Cisco IOS를 실행 중인 라우터 및 스위치에서 Secure Shell 구성

소개

SSH(Secure Shell)는 네트워크 디바이스에 대한 보안 원격 액세스 연결을 제공하는 프로토콜입니다. 클라이언트와 서버 간의 통신은 SSH 버전 1 및 SSH 버전 2에서 모두 암호화됩니다. 더욱 강화된 보안 암호화 알고리즘을 사용하므로 가능한 경우 SSH 버전 2를 구현합니다.

이 문서에서는 SSH를 지원하는 Cisco IOS^{® Software 버전을 실행하는 Cisco 라우터 또는 스위치에서 SSH를 구성하고 디버그하는 방법에 대해 설명합니다.} 여기에는 특정 버전 및 소프트웨어 이미지에 대한 자세한 정보가 포함되어 있습니다.

사전 요구 사항

요구 사항

SSH를 지원하려면 사용된 Cisco IOS 이미지가 k9(암호화) 이미지여야 합니다. 예를 들어, c3750e-universalk9-tar.122-35.SE5.tar이 k9(암호화) 이미지입니다.

사용되는 구성 요소

이 문서의 정보는 Cisco IOS 3600 Software(C3640-IK9S-M), 릴리스 12.2(2)T1을 기준으로 합니다.

SSH는 다음 Cisco IOS 플랫폼 및 이미지에 도입되었습니다.

• SSH 버전 1.0(SSH v1) 서버는 Cisco IOS Software 릴리스 12.0.5.S에서 시작하는 일부 Cisco IOS 플랫폼 및 이미지에서 도입되었습니다.

• SSH 클라이언트는 Cisco IOS Software 릴리스 12.1.3.T에서 시작하는 일부 Cisco IOS 플랫폼 및 이미지에서 도입되었습니다.

• SSH 터미널-라인 액세스(역방향 Telnet이라고도 함)는 Cisco IOS Software 릴리스 12.2.2.T에서 시작하는 일부 Cisco IOS 플랫폼 및 이미지에 도입되었습니다.

• SSH 버전 2.0(SSH v2) 지원은 Cisco IOS Software 릴리스 12.1(19)E에서 시작하는 일부 Cisco IOS 플랫폼 및 이미지에서 도입되었습니다.

• 스위치의 SSH 지원에 대한 자세한 내용은 CatOS를 실행하는 Catalyst 스위치에서 SSH를 구성하는 방법을 참조하십시오.

여러 Cisco IOS Software 릴리스 및 여러 플랫폼에서 지원되는 전체 기능 목록은 Software Advisor(등록된 고객만)를 참조하십시오.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 사용하기 전에 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

SSH v1과 SSH v2 비교

SSH v1 또는 SSH v2를 적절하게 지원하는 코드 버전을 찾으려면 Cisco Software Advisor(등록된 고객만)를 사용하십시오.

네트워크 다이어그램

인증 테스트

SSH를 사용하지 않은 인증 테스트

SSH를 추가하기 전에 라우터 Carter에서 인증이 작동하는지 확인하기 위해 먼저 SSH를 사용하지 않고 인증을 테스트합니다. 인증은 로컬 사용자 이름 및 비밀번호 또는 TACACS+ 또는 RADIUS를 실행하는 AAA(Authentication, Authorization, and Accounting) 서버를 사용하여 수행할 수 있습니다. (SSH에서는 회선 비밀번호를 통한 인증을 수행할 수 없습니다.) 이 예에서는 사용자 이름 "cisco"와 암호 "cisco"를 사용하여 Telnet을 통해 라우터에 연결하는 로컬 인증을 보여줍니다.

!--- The aaa new-model command causes the local username and password on the router !--- to be used in the absence of other AAA statements.

aaa new-model
username cisco password 0 cisco
line vty 0 4
transport input telnet

!--- Instead of aaa new-model, you can use the login local command.

SSH를 사용한 인증 테스트

SSH를 사용하여 인증을 테스트하려면 Carter에서 SSH를 활성화하고 PC 및 UNIX 스테이션에서 SSH를 테스트할 수 있도록 이전 명령문에 추가해야 합니다.

ip domain-name rtp.cisco.com

!--- Generate an SSH key to be used with SSH.

crypto key generate rsa
ip ssh time-out 60
ip ssh authentication-retries 2

이 시점에서 show crypto key mypubkey rsa 명령은 생성된 키를 표시해야 합니다. SSH 컨피그레이션을 추가한 후 PC 및 UNIX 스테이션에서 라우터에 액세스하는 기능을 테스트합니다. 이 기능이 작동하지 않으면 이 문서의 디버그 섹션을 참조하십시오.

선택적 컨피그레이션 설정

비 SSH 연결 방지

비 SSH 연결을 방지하려면 라인 아래에 transport input ssh 명령을 추가하여 라우터를 SSH 연결 전용으로 제한합니다. 직접(비 SSH) Telnet은 거부됩니다.

line vty 0 4

!--- Prevent non-SSH Telnets.

transport input ssh

비 SSH 사용자가 라우터 Carter에 Telnet을 통해 연결할 수 없는지 테스트합니다.

IOS 라우터 또는 스위치를 SSH 클라이언트로 설정

Cisco IOS 라우터에서 SSH 지원을 활성화하려면 다음 4단계를 수행해야 합니다.

1. hostname 명령을 구성합니다.

2. DNS 도메인을 구성합니다.

3. 사용할 SSH 키를 생성합니다.

4. 가상 유형 터미널(vtys)에 대해 SSH 전송 지원을 활성화합니다.

디바이스 하나가 다른 디바이스의 SSH 클라이언트로 작동하도록 하려는 경우 Reed라는 두 번째 디바이스에 SSH를 추가할 수 있습니다. 이러한 디바이스는 서버-클라이언트 배열이며, 여기서 Carter가 서버로, Reed가 클라이언트로 작동합니다. Reed의 Cisco IOS SSH 클라이언트 컨피그레이션은 Carter의 SSH 서버 컨피그레이션과 동일합니다.

!--- Step 1: Configure the hostname if you have not previously done so.

hostname carter

!--- The aaa new-model command causes the local username and password on the router !--- to be used in the absence of other AAA statements.

aaa new-model
username cisco password 0 cisco

!--- Step 2: Configure the DNS domain of the router.

ip domain-name rtp.cisco.com

!--- Step 3: Generate an SSH key to be used with SSH.

crypto key generate rsa
ip ssh time-out 60
ip ssh authentication-retries 2

!--- Step 4: By default the vtys' transport is Telnet. In this case, !--- Telnet is disabled and only SSH is supported.

line vty 0 4
transport input SSH

!--- Instead of aaa new-model, you can use the login local command.

이 사항을 테스트하기 위해 Cisco IOS SSH 클라이언트(Reed)에서 Cisco IOS SSH 서버(Carter)로 SSH에 대한 다음 명령을 실행합니다.

• SSH v1:

  ssh -l cisco -c 3des 10.13.1.99
  

• SSH v2:

  ssh -v 2 -c aes256-cbc -m hmac-sha1-160 -l cisco 10.31.1.99
  

RSA 기반 사용자 인증을 수행하는 SSH 서버로 IOS 라우터 설정

RSA 기반 인증을 수행하도록 SSH 서버를 구성하려면 다음 단계를 수행하십시오.

1. 호스트 이름을 지정합니다.

   Router(config)#hostname 
          
          
   

2. 기본 도메인 이름을 정의합니다.

   Router(config)#ip domain-name 
          
          
   

3. RSA 키 쌍을 생성합니다.

   Router(config)#crypto key generate rsa
   

4. 사용자 및 서버 인증을 위해 SSH-RSA 키를 구성합니다.

   Router(config)#ip ssh pubkey-chain
   

5. SSH 사용자 이름을 구성합니다.

   Router(conf-ssh-pubkey)#username 
          
          
   

6. 원격 사용자의 RSA 공개 키를 지정합니다.

   Router(conf-ssh-pubkey-user)#key-string
   

7. SSH 키 유형 및 버전을 지정합니다. (선택 사항)

   Router(conf-ssh-pubkey-data)#key-hash ssh-rsa 
          
          
   

8. 현재 모드를 종료하고 권한 EXEC 모드로 돌아갑니다.

   Router(conf-ssh-pubkey-data)#end
   

   참고: 자세한 내용은 Secure Shell 버전 2 지원을 참조하십시오.

SSH 터미널-라인 액세스 추가

아웃바운드 SSH 터미널-라인 인증이 필요한 경우, Philly에 대한 통신 서버 역할을 하는 Carter를 통해 아웃바운드 역방향 Telnet에 대한 SSH를 구성 및 테스트할 수 있습니다.

ip ssh port 2001 rotary 1
line 1 16
   no exec
   rotary 1
   transport input ssh
   exec-timeout 0 0
   modem In Out
   Stopbits 1

Philly가 Carter의 포트 2에 연결된 경우 다음 명령을 사용하여 Reed에서 Carter를 통해 Philly에 대한 SSH를 구성할 수 있습니다.

• SSH v1:

  ssh -c 3des -p 2002 10.13.1.99
  

• SSH v2:

  ssh -v 2 -c aes256-cbc -m hmac-sha1-160 -p 2002 10.31.1.99
  

다음 명령을 Solaris에서 사용할 수 있습니다.

ssh -c 3des -p 2002 -x -v 10.13.1.99

서브넷으로 SSH 액세스 제한

SSH 연결을 특정 하위 네트워크로 제한해야 합니다. 이 경우, 해당 하위 네트워크를 벗어난 IP에서의 다른 모든 SSH 시도는 차단되어야 합니다.

다음 단계에 따라 이 작업을 수행할 수 있습니다.

1. 특정 하위 네트워크의 트래픽을 허용하는 액세스 목록을 정의합니다.

2. access-class를 사용하여 VTY 라인 인터페이스로 액세스를 제한합니다.

다음은 컨피그레이션을 보여주는 예입니다. 이 예에서는 10.10.10.0 255.255.255.0 서브넷에 대한 SSH 액세스만 허용되며, 다른 모든 액세스는 거부됩니다.

Router(config)#access-list 23 permit 10.10.10.0 0.0.0.255
Router(config)#line vty 5 15
Router(config-line)#transport input ssh
Router(config-line)#access-class 23 in
Router(config-line)#exit

참고: 스위치 플랫폼에서도 SSH 액세스를 잠그기 위한 동일한 절차를 사용할 수 있습니다.

SSH 버전 구성

SSH v1 구성:

carter(config)#ip ssh version 1

SSH v2 구성:

carter(config)#ip ssh version 2

SSH v1 및 v2 구성:

carter(config)#no ip ssh version

참고: SSHv1을 사용할 때 다음 오류 메시지가 표시됩니다.

%SCHED-3-THRASHING: Process thrashing on watched message event.

참고: Cisco 버그 ID CSCsu51740(등록된 고객만 해당)이 이 문제에 대해 접수되었습니다. 해결 방법은 SSHv2를 구성하는 것입니다.

banner 명령 출력에 대한 변형

banner 명령 출력은 Telnet과 여러 버전의 SSH 연결에 따라 달라집니다. 다음 표에서는 여러 banner 명령 옵션이 다양한 유형의 연결과 작동하는 방식을 보여줍니다.

Banner 명령 옵션	Telnet	SSH v1만	SSH v1 및 v2	SSH v2만
banner login	디바이스에 로그인하기 전에 표시됩니다.	표시되지 않습니다.	디바이스에 로그인하기 전에 표시됩니다.	디바이스에 로그인하기 전에 표시됩니다.
banner motd	디바이스에 로그인하기 전에 표시됩니다.	디바이스에 로그인한 후에 표시됩니다.	디바이스에 로그인한 후에 표시됩니다.	디바이스에 로그인한 후에 표시됩니다.
banner exec	디바이스에 로그인한 후에 표시됩니다.	디바이스에 로그인한 후에 표시됩니다.	디바이스에 로그인한 후에 표시됩니다.	디바이스에 로그인한 후에 표시됩니다.

로그인 배너를 표시할 수 없음

SSH 버전 2는 로그인 배너를 지원합니다. SSH 클라이언트가 Cisco 라우터를 사용하여 SSH 세션을 시작할 때 SSH 클라이언트가 사용자 이름을 전송하는 경우 로그인 배너가 표시됩니다. 예를 들어, Secure Shell ssh 클라이언트를 사용하는 경우 로그인 배너가 표시됩니다. PuTTY ssh 클라이언트를 사용하는 경우 로그인 배너가 표시되지 않습니다. 이는 Secure Shell이 기본적으로 사용자 이름을 전송하고 PuTTY는 기본적으로 사용자 이름을 전송하지 않기 때문입니다.

SSH 지원 디바이스에 대한 연결을 시작하려면 Secure Shell 클라이언트에는 사용자 이름이 필요합니다. 호스트 이름과 사용자 이름을 입력하지 않으면 Connect(연결) 버튼이 활성화되지 않습니다. 이 스크린샷은 Secure Shell이 라우터에 연결될 때 로그인 배너가 표시됨을 보여줍니다. 로그인 배너 암호를 입력하라는 메시지가 표시됩니다.

PuTTY 클라이언트는 사용자 이름이 없어도 해당 라우터에 대한 SSH 연결을 시작할 수 있습니다. 이 스크린샷은 PuTTY 클라이언트가 라우터에 연결되고 사용자 이름과 암호를 입력하라는 메시지가 표시됨을 보여줍니다. 로그인 배너는 표시되지 않습니다.

이 스크린샷은 PuTTY가 라우터로 사용자 이름을 전송하도록 구성된 경우 로그인 배너가 표시됨을 보여줍니다.

debug 및 show 명령

여기서 설명하고 보여준 debug 명령을 실행하기 전에 Debug 명령에 대한 중요한 정보를 참조하십시오. 일부 show 명령은 출력 인터프리터 툴 에서 지원되는데(등록된 고객만), 이 툴을 사용하면 show 명령 출력의 분석 결과를 볼 수 있습니다.

• debug ip ssh—SSH에 대한 디버그 메시지를 표시합니다.

• show ssh—SSH 서버의 연결 상태를 표시합니다.

  carter#show ssh
    Connection    Version Encryption    State              Username
     0            1.5     DES           Session started    cisco

• show ip ssh—SSH에 대한 버전 및 구성 데이터를 표시합니다.

  • 버전 1 연결 및 버전 2 없음

    carter#show ip ssh
      SSH Enabled - version 1.5
      Authentication timeout: 60 secs; Authentication retries: 2

  • 버전 2 연결 및 버전 1 없음

    carter#show ip ssh
      SSH Enabled - version 2.0
      Authentication timeout: 120 secs; Authentication retries: 3

  • 버전 1 및 버전 2 연결

    carter#show ip ssh
      SSH Enabled - version 1.99
      Authentication timeout: 120 secs; Authentication retries: 3

디버그 출력 샘플

라우터 디버그

참고: 이 좋은 디버그 출력 중 일부는 공간 고려 사항으로 인해 여러 행에 래핑됩니다.

00:23:20: SSH0: starting SSH control process
00:23:20: SSH0: sent protocol version id SSH-1.5-Cisco-1.25
00:23:20: SSH0: protocol version id is - SSH-1.5-1.2.26
00:23:20: SSH0: SSH_SMSG_PUBLIC_KEY msg
00:23:21: SSH0: SSH_CMSG_SESSION_KEY msg - length 112, type 0x03
00:23:21: SSH: RSA decrypt started
00:23:21: SSH: RSA decrypt finished
00:23:21: SSH: RSA decrypt started
00:23:21: SSH: RSA decrypt finished
00:23:21: SSH0: sending encryption confirmation
00:23:21: SSH0: keys exchanged and encryption on
00:23:21: SSH0: SSH_CMSG_USER message received
00:23:21: SSH0: authentication request for userid cisco
00:23:21: SSH0: SSH_SMSG_FAILURE message sent
00:23:23: SSH0: SSH_CMSG_AUTH_PASSWORD message received
00:23:23: SSH0: authentication successful for cisco
00:23:23: SSH0: requesting TTY
00:23:23: SSH0: setting TTY - requested: length 24, width 80; set:
   length 24, width 80
00:23:23: SSH0: invalid request - 0x22
00:23:23: SSH0: SSH_CMSG_EXEC_SHELL message received
00:23:23: SSH0: starting shell for vty

서버 디버그

참고: 이 출력은 Solaris 시스템에서 캡처되었습니다.

rtp-evergreen.rtp.cisco.com#ssh -c 3des -l cisco -v 10.31.1.99
rtp-evergreen#/opt/CISssh/bin/ssh -c 3des -l cisco -v 10.13.1.99
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.13.1.99 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, 
   remote software version Cisco-1.25
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) 
   and host key (512 bits).
rtp-evergreen: Host '10.13.1.99' is known and matches the host key.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: 3des
rtp-evergreen: Sent encrypted session key.
rtp-evergreen: Installing crc compensation attack detector.
rtp-evergreen: Received encrypted confirmation.
rtp-evergreen: Doing password authentication.
cisco@10.13.1.99's password: 
rtp-evergreen: Requesting pty.
rtp-evergreen: Failed to get local xauth data.
rtp-evergreen: Requesting X11 forwarding with authentication spoofing.
Warning: Remote host denied X11 forwarding, perhaps xauth program
   could not be run on the server side.
rtp-evergreen: Requesting shell.
rtp-evergreen: Entering interactive session.

문제가 될 수 있는 부분

다음 섹션에는 여러 가지 잘못된 컨피그레이션의 디버그 출력 샘플이 나와 있습니다.

SSH 클라이언트의 SSH가 DES(Data Encryption Standard)로 컴파일되지 않음

Solaris 디버그

rtp-evergreen#/opt/CISssh/bin/ssh -c des -l cisco -v 10.13.1.99
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.13.1.99 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, 
   remote software version Cisco-1.25
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) 
   and host key (512 bits).
rtp-evergreen: Host '10.13.1.99' is known and matches the host key.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: des
rtp-evergreen: Sent encrypted session key.
cipher_set_key: unknown cipher: 2

라우터 디버그

00:24:41: SSH0: Session terminated normally
00:24:55: SSH0: starting SSH control process
00:24:55: SSH0: sent protocol version id SSH-1.5-Cisco-1.25
00:24:55: SSH0: protocol version id is - SSH-1.5-1.2.26
00:24:55: SSH0: SSH_SMSG_PUBLIC_KEY msg
00:24:55: SSH0: SSH_CMSG_SESSION_KEY msg - length 112, type 0x03
00:24:55: SSH: RSA decrypt started
00:24:56: SSH: RSA decrypt finished
00:24:56: SSH: RSA decrypt started
00:24:56: SSH: RSA decrypt finished
00:24:56: SSH0: sending encryption confirmation
00:24:56: SSH0: Session disconnected - error 0x07

잘못된 암호

라우터 디버그

00:26:51: SSH0: starting SSH control process
00:26:51: SSH0: sent protocol version id SSH-1.5-Cisco-1.25
00:26:52: SSH0: protocol version id is - SSH-1.5-1.2.26
00:26:52: SSH0: SSH_SMSG_PUBLIC_KEY msg
00:26:52: SSH0: SSH_CMSG_SESSION_KEY msg - length 112, type 0x03
00:26:52: SSH: RSA decrypt started
00:26:52: SSH: RSA decrypt finished
00:26:52: SSH: RSA decrypt started
00:26:52: SSH: RSA decrypt finished
00:26:52: SSH0: sending encryption confirmation
00:26:52: SSH0: keys exchanged and encryption on
00:26:52: SSH0: SSH_CMSG_USER message received
00:26:52: SSH0: authentication request for userid cisco
00:26:52: SSH0: SSH_SMSG_FAILURE message sent
00:26:54: SSH0: SSH_CMSG_AUTH_PASSWORD message received
00:26:54: SSH0: password authentication failed for cisco
00:26:54: SSH0: SSH_SMSG_FAILURE message sent
00:26:54: SSH0: authentication failed for cisco (code=7)
00:26:54: SSH0: Session disconnected - error 0x07

SSH 클라이언트가 지원되지 않는 (Blowfish) 암호 전송

라우터 디버그

00:39:26: SSH0: starting SSH control process
00:39:26: SSH0: sent protocol version id SSH-1.5-Cisco-1.25
00:39:26: SSH0: protocol version id is - SSH-1.5-W1.0
00:39:26: SSH0: SSH_SMSG_PUBLIC_KEY msg
00:39:26: SSH0: SSH_CMSG_SESSION_KEY msg - length 112, type 0x03
00:39:26: SSH0: Session disconnected - error 0x20

"% SSH-3-PRIVATEKEY: Unable to retrieve RSA private key for"(% SSH-3-PRIVATEKEY: RSA 개인 키를 검색할 수 없음)" 오류 발생

이 오류 메시지가 표시되는 경우에는 도메인 이름 또는 호스트 이름의 변경이 원인일 수 있습니다. 이 문제를 해결하려면 다음 해결 방법을 시도해 보십시오.

• RSA 키를 0으로 만들고 다시 생성합니다.

  crypto key zeroize rsa label key_name
  crypto key generate rsa label key_name modulus key_size

• 이전 해결 방법으로 문제가 해결되지 않으면 다음 단계를 시도해 보십시오.

  1. 모든 RSA 키를 0으로 만듭니다.

  2. 디바이스를 다시 로드합니다.

  3. SSH용으로 레이블이 지정된 새 키를 생성합니다.

이 문제를 해결하기 위해 Cisco 버그 ID CSCsa83601(등록된 고객만)이 제출되었습니다.

문제 해결 정보

• SSH 컨피그레이션 명령이 잘못된 명령으로 거부된 경우 라우터에 대한 RSA 키 쌍을 생성하지 못합니다. 호스트 이름과 도메인을 지정했는지 확인해야 합니다. 그런 다음 crypto key generate rsa 명령을 사용하여 RSA 키 쌍을 생성하고 SSH 서버를 활성화합니다.

• RSA 키 쌍을 구성할 때 다음과 같은 오류 메시지가 나타날 수 있습니다.

  1. 호스트 이름이 지정되지 않음

     hostname 전역 컨피그레이션 명령을 사용하여 라우터의 호스트 이름을 구성해야 합니다.

  2. 지정된 도메인 없음

     ip domain-name 전역 컨피그레이션 명령을 사용하여 라우터의 호스트 도메인을 구성해야 합니다.

• 허용되는 SSH 연결 수는 라우터에 대해 구성된 최대 vtys 수로 제한됩니다. 각 SSH 연결은 vty 리소스를 사용합니다.

• SSH는 사용자 인증을 위해 라우터에서 AAA를 통해 구성된 보안 프로토콜 또는 로컬 보안을 사용합니다. AAA를 구성할 때는 콘솔에서 AAA를 비활성화하기 위해 전역 컨피그레이션 모드에서 키워드를 적용하여 콘솔이 AAA에서 실행되고 있지 않은지 확인해야 합니다.

• SSH 서버 연결이 실행되고 있지 않습니다.

  carter#show ssh
  
  %No SSHv2 server connections running.
  %No SSHv1 server connections running.

  이 출력은 SSH 서버가 비활성화되었거나 올바르게 활성화되지 않았음을 나타냅니다. 이미 SSH를 구성한 경우에는 디바이스에서 SSH 서버를 재구성하는 것이 좋습니다. 디바이스에서 SSH 서버를 재구성하려면 다음 단계를 수행하십시오.

  1. RSA 키 쌍을 삭제합니다. RSA 키 쌍이 삭제되면 SSH 서버가 자동으로 비활성화됩니다.

     carter(config)#crypto key zeroize rsa
     

     참고: SSH v2를 활성화할 때 최소 768비트 크기의 키 쌍을 생성해야 합니다.

     주의: 구성을 저장한 후에는 이 명령을 실행 취소할 수 없으며 RSA 키가 삭제된 후에는 RSA 키를 다시 생성하고, CA 인증서를 가져오고, 자체 인증서를 다시 요청하여 CA 상호 운용성을 재구성하지 않으면 인증서 또는 CA를 사용하거나 다른 IP 보안(IPSec) 피어와의 인증서 교환에 참여할 수 없습니다.암호화 키 0ize - Cisco IOS Security 명령 참조, 릴리스 12.3 이 명령에 대한 정보.

  2. 디바이스의 호스트 이름과 도메인 이름을 다시 구성합니다.

     carter(config)#hostname hostname
     
     carter(config)#ip domain-name domainname
     
     

  3. 라우터에 대한 RSA 키 쌍을 생성하여 자동으로 SSH를 활성화합니다.

     carter(config)#crypto key generate rsa
     

     이 명령의 사용법에 대한 자세한 내용은 crypto key generate rsa - Cisco IOS Security 명령 참조, 릴리스 12.3을 참조하십시오.

     참고: SSH2 0을 수신할 수 있습니다. 예기치 않은 메시지 유형이 수신됨 오류 메시지가 표시될 수 있습니다. 이 문제를 해결하려면 ssh에 대한 rsa 키를 생성하는 동안 키 길이를 늘리십시오.

  4. SSH 서버를 구성합니다. SSH 서버에 대해 Cisco 라우터/스위치를 활성화 및 구성하기 위해 SSH 매개 변수를 구성할 수 있습니다. SSH 매개 변수를 구성하지 않으면 기본값이 사용됩니다.

     ip ssh {[timeout seconds] | [authentication-retries integer]}

     carter(config)# ip ssh
     

     이 명령의 사용법에 대한 자세한 내용은 ip ssh - Cisco IOS Security 명령 참조, 릴리스 12.3을 참조하십시오.

관련 정보

• CatOS를 실행하는 Catalyst 스위치에서 SSH를 구성하는 방법
• Secure Shell Version 2 지원
• SSH 제품 지원 페이지
• 기술 지원 및 문서 − Cisco Systems