SSH는 텔넷을 대체하고 라우터, 스위치 또는 보안 어플라이언스와 같은 시스코 네트워크 장치의 원격 관리를위한 암호화 된 연결을 제공하는 프로토콜 및 응용 프로그램입니다.
Cisco IOS에는 SSH 서버와 SSH 클라이언트가 모두 포함됩니다. 이 문서는 SSH 서버 구성 요소의 구성에만 관련되어 있습니다.
선결 요건
소프트웨어
SSH 서버 구성 요소를 사용하려면 라우터에 Cisco IOS Release 12.1 (1) T 이상의 IPSec (DES 또는 3DES) 암호화 소프트웨어 이미지가 설치되어 있어야합니다. 고급 IP 서비스 이미지에는 IPSec 구성 요소가 포함됩니다. 이 문서는 c2800nm-advipservicesk9-mz.123-14.T5.bin을 사용하여 작성되었습니다..
Cisco 라우터의 SSH 구성
사전 구성
라우터에서 호스트 이름과 도메인 이름을 구성해야합니다. 예 :
라우터#
라우터 # conf t
한 줄에 하나씩 구성 명령을 입력하십시오. CNTL / Z로 끝내기.
router01 (구성) #hostname router01
router01 (config) #ip 도메인 이름 soundtraining.net
또한 SSH를 자동으로 활성화하는 라우터의 RSA 키 쌍을 생성해야합니다. 다음 예에서는 이전에 구성된 호스트 이름과 도메인 이름의 조합에 대해 키 쌍의 이름이 지정되는 방식에 유의하십시오. 계수는 키 길이를 나타냅니다. 시스코는 (기본 키 길이가 512 비트 임에도 불구하고) 최소 1024 비트의 키 길이를 권장합니다.
router01 (config) #
router01 (구성) #crypto 키가 rsa를 생성합니다.
키의 이름은 다음과 같습니다 : router01.soundtraining.net
일반용 키의 360에서 2048 범위에서 키 모듈러스의 크기를 선택하십시오. 512보다 큰 키 모듈을 선택하는 데 몇 분이 걸릴 수 있습니다..
계수의 몇 비트 [512] : 1024
% 1024 비트 RSA 키 생성 중 ... [OK]
마지막으로 RADIUS 또는 TACACS + 서버와 같은 AAA 서버를 사용하거나 원격 사용자를 인증하고 터미널 회선에서 인증을 사용하도록 로컬 사용자 데이터베이스를 만들어야합니다. 이 문서의 목적을 위해 라우터에 로컬 사용자 데이터베이스를 만듭니다. 다음 예제에서 사용자 :donc:는 권한 수준 15 (최대 허용)로 작성되고 :p @ ss5678:의 암호화 된 암호가 제공됩니다. ( :secret:뒤에 :0:이 오는 명령은 라우터에 다음 평문 암호를 암호화하도록 지시합니다. 라우터의 실행 구성에서 암호는 사람이 읽을 수 없습니다.) 또한 회선 구성 모드를 사용하여 라우터에 로컬 터미널 라인 0-4에 대한 인증 (로그인 로컬)을위한 사용자 데이터베이스.
router01 (config) # 사용자 이름 donc 권한 15 암호 0 p @ ss5678
router01 (config) #line vty 0 4
router01 (구성 라인) #login local
SSH 사용
SSH를 사용 가능하게하려면 사용할 키 쌍을 라우터에 알려야합니다. 선택적으로 SSH 버전 (기본값은 SSH 버전 1), 인증 시간 초과 값 및 기타 여러 매개 변수를 구성 할 수 있습니다. 다음 예에서는 이전에 생성 된 키 쌍을 사용하고 SSH 버전 2를 사용하도록 라우터에 지시했습니다.
router01 (config) #
router01 (config) #ip ssh 버전 2
router01 (config) #ip ssh rsa 키 쌍 - 이름 router01.soundtraining.net
이제 TeraTerm과 같은 SSH 클라이언트를 사용하여 라우터에 안전하게 로그온 할 수 있습니다..
SSH 구성 및 연결보기
권한 모드 명령 :view ssh:및 :view ip ssh:를 사용하여 SSH 구성 및 연결 (있는 경우)을 볼 수 있습니다. 다음 예에서 :show ip ssh:를 사용하여 Cisco 871 라우터의 SSHv1 구성을 확인하고 :show ssh:명령을 사용하여 단일 SSHv1 연결을 표시합니다. 이 라우터에서 SSHv2를 활성화하지 않았으므로 기본값은 SSH 버전 1.99입니다. 또한 :show ssh:명령의 출력에서 SSH 버전 1은 기본적으로 3DES로 표시됩니다. SSHv2는보다 강력하고 효율적인 암호화 기술인 AES를 지원합니다. SSHv2는 또한 SSHv1과 동일한 보안 취약점이 적용되지 않습니다. soundtraining.net은 SSHv2의 사용을 권장하고 SSHv1에 대한 중단을 비활성화합니다. SSHv2를 활성화하면 SSHv1이 비활성화됩니다. 이 예제는 이전 버전과의 호환성을 입증하기 위해 포함되었습니다.
router04 #
router04 # show ip ssh
SSH 사용 - 버전 1.99
인증 제한 시간 : 120 초; 인증 재시도 : 3
router04 #
router04 # show ssh
연결 버전 암호화 상태 사용자 이름
2 1.5 3DES 세션 시작 donc
% 실행중인 SSHv2 서버 연결 없음.
router04 #
:debug ip ssh:명령을 사용하여 SSH 구성 문제를 해결할 수도 있습니다.