Seguridad y VPN : Secure Shell (SSH)

Cómo Configurar SSH en Switches Catalyst que Ejecutan CatOS

16 Enero 2016 - Traducción Automática
Otras Versiones: PDFpdf | Traducción Manual (20 Mayo 2008) | Inglés (20 Octubre 2015) | Comentarios


Contenido


Introducción

En este documento se proporcionan instrucciones paso a paso para configurar Secure Shell (SSH) Versión 1 en switches Catalyst que ejecutan Catalyst OS (CatOS). La versión probada es cat6000-supk9.6-1-1c.bin.

prerrequisitos

Requisitos

Esta tabla muestra el estatus del soporte de SSH en el Switches. Los usuarios registrados pueden acceder estas imágenes del software visitando el centro de software.

CatOS SSH
Dispositivo Soporte de SSH
Gato 4000/4500/2948G/2980G (CatOS) Imágenes del k9 a partir de 6.1
Gato 5000/5500 (CatOS) Imágenes del k9 a partir de 6.1
Gato 6000/6500 (CatOS) Imágenes del k9 a partir de 6.1
IOS SSH
Dispositivo Soporte de SSH
Gato 2950* 12.1(12c)EA1 y posterior
Gato 3550* 12.1(11)EA1 y posterior
Gato 4000/4500 (Cisco IOS Software integrado) * 12.1(13)EW y posterior **
Gato 6000/5500 (Cisco IOS Software integrado) * 12.1(11b)E y posterior
Gato 8540/8510 12.1(12c)EY y posterior, 12.1(14)E1 y posterior
Ningún SSH
Dispositivo Soporte de SSH
Gato 1900 no
Gato 2800 no
Cat2948G-L3 no
Gato 2900XL no
Gato 3500XL no
Gato 4840G-L3 no
Gato 4908G-L3 no

* La configuración se cubre en configuración de Secure Shell en el Routers y el Switches que funcionan con el Cisco IOS.

** No hay soporte para SSH en el tren 12.1E para el Cisco IOS Software integrado corriente del Catalyst 4000.

Refiera a la forma de la autorización de la distribución de la exportación del software de encripción para solicitar el 3DES.

Este documento asume que la autenticación trabaja antes de la implementación de SSH (con la contraseña de Telnet, TACACS+) o del RADIUS. SSH con el Kerberos no se soporta antes de la implementación de SSH.

Componentes Utilizados

Este documento dirige las 4000/4500 Series solamente del Catalyst 2948G, del Catalyst 2980G, del Catalyst, la serie del Catalyst 5000/5500, y la serie del Catalyst 6000/6500 que funciona con la imagen del k9 de CatOS. Para más detalles, refiera a la sección de los requisitos de este documento.

La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte Convenciones de Consejos Técnicos de Cisco.

Diagrama de la red

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/secure-shell-ssh/13881-ssh-cat-switches.gif

Configuración del switch


!--- Generate and verify RSA key.

sec-cat6000> (enable) set crypto key rsa 1024
Generating RSA keys..... [OK]
sec-cat6000> (enable) ssh_key_process: host/server key size: 1024/768 

!--- Display the RSA key.

sec-cat6000> (enable) show crypto key
RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360
577332853671704785709850606634768746869716963940352440620678575338701550888525
699691478330537840066956987610207810959498648179965330018010844785863472773067
697185256418386243001881008830561241137381692820078674376058275573133448529332
1996682019301329470978268059063378215479385405498193061651 

!--- Restrict which host/subnets are allowed to use SSH to the switch.
!--- Note: If you do not do this, the switch will display the message
!--- "WARNING!! IP permit list has no entries!"


sec-cat6000> set ip permit 172.18.124.0 255.255.255.0
172.18.124.0 with mask 255.255.255.0 added to IP permit list. 

!--- Turn on SSH.

sec-cat6000> (enable) set ip permit enable ssh
SSH permit list enabled. 

!--- Verity SSH permit list.

sec-cat6000> (enable) show ip permit
Telnet permit list disabled.
Ssh permit list enabled.
Snmp permit list disabled.
Permit List Mask Access-Type 
---------------- ---------------- -------------
172.18.124.0 255.255.255.0 telnet ssh snmp 

Denied IP Address Last Accessed Time Type
----------------- ------------------ ------

Inhabilitar SSH

En algunas situaciones puede ser necesario inhabilitar SSH en el Switch. Usted debe verificar si SSH esté configurado en el Switch y si es así lo inhabilita.

Para verificar si SSH se ha configurado en el Switch, publique el comando show crypto key. Si la salida visualiza la clave RSA, después SSH se ha configurado y se ha habilitado en el Switch. Aquí se muestra un ejemplo.

sec-cat6000> (enable) show crypto key
RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360
577332853671704785709850606634768746869716963940352440620678575338701550888525
699691478330537840066956987610207810959498648179965330018010844785863472773067
697185256418386243001881008830561241137381692820078674376058275573133448529332
1996682019301329470978268059063378215479385405498193061651 

Para quitar el crypto key, publique el comando clear crypto key rsa de inhabilitar SSH en el Switch. Aquí se muestra un ejemplo.

sec-cat6000> (enable) clear crypto key rsa 
Do you really want to clear RSA keys (y/n) [n]? y 
RSA keys has been cleared. 
sec-cat6000> (enable) 

depuración en el Catalyst

Para girar los debugs, publique el comando set trace ssh 4.

Para apagar los debugs, publique el comando set trace ssh 0.

Ejemplos de una buena conexión del comando debug

Solaris en Catalyst, Norma del encripción de datos triple (3DES), contraseña Telnet

Solaris

rtp-evergreen# ssh -c 3des -v 10.31.1.6
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.31.1.6 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) and host key (1024 bits).
Host key not found from the list of known hosts.
Are you sure you want to continue connecting (yes/no)? yes
Host '10.31.1.6' added to the list of known hosts.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: 3des
rtp-evergreen: Sent encrypted session key.
rtp-evergreen: Installing crc compensation attack detector.
rtp-evergreen: Received encrypted confirmation.
rtp-evergreen: Doing password authentication.
root@10.31.1.6's password: 
rtp-evergreen: Requesting pty.
rtp-evergreen: Failed to get local xauth data.
rtp-evergreen: Requesting X11 forwarding with authentication spoofing.
Warning: Remote host denied X11 forwarding, perhaps xauth program 
   could not be run on the server side. 
rtp-evergreen: Requesting shell.
rtp-evergreen: Entering interactive session.

Cisco Systems Console

sec-cat6000>

Catalyst

sec-cat6000> (enable) debug: _proc->tty = 0x8298a494, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: root
debug: Trying Local Login
Password authentication for root accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 34
Unknown packet type received after authentication: 34
debug: ssh received packet type: 12
debug: ssh88: starting exec shell
debug: Entering interactive session.

PC a Catalyst, 3DES, contraseña de Telnet

Catalyst

debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: des
debug: Received session key; encryption turned on.
debug: ssh login by user: 
debug: Trying Local Login
Password authentication for accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 37
Unknown packet type received after authentication: 37
debug: ssh received packet type: 12
debug: ssh89: starting exec shell
debug: Entering interactive session.

Autenticación de Solaris a Catalyst, 3DES y Autenticación, Autorización y Contabilidad (AAA)

Solaris

Solaris with aaa on:
rtp-evergreen# ssh -c 3des -l abcde123 -v 10.31.1.6
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.31.1.6 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) and host key (1024 bits).
rtp-evergreen: Host '10.31.1.6' is known and matches the host key.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: 3des
rtp-evergreen: Sent encrypted session key.
rtp-evergreen: Installing crc compensation attack detector.
rtp-evergreen: Received encrypted confirmation.
rtp-evergreen: Doing password authentication.
abcde123@10.31.1.6's password: 
rtp-evergreen: Requesting pty.
rtp-evergreen: Failed to get local xauth data.
rtp-evergreen: Requesting X11 forwarding with authentication spoofing.
Warning: Remote host denied X11 forwarding, perhaps xauth program
   could not be run on the server side.
rtp-evergreen: Requesting shell.
rtp-evergreen: Entering interactive session.

Cisco Systems Console

sec-cat6000>

Catalyst

sec-cat6000> (enable) debug: _proc->tty = 0x82a07714, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: abcde123
debug: Trying TACACS+ Login
Password authentication for abcde123 accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 34
Unknown packet type received after authentication: 34
debug: ssh received packet type: 12
debug: ssh88: starting exec shell
debug: Entering interactive session.

Ejemplos de lo que puede salir mal con el comando debug

Depuración de Catalyst con intentos del cliente por utilizar Cifrado Blowfish [no admitido]

debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: blowfish
cipher_set_key: unknown cipher: 6
debug: Calling cleanup

Depuración de Catalyst con contraseña de Telnet incorrecta

debug: _proc->tty = 0x82897414, socket_index = 4
debug: version: SSH-1.5-1.2.26
debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: 
debug: Trying Local Login
debug: Password authentication for failed.

Depuración de Catalyst con autenticación AAA incorrecta

cat6000> (enable) debug: _proc->tty = 0x829abd94, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: junkuser
debug: Trying TACACS+ Login
debug: Password authentication for junkuser failed.
SSH connection closed by remote host.
debug: Calling cleanup

Troubleshooting

Esta sección se ocupa de diversos escenarios de Troubleshooting relacionados con la configuración SSH en los switches Cisco.

No puede conectar para conmutar con SSH

Problema:

No puede conectar con el Switch usando SSH.

El comando del debug ip ssh muestra esta salida:

Jun 15 20:29:26.207: SSH2 1: RSA_sign: private key not found
Jun 15 20:29:26.207: SSH2 1: signature creation failed, status -1

Solución:

Este problema ocurre debido a cualquiera de estas razones:

  • Las nuevas conexiones SSH fallan después de cambiar el nombre de host.

  • SSH configuró con las claves NON-etiquetadas (teniendo el router FQDN).

Las soluciones alternativas para este problema son:

  • Si el nombre de host fue cambiado y SSH está trabajando no más, después ponga a cero la nueva clave y cree otra nueva clave con la escritura de la etiqueta apropiada.

    crypto key zeroize rsa
    crypto key generate rsa general-keys label (label) mod (modulus) [exportable]
  • No utilice las claves anónimas RSA (nombradas después del FQDN del Switch). Utilice las claves etiquetadas en lugar de otro.

    crypto key generate rsa general-keys label (label) mod (modulus) [exportable]

Para resolver este problema para siempre, actualice el software IOS a las versiones unas de los en las cuales se repara este problema.

Un bug se ha clasifiado sobre este problema. Para más información, refiera al Id. de bug Cisco CSCtc41114 (clientes registrados solamente).

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 13881