Để cấu hình SSH nhanh chóng cho 2 switch đã trunk và ping thông nhau, bạn cần thực hiện các bước sau trên cả hai thiết bị. Các bước này bao gồm việc tạo khóa SSH, cấu hình tên miền, và bật dịch vụ SSH.
Bước 1: Tạo khóa mã hóa SSH
Đầu tiên, bạn cần tạo một cặp khóa mã hóa RSA để sử dụng cho SSH. Lệnh này sẽ yêu cầu bạn nhập kích thước của khóa (key size). Kích thước tối thiểu được khuyến nghị là 1024 bit, nhưng 2048 bit là an toàn hơn.
crypto key generate rsa
Bạn sẽ được hỏi về kích thước khóa. Hãy nhập một giá trị phù hợp. (ví dụ 2048)
Bước 2: Cấu hình tên miền
SSH yêu cầu một tên miền (hostname) và một tên miền IP (IP domain name) để hoạt động. Tên miền IP thường được sử dụng cho việc xác thực.
Trên switch 1:
hostname Switch-1
ip domain-name mynetwork.local
Trên switch 2:
hostname Switch-2
ip domain-name mynetwork.local
Bước 3: Cấu hình dịch vụ SSH
Sau khi đã có khóa và tên miền, bạn cần cấu hình các thông số của dịch vụ SSH.
Chuyển đổi giao thức SSH Theo mặc định, Cisco sử dụng SSH phiên bản 1. Bạn nên chuyển sang phiên bản 2 vì nó an toàn hơn.
ip ssh version 2
Cấu hình thời gian chờ và số lần thử lại Đặt thời gian chờ (timeout) và số lần thử lại (retries) để bảo vệ khỏi các cuộc tấn công Brute Force.
ip ssh timeout 60 ip ssh authentication-retries 3
Tạo tài khoản người dùng cục bộ Tạo một tài khoản người dùng cục bộ (username và password) để đăng nhập qua SSH.
username <tên_người_dùng> secret <mật_khẩu>
Kích hoạt SSH trên đường truyền ảo (VTY) Cuối cùng, bạn cần kích hoạt SSH trên các đường truyền ảo (Virtual Teletype - VTY) để cho phép kết nối từ xa. Bạn có thể giới hạn số lượng kết nối VTY cùng lúc.
line vty 0 15 transport input ssh login local
Lệnh
login local
sẽ yêu cầu người dùng xác thực bằng tài khoản đã tạo ở bước trên.
Tóm tắt và Ví dụ hoàn chỉnh
Dưới đây là một ví dụ cấu hình hoàn chỉnh cho một switch:
crypto key generate rsa
// nhập 2048
hostname Switch-1
ip domain-name mynetwork.local
ip ssh version 2
ip ssh timeout 60
ip ssh authentication-retries 3
username admin secret cisco123
line vty 0 15
transport input ssh
login local
end
write memory
Sau khi hoàn thành các bước trên, bạn có thể kiểm tra kết nối SSH từ máy tính hoặc switch khác bằng lệnh:
ssh -l <tên_người_dùng> <địa_chỉ_IP_của_switch>
Ví dụ:
ssh -l admin 192.168.1.10
Ví dụ về kết quả
Dưới đây là một ví dụ về kết quả của lệnh show running-config | include ssh|domain|username|vty
:
crypto key generate rsa
ip ssh version 2
ip ssh timeout 60
ip ssh authentication-retries 3
ip domain-name mynetwork.local
username admin secret 5 $1$U5S.u4tW$4j1Z8.2/6r5iY9bJ0b.
line vty 0 15 ( hoặc 0 4 )
transport input ssh
login local
Kết quả này cho bạn biết mọi thứ cần thiết về cấu hình SSH hiện tại của switch, từ tên miền, phiên bản SSH, đến thông tin xác thực và VTY lines.
Để sau khi SSH vào switch, bạn có thể vào luôn chế độ đặc quyền (enable mode) mà không cần nhập lại mật khẩu, bạn cần thực hiện cấu hình xác thực
quyền truy cập bằng cách sử dụng tài khoản người dùng cục bộ (local user) và gán quyền đặc quyền cho tài khoản đó.
1. Cấu hình username với quyền đặc quyền
Thay vì chỉ tạo một tài khoản người dùng thông thường, bạn sẽ tạo một tài khoản có cấp độ đặc quyền (privilege level) là 15,
cấp cao nhất trong Cisco IOS.
username <tên_người_dùng> privilege 15 secret <mật_khẩu>
privilege 15
: Lệnh này gán cho tài khoản người dùng một quyền truy cập cao nhất. Khi người dùng đăng nhập,
họ sẽ tự động được đưa vào chế độ đặc quyền (enable mode) mà không cần phải nhập mật khẩu enable
nữa.
secret <mật_khẩu>
: Mật khẩu này được mã hóa và dùng để xác thực.
No comments:
Post a Comment