several patented encryption algorithms and is vulnerable to a well-known vulnerability that could allow an attacker to enter data into the communication flow.
SSH V2, this release has an advanced key exchange algorithm that is not vulnerable to the same abuse and includes more powerful and comprehensive features:
• Encryption such as 3DES and AES.
• Use voice encryption Message Verification Code (MAC) algorithms for integrity checking.
• Support for public-key certificates.
We recommend that you use SSH V2 as far as possible to remotely manage network devices.
To enable SSH in the real scenario, make sure that the file name of your Cisco IOS software is k9 (crypto).
Step 1
First, run Packet Tracer and then create a network topology as shown in the image below. Add an additional Router to the workspace, because after configuration we will connect the Router to the Router with SSH.
Step 2
Open the CLI prompt by clicking on the SYSNETTECH Router and press Enter to skip the initial configuration.
Step 3
To enable SSH on the router, perform the following commands in order.
Copy
Step 4
Configure the IP settings of PC1 as follows.
Step 5
To quickly configure the R1’s interface, double-click on it, click the Config tab in the window that opens, and then configure the Port Status option of the GigabitEthernet0/0 interface to On, then assign the IP address.
Step 6
To test whether SSH is running, open the PC1 prompt and establish a connection using the command below.
Copy
Copy
Step 7
Enter the user name and password you created, and as soon as you press Enter, the connection will be established as in the image below.
Step 8
After executing the show ssh command on PC1 Command Prompt, you can check the version of the SSH protocol that is linked.
Step 9
In this step, execute the following command to make SSH from router to router.
Copy
Step 10
In the same way, enter the user account information you created on the Cisco Router and press Enter.
Step 11
As you can see in the image below, a successful SSH connection is made.
Show Commands
Copy
Copy
Copy
Video
With the simulator, you can watch the video below to enable SSH on the router and connect from the PC and also subscribe to our YouTube channel to support us!
Final Word
In this article, after examining how to enable SSH, we have connected with SSH from PC to Router and Router to Router to verify the connection. In the real scenario, to configure SSH on Routers, make sure the IOS image has k9 (crypto). Thanks for following us!
Generating SSH Server Keys
You can generate an SSH server key based on your security requirements. The default SSH server key is an RSA key generated using 1024 bits. To generate SSH server keys, perform this task:
Procedure
| Command or Action | Purpose | |
|---|---|---|
| Step 1 |
switch# configure terminal
|
Enters configuration mode. |
| Step 2 |
switch(config)# ssh key {dsa | rsa ]}
|
Generates the SSH server key. The Use the force keyword to replace an existing key. |
| Step 3 |
switch(config)# exit
|
Exits global configuration mode. |
| Step 4 |
switch# show ssh key
|
(Optional)
Displays the SSH server keys. |
| Step 5 |
switch# copy running-config startup-config
|
(Optional)
Copies the running configuration to the startup configuration. |
The following example shows how to generate an SSH server
key:
switch# configure terminal
switch(config)# ssh key rsa 2048
switch(config)# exit
switch# show ssh key
switch# copy running-config startup-config
Deleting SSH Server Keys
You can delete SSH server keys after you disable
the SSH server.
| Note |
To reenable SSH, you must first generate an SSH |
To delete the SSH server keys, perform this task:
Procedure
| Command or Action | Purpose | |
|---|---|---|
| Step 1 |
switch#
|
Enters configuration mode.
|
| Step 2 |
switch(config)#
|
Disables the SSH server.
|
| Step 3 |
switch(config)# |
Deletes the SSH server key. The default is to delete all the SSH keys.
|
| Step 4 |
switch(config)#
|
Exits global configuration mode.
|
| Step 5 |
switch#
|
(Optional)
Displays the SSH server configuration.
|
| Step 6 |
switch#
|
(Optional)
Copies the running configuration to the startup
|
Пароли
Подключение по telnet или ssh называется виртуальным терминалом (vt) и настраивается следующим образом:
0 4 — это 5 пользовательских виртуальных терминалов=telnet сессий. Этого уже достаточно, чтобы попасть в пользовательский режим, но недостаточно для привилегированного:
Вход в пользовательский режим
Настроим пароль для enable-режима:
Вход в привилегированный режим
Чем отличается secret от password? Примерно тем же, чем ssh от telnet. При настройке secret пароль хранится в зашифрованном виде в конфигурационном файле, а password – в открытом. Поэтому рекомендуется использование secret.
Если вы всё-таки задаёте пароль командой , то следует применить так же , тогда ваш пароль в конфигурационном файле будет зашифрован:
Один мой знакомый рассказал мне историю:
Стоял он как-то курил возле одного из своих узлов, находящемся в жилом доме. С сумкой для инструментов, ноутбук в руках. Вдруг подходит двое алкашей с пакетом и предлагают купить, раскрывая пакет и показывая какой-то свич. Просят 500 рублей. Ну он купил. По меткам и модели свича парень сделал вывод какому провайдеру он принадлежит. Пришёл домой, начал ковырять — телнет закрыт, консоль запаролена. Слил конфиг по snmp. Пароли в открытом виде хранятся, имя с головой выдаёт провайдера. С их админом он знаком лично, позвонил ему вместо “Здрасьти” выдал логин и пароль в трубку. Слышно было, как скрипел мозг первые секунд 20: везде аксес-листы, авторизация, привязка к мак-адресу. Как?! В общем, всё хорошо, что хорошо кончается.
Хотим обратить ваше внимание: сейчас принятно настраивать доступы не через виртуальные терминалы, а командами и. В версии PT 5.3.2 они уже есть и вполне работают
Для этого нужно выполнить:
Первая команда служит для активации новой модели ААА (Authentication, Authorization, Accounting). Это нужно для того, чтобы была возможность использовать для аунтетификации на устройстве RADIUS или TACACS сервер. Если отдельно это не настроено, то будет использоваться локальная база пользователей, задаваемая командой .
Будьте внимательны: приоритет команды выше, чем команд виртуальных терминалов и поэтому даже несмотря на то, что у вас настроен password в режиме line vty, если у вас не будет пользователей в локальной базе, зайти на устройство удалённо уже не получится.
Теперь при подключении маршрутизатор запросит имя пользователя и соответствующий ему пароль.
При более глубокой настройке line vty существует одна опасность.
Есть такой параметр: . Его настройка позволяет ограничить IP-адреса, с которых возможно подключение. И вот однажды я, как умная маша, решил заняться безопасностью в сети и на всём почти оборудование понаставил эти аксес-листы, чтобы комар не пролетел. В один прекрасный момент пришлось выехать в поле и в тот день я проклял свою аккуратность – никуда не мог достучаться – малейшей лазейки не оставил. В общем будьте с этой командой внимательны или оставляйте для себя лазейки.
![Secure shell configuration guide - secure shell version 2 support [cisco cloud services router 1000v series] - cisco](https://kpovat.ru/wp-content/uploads/d/8/6/d8694a97e518e197defc10bf1e4d7972.jpeg)
При работе с access-list’ами и прочими опасными вещами, неправильная настройка которых может лишить вас доступа к устройству, можно использовать замечательную команду , где min время в минутах. Эта команда перезагрузит устройство по истечении указанного времени, если ее не прервать командой . Т.е. схема работы такова: вы удаленно копаете что-то, что может в теории (закон Мерфи не забываем) прервать ваш сеанс связи с устройством. Сохраняем текущий (рабочий) конфиг в (он используется при загрузке), ставим , вводим ключевую команду, относительно которой у нас сомнения ;-), и получаем обрыв связи, худшие опасения оправдались. Ждем 15 минут, устройство перегружается с рабочим конфигом, коннект — вуаля, связь есть. Либо (если связь не прервалась) проверяем, что все работает, и делаем .
Если вы хотите ограничить паролем доступ через консольный порт, вам понадобятся команды
Включить Cisco SSH
Хотите узнать, как включить удаленный доступ Cisco SSH с помощью командной строки? В этом уроке мы расскажем вам все шаги, необходимые для настройки удаленного доступа SSH на коммутаторе Cisco 2960 или 3750 с использованием командной строки.
Cisco Switch Playlist:
На этой странице мы предлагаем быстрый доступ к списку видеороликов, связанных с Cisco Switch.
Playlist
Не забудьте подписаться на наш канал YouTube, названный FKIT.
Связанный учебник Cisco Switch:
На этой странице мы предлагаем быстрый доступ к списку руководств, связанных с коммутатором Cisco.
Список учебных пособий
Учебное пособие — включение удаленного доступа Cisco SSH
Во-первых, вам нужно получить доступ к консоли вашего коммутатора Cisco.
В нашем примере мы будем использовать программное обеспечение Opensource с именем Putty и компьютер под управлением Windows.
Программное обеспечение Putty доступно на веб-сайте putty.org.
По окончании загрузки запустите программное обеспечение и дождитесь следующего экрана.
Чтобы получить доступ к консоли модели Cisco Switch 2960 или 3750, вам необходимо выбрать категорию Serial Connection и использовать следующие параметры:
• Тип подключения: последовательный
• Последовательная линия: COM1
• Скорость: 9600
Если COM1 не работает, вам нужно будет попытаться использовать COM2, COM3, COM4 или следующий.
Используя консоль, telnet или ssh, подключитесь к командной строке коммутатора и войдите в систему с пользователем, имеющим административные привилегии.
На экране приглашения введите регистрационную информацию администратора.
После успешного входа в систему отобразится консольная консоль.
Switch>
Используйте команду enable для входа в режим привилегий.
Switch> enable
Используйте команду терминала конфигурации, чтобы войти в режим конфигурации.
Switch# configure terminal
Используйте следующую команду для создания необходимых ключей шифрования:
Switch(config)# crypto key generate rsa
Switch(config)# ip ssh version 2
Если система запрашивает размер ключа, вы должны сообщить самому большому номеру, доступному вашему коммутатору.
На моем коммутаторе максимальное значение: 4096
Вы также должны включить SSH версию 2, которая более безопасна и имеет множество интересных функций.
Создайте учетную запись пользователя для удаленных пользователей.
Switch(config)# username kakarot privilege 15 secret kamehameha123
Switch(config)# username yamcha privilege 1 secret lostbuma123
В нашем примере пользователь kakarot имеет права чтения и записи, а yamcha — только для чтения.
Настройте виртуальный терминал для использования локальной проверки подлинности.
Настройте виртуальные терминалы, чтобы разрешить удаленный доступ SSH.
Switch# configure terminal
Switch(config)# line vty 0 15
Switch(config-line)# login local
Switch(config-line)# transport input ssh
Switch(config-line)# exit
Switch(config)# exit
Не забудьте сохранить конфигурацию коммутатора.
Switch# copy running-config startup-config
Вы успешно включили функцию удаленного доступа Cisco SSH.
Вы успешно настроили удаленные терминалы для приема удаленных подключений.
Вы успешно создали учетные записи пользователей с разными уровнями привилегий.
2018-06-08T10:04:01-03:00
Introduction
Secure Shell (SSH) is a protocol that provides a secure remote connection to specific network devices. This connection provides functionality that is similar to a Telnet connection, except that it is encrypted. SSH allows the administrator to configure the switch through the command line interface (CLI) with a third party program.
The switch acts as an SSH client that provides SSH capabilities to the users within the network. The switch uses an SSH server to provide SSH services. When SSH server authentication is disabled, the switch takes any SSH server as trusted, which decreases security on your network. If SSH service is enabled on the switch, security is enhanced.
This article provides instructions on how to configure server authentication on a managed switch through the CLI.
SSH Server Keys
SSH requires server keys for secure communications to the Cisco Nexus 5000 Series switch. You can use SSH keys for the following SSH options:
-
SSH version 2 using Rivest, Shamir, and Adelman (RSA) public-key cryptography
-
SSH version 2 using the Digital System Algrorithm (DSA)
Be sure to have an SSH server key-pair with the appropriate version before enabling the SSH service. You can generate the SSH server key-pair according to the SSH client version used. The SSH service accepts three types of key-pairs for use by SSH version 2:
-
The dsa option generates the DSA key-pair for the SSH version 2 protocol.
-
The rsa option generates the RSA key-pair for the SSH version 2 protocol.
By default, the Cisco Nexus 5000 Series switch generates an RSA key using 1024 bits.
SSH supports the following public key formats:
-
OpenSSH
-
IETF Secure Shell (SECSH)
| Caution |
If you delete all of the SSH keys, you cannot start the SSH services. |
Configure
Configuration
On the remote device:
! interface GigabitEthernet0/0 description LINK TO END USER ip vrf forwarding MGMT ip address 192.168.100.1 255.255.255.252 duplex auto speed auto !
! interface Loopback1 description LOOPBACK TO TELNET INTO FOR MANAGEMENT ACCESS ip vrf forwarding MGMT ip address 10.0.0.1 255.255.255.255 !
! line vty 0 4 access-class 8 in password cisco login transport input all line vty 5 15 access-class 8 in password cisco login transport input all !
On the end user device:
! interface GigabitEthernet0/0 description LINK TO REMOTE SITE ip vrf forwarding MGMT ip address 192.168.100.2 255.255.255.252 duplex auto speed auto !
Access the CLI of the Switch through SSH
The SSH sessions disconnect automatically after the idle time configured in the switch
has passed. The default idle session timeout for SSH is 10 minutes.
To make an SSH connection to the switch, choose your platform:
Access the CLI through SSH using PuTTY
Note: The images may vary according to the version of the Windows operating
system you are using. In this example, the Windows 7 Ultimate is used and the PuTTY version is 0.63.
Step 1. Launch the PuTTY client on your computer.
Step 2. Enter the hostname or IP address of the switch that you want to remotely access
in the Host Name (or IP address) field.
Note: In this example, 192.168.100.105 IP address is used.
Step 3. Enter 22 as the port number to be used for the SSH session in the
Port field.
Step 4. In the Connection type area, click the SSH radio button to choose SSH as
your method of connection with the switch.
Step 5. (Optional) To save the session, enter the session name in the Saved
Sessions field.
Note: In this example, SSH Sessions is used.
Step 6. (Optional) Click Save to save the session.
Step 7. (Optional) In the Close window on exit area, click the radio button to choose
the behavior of the SSH window upon exit.
Note: In this example, Only on clean exit is chosen.
Step 8. Click Open to start the session.
Step 9. If this is your first time using SSH to connect to the switch, you may receive
a Security Breach Warning. This warning lets you know that it is possible that you are connecting to another
computer pretending to be the switch. Once you have ensured you entered the correct IP address in the Host Name
field in Step 4, click Yes to update the Rivest Shamir Adleman 2 (RSA2) key to include the new switch.
Step 10. Enter the username and password of the switch in the login as, User
Name and Password fields accordingly.
![Catalyst 2960-x switch security configuration guide, cisco ios release 15.0(2)ex - configuring secure
shell (ssh) [cisco catalyst 2960-x series switches] - cisco](https://kpovat.ru/wp-content/uploads/5/7/2/572fcf1191b62b51c127606f3bbf29d8.jpeg)
![Как включить ssh сервер на коммутаторе cisco catalyst с ios v.15 [вики it-kb]](https://kpovat.ru/wp-content/uploads/1/9/0/19059a77beb904d8580dfc51bec2f85b.jpeg)
![Secure shell configuration guide, cisco ios release 15s - secure shell version 2 support [support] - cisco](https://kpovat.ru/wp-content/uploads/d/2/a/d2ada25f5c00b272058851f366295da5.jpeg)
You should now have successfully remotely accessed the CLI of your switch through SSH
using PuTTY.
Access the CLI through SSH using Terminal
Note: The images may vary according to the version of the operating system of
the Mac computer that you are using. In this example, the macOS Sierra is used and the Terminal version is
2.7.1.
Step 1. Go to Applications > Utilities then launch the Terminal.app
application.
Step 2. Enter the ssh command and then the IP address to access the CLI of the
switch.
Note: In this example, 192.168.100.105.
Step 3. Once prompted by the message asking if you want to continue connecting, enter
Yes.
Step 4. Enter the username and password of the switch in the User Name and
Password fields accordingly.
You should now have successfully remotely accessed the CLI of your switch through SSH
using the Terminal.
Feature Information for Configuring Secure Shell
lists the release history for this feature.
Use Cisco Feature Navigator to find information about platform support and software image support. Cisco Feature Navigator enables you to determine which software images support a specific software release, feature set, or platform. To access Cisco Feature Navigator, go to http://www.cisco.com/go/cfn. An account on Cisco.com is not required.
Note lists only the software release that introduced support for a given feature in a given software release train. Unless noted otherwise, subsequent releases of that software release train also support that feature.
Ну и на сладенькое: сброс пароля
Практически на любом сетевом устройстве есть возможность сбросить пароль, имея физический доступ. Если сделать это невозможно или это отдельная платная услуга, то скорее всего в ваших руках находится какая-то русская поделка (не в обиду, конечно, нашим производителям, но дважды я такие строки читал в документации:))
Итак, cisco:
подключаетесь к устройству консольным кабелем,
отправляете его в ребут (хоть по питанию, хоть командой )
в этом режиме введите команду: , она заставит устройство игнорировать startup-config при загрузке.
введите для перезагрузки
после загрузки running-config будет девственно чистым, а startup-config содержит по-прежнему последнюю сохранённую конфигурацию
Сейчас самое время поменять пароль или слить конфиг.
самое важное: верните обратно регистры:. Если вы этого не сделаете, то вся ваша конфигурация будет актуальна до первого ребута)
И хорошо, если это устройство стоит рядом, и вы вспомните, что накосячили. Мне не повезло)
Если вы этого не сделаете, то вся ваша конфигурация будет актуальна до первого ребута). И хорошо, если это устройство стоит рядом, и вы вспомните, что накосячили. Мне не повезло)
В следующей статье мы обратимся к вланам и локальной сети. Обязательно к прочтению:
Feature Information for SSH Terminal-Line Access
The following table provides release information about the feature or features described in this module. This table lists only the software release that introduced support for a given feature in a given software release train. Unless noted otherwise, subsequent releases of that software release train also support that feature.
Use Cisco Feature Navigator to find information about platform support and Cisco software image support. To access Cisco Feature Navigator, go to
www.cisco.com/go/cfn. An account on Cisco.com is not required.
|
Feature Name |
Releases |
Feature Information |
|---|---|---|
|
SSH Terminal-Line Access |
12.2(4)JA 12.2(15)T 12.2(6th)S |
The SSH Terminal-Line Access feature provides users secure access to tty (text telephone) lines. tty allows the hearing- and speech-impaired to communicate by using a telephone to type messages. This feature was introduced in Cisco IOS Release 12.2(4)JA. This feature was integrated into Cisco IOS Release 12.2(15)T. This feature was integrated into Cisco IOS Release 12.2(6th)S. The following command was introduced or modified: |
Configure SSH Access
With the cryptographic keys generated, it’s time to configure SSH access on the Cisco Switch 2960 X. Here are the necessary steps:
1. Enable the SSH server by typing `ip ssh version 2` in global configuration mode. This command sets the switch to use SSH protocol version 2, which provides improved security over version 1.
2. Configure the switch to accept only SSH connections for remote management by typing `line vty 0 15` and then `transport input ssh`.
Here’s an example of these configurations:
“`
MySwitch(config)# ip ssh version 2
MySwitch(config)# line vty 0 15
MySwitch(config-line)# transport input ssh
“`
Configuration of SSH on Cisco Switch in Packet Tracer
This Article is about the configuration of SSH on Cisco Switch. You can configure SSH on Cisco devices very easily using these simple steps:
Check out the some best Switches with fast network speed.
- Crate a Packet Tracer Topology Lab
- Basic IP Setting for connectivity
- Set hostname and domain-name on Switch
- Set console and enable password for SSH login
- Generate the RSA Keys
- Setup the Line VTY configurations
- Create the username password for SSH access from PC
- Verify SSH access
For the configurations of SSH in packet tracer on Cisco switch, you are required to follow the above steps. Let start and perform these steps one by one. (Learn what is PSSH)
Crate a Packet Tracer Topology Lab
Our first step is to open the packet tracer and need to create a simple lab. For this topology we will use only one switch and a PC. Simply drag these two items on dashboard. Now we will connect them with straight through connection.
Basic IP Setting for connectivity
The next step is assign the suitable IP setting to these devices. For keeping it simple and making basic connectivity we will assign just two IP address to these device. We will assign the IP address to PC. For this will open the PC setting and then IP configuration. Here we will assign an IP address to host, in our case we are going to assign it 192.168.1.1 with the default gateway. For default gateway we will assign the IP address 192.168.1.10. We assign the second IP address to our Vlan1 interface on switch. And its IP address will be the gateway of host that is 192.168.1.10. For this we will use the basic commands.
Once you done with basic IP setting, you can verify the connectivity by pinging the interface vlan1 IP from host.
Set host-name and domain-name on Switch
For SSh configurations you need to configure a host-name and domain-name for your switch you can do this with these simple commands.
Set console and enable password for SSH login
For SSH access it is required that you must configure the console and enable password on your cisco switch. You can set these two passwords with following commands.
SW1 # enable secret cisco
Generate the RSA Keys
Your Cisco switch must have RSA keys that for the SSH process. You can generate the RSA keys with following command:
How many bits in the modulus : 1024
% Generating 1024 bit RSA keys, keys will be non-exportable…
Set the size of key to 1024 bits.
If your Cisco Switch is running an older version of Cisco IOS image, then it is extremely recommended that you upgrade to latest Cisco IOS.
Setup the Line VTY configurations
For the configuration of SSH on cisco switch you need the following line vty configurations, and input transport is required to set to SSH. Set the login-to-local, & password to 7.
sw1(config- line ) #exit
Create the username password for SSH access from PC
If you do not have a username for SSH access you need to create a username. You can do it with this simple command:
Make sure the password encryption services is enabled on your switch, this service will encrypt your password, & when you do “sh run”, you’ll see only the encrypted password, not clear text password.
SW1# service password-encryption
Verify SSH access from Host
Once you done with the above configurations you can test all these configuration by creating a SSH connection from Host. You do it the command ssh –l <username> <IP address>. Open the host command prompt and use the command
C:\>ssh -l waqas 192.168.1.10
It will ask for password, provide the password that you created with this username in previous steps. Then it asked for console password and then you need to provide the enable password. Now you are in your Cisco switch. You can perform switch configurations from your host.
From the switch, if you use the command ‘sh ip ssh’, it will also confirm that SSH is enabled on this cisco swith.
For better understanding please watch the video and like it.
I hope this will be a helpful for you, please share your comments. If you like this then share this on social media. Thank you for reading this..!
How to Configure SSH Terminal-Line Access
Configuring SSH Terminal-Line Access
Perform this task to configure a Cisco router to support reverse secure Telnet.
| Note |
SSH must already be configured on the router. |
SUMMARY STEPS
1.
enable
2.
configure
terminal
3.
line
line-number
4.
no
exec
5.
login
{local | authentication listname}
6.
rotary
group
7.
transport
input
{all | ssh}
8.
exit
9.
ip
ssh
port
portnum
rotary
group
DETAILED STEPS
| Command or Action | Purpose |
|---|
Step 1
enable
Example:
Router> enable
Enables privileged EXEC mode.
Enter your password if prompted.
Step 2
configure
terminal
Example:
Router# configure terminal
Enters global configuration mode.
Step 3
line
line-number
Example:
Router(config)# line 1 200
Identifies a line for configuration and enters line configuration mode.
| Note
|
For router console configurations, each line must be defined in its own rotary, and SSH must be configured to listen in on each rotary. |
| Note
|
An authentication method requiring a username and password must be configured for each line. This may be done through the use of a local username and password stored on the router, through the use of TACACS+, or through the use of RADIUS. Neither Line passwords nor the enable password are sufficient to be used with SSH. |
Step 4
no
exec
Example:
Router(config-line)# no exec
Disables exec processing on each of the lines.
Step 5
login
{local | authentication listname}Example:
Router(config-line)# login authentication default
Defines a login authentication mechanism for the lines.
| Note
|
The authentication method must utilize a username and password. |
Step 6
rotary
group
Example:
Router(config-line)# rotary 1
Defines a group of lines consisting of one or more lines.
| Note
|
All rotaries used must be defined, and each defined rotary must be used when SSH is enabled. |
Step 7
transport
input
{all | ssh}Example:
Router(config-line)# transport input ssh
Defines which protocols to use to connect to a specific line of the router.
Step 8
exit
Example:
Router(config-line)# exit
Exits line configuration mode.
Step 9
ip
ssh
port
portnum
rotary
group
Example:
Router(config)# ip ssh port 2000 rotary 1
Enables secure network access to the tty lines.
Use this command to connect the portnum argument with the rotary groupargument, which is associated with a line or group of lines.
| Note
|
The group argument must correspond with the rotary group number chosen in Step 6. |
Generating The Router’s RSA Key – Digital Certificate
Digital keys serve the purpose to help further secure communications between devices. Our next step involves generating an RSA key pair that will be used by SSH to help encrypt the communication channel.
Before generating our RSA key, it is necessary to define our router’s domain using the ip domain-name command, followed by the crypto key generate command:
R1 (config)# ip domain-name firewall.cxR1(config)# crypto key generate rsa The name for the keys will be: R1.firewall.cxChoose the size of the key modulus in the range of 360 to 4096 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus : 4096% Generating 4096 bit RSA keys, keys will be non-exportable… (elapsed time was 183 seconds)
When generating our key pairs, the router notifies us with the name used for the keys, which consists of the router’s hostname (R1) + Configured Domain Name (firewall.cx). Finally, we can select the amount of bits used for the modulus (key).
Since we selected to generate a key using 4096 bits, the router took a bit over 3 minutes to generate the key! Note that router used in our example was a Cisco 877.
With SSH enabled we are able to ssh into our router and manage it securely from any location around the globe.
To view any active SSH session, simply use the show ssh command:
R1# show ssh Connection Version Mode Encryption Hmac State Username0 2.0 IN aes256-cbc hmac-sha1 Session started admin0 2.0 OUT aes256-cbc hmac-sha1 Session started admin%No SSHv1 server connections running.R1#
How to Configure SSH
• (required)
• (optional)
Note Hereafter, unless otherwise noted, the term «SSH» denotes «SSH Version 1» only.
Configuring an SSH Server
Perform the following steps to configure an SSH server. This task helps you to enable the Cisco router for SSH.
Note The SSH client feature runs in user EXEC mode and has no specific configuration on the router.
Note The SSH commands are optional and are disabled when the SSH server is disabled. If SSH parameters are not configured, then the default values are used.
1. enable
2. configure terminal
3. ip ssh {timeout seconds | authentication-retries integer}
1. enable
2. ssh -l username -vrf vrf-name ip-address
Troubleshooting Tips
•If your SSH configuration commands are rejected as illegal commands, you have not successfully generated an RSA key pair for your router. Make sure that you have specified a hostname and domain. Then use the crypto key generate rsa command to generate an RSA key pair and enable the SSH server.
•When configuring the RSA key pair, you might encounter the following error messages:
–No hostname specified
You must configure a hostname for the router using the hostname global configuration command. See the «IPsec and Quality of Service» feature module for more information.
–No domain specified
You must configure a host domain for the router using the ip domain-name global configuration command. See the «IPsec and Quality of Service» feature module for more information.
•The number of allowable SSH connections is limited to the maximum number of vtys configured for the router. Each SSH connection uses a vty resource.
•SSH uses either local security or the security protocol that is configured through AAA on your router for user authentication. When configuring AAA, you must ensure that AAA is disabled on the console for user authentication. AAA authorization is disabled on the console by default. If AAA authorization is enabled on the console, disable it by configuring the no aaa authorization console command during the AAA configuration stage.