Как настроить SSH на коммутаторах Catalyst под управлением ОС CatOS
Содержание
Введение
Предварительные условия
Требования
Используемые компоненты
Условные обозначения
Сетевой график
Конфигурация коммутатора
Отключение SSH
Отладка в Catalyst
Команда debug, примеры хорошего подключения
Solaris для Catalyst, стандарт тройного шифрования данных (3DES), пароль Telnet
ПК к Catalyst, 3DES, пароль Telnet
Solaris до Catalyst, 3DES, аутентификация, авторизация и учет (AAA)
Команда debug, примеры возможных проблем
Отладка Catalyst, когда клиент делает [неподдерживаемую] попытку шифрования по алгоритму Blowfish
Отладка ускорителя процесса с неверным паролем протокола сети связи
Отладка Catalyst с недействительной проверкой подлинности AAA
Дополнительные сведения
Введение
Этот документ содержит пошаговые инструкции по настройке Secure Shell (SSH) версии 1 на коммутаторах Catalyst под управлением Catalyst OS (CatOS). Тестировалась версия cat6000-supk9.6-1-1c.bin.
Предварительные условия
Требования
Данная таблица показывает состояние поддержки SSH в коммутаторах. Зарегистрированные пользователи могут увидеть образы этого программного обеспечения, посетив Software Center (только для зарегистрированных клиентов).
CatOS SSH |
|
|---|---|
Устройство |
Поддержка SSH |
Cat 4000/4500/2948G/2980G (CatOS) |
образы K9, начиная с 6.1 |
Cat 5000/5500 (CatOS) |
образы K9, начиная с 6.1 |
Cat 6000/6500 (CatOS) |
образы K9, начиная с 6.1 |
IOS SSH |
|
Устройство |
Поддержка SSH |
Cat 2950* |
12.1(12c)EA1 и более поздние |
Cat 3550* |
12.1(11)EA1 и более поздние |
Cat 4000/4500 (ПО интегрированной Cisco IOS)* |
12.1(13)EW и более поздние ** |
Cat 6000/5500 (ПО интегрированной Cisco IOS)* |
12.1(11b)E и более поздние |
Cat 8540/8510 |
12.1(12c)EY и более поздние, 12.1(14)E1 и более поздние |
Нет SSH |
|
Устройство |
Поддержка SSH |
Cat 1900 |
нет |
Cat 2800 |
нет |
Cat 2948G-L3 |
нет |
Cat 2900XL |
нет |
Cat 3500XL |
нет |
Cat 4840G-L3 |
нет |
Cat 4908G-L3 |
нет |
* Настройка описана в Настройка Secure Shell на маршрутизаторах Cisco IOS.
** Поддержка SSH отсутствует в релизе 12.1E для Catalyst 4000 под управлением программного обеспечения интегрированной Cisco IOS.
Для применения в 3DES см. Encryption Software Export Distribution Authorization Form.
В этом документе предполагается, что аутентификация производится до реализации SSH (через пароль Telnet, TACACS+) или RADIUS. SSH с Kerberos не поддерживается до реализации SSH.
Используемые компоненты
Этот документ касается только Catalyst 2948G, Catalyst 2980G, Catalyst серии 4000/4500, Catalyst серии 5000/5500 и Catalyst серии 6000/6500 под управлением CatOS образа K9. Дополнительные сведения см. в разделе Требования данного документа.
Сведения, представленные в данном документе, были получены на тестовом оборудовании в специально созданных лабораторных условиях. При написании данного документа использовались только данные, полученные от устройств с конфигурацией по умолчанию. При работе с реально функционирующей сетью необходимо полностью осознавать возможные последствия выполнения команд до их применения.
Условные обозначения
Дополнительные сведения об условных обозначениях в документах см. в разделе Технические советы Cisco. Условные обозначения.
Сетевой график
Конфигурация коммутатора
!--- Создайте и проверьте ключ RSA. sec-cat6000> (enable) set crypto key rsa 1024 Generating RSA keys..... [OK] sec-cat6000> (enable) ssh_key_process: host/server key size: 1024/768 !--- Выведите ключ RSA на экран. sec-cat6000> (enable) show crypto key RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360 577332853671704785709850606634768746869716963940352440620678575338701550888525 699691478330537840066956987610207810959498648179965330018010844785863472773067 697185256418386243001881008830561241137381692820078674376058275573133448529332 1996682019301329470978268059063378215479385405498193061651 !--- Укажите, каким узлам и подсетям разрешено использовать SSH для коммутатора. !--- Примечание. Если этого не сделать, коммутатор выдаст сообщение !--- WARNING!! IP permit list has no entries! (предупреждение. Список разрешенных IP-адресов пуст.) sec-cat6000> set ip permit 172.18.124.0 255.255.255.0 172.18.124.0 with mask 255.255.255.0 added to IP permit list. !--- Включите SSH. sec-cat6000> (enable) set ip permit enable ssh SSH permit list enabled. !--- Проверьте список разрешенных адресов для SSH. sec-cat6000> (enable) show ip permit Telnet permit list disabled. Ssh permit list enabled. Snmp permit list disabled. Permit List Mask Access-Type ---------------- ---------------- ------------- 172.18.124.0 255.255.255.0 telnet ssh snmp Denied IP Address Last Accessed Time Type ----------------- ------------------ ------
Отключение SSH
В некоторых ситуациях может возникнуть необходимость в отключении SSH на коммутаторе. Необходимо проверить, настроен ли SSH на коммутаторе, и если да, отключить его.
Чтобы проверить, был ли SSH настроен на коммутаторе, введите команду show crypto key. Если выводится ключ RSA, SSH настроен и включен на коммутаторе. Ниже приводится пример.
sec-cat6000> (enable) show crypto key RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360 577332853671704785709850606634768746869716963940352440620678575338701550888525 699691478330537840066956987610207810959498648179965330018010844785863472773067 697185256418386243001881008830561241137381692820078674376058275573133448529332 1996682019301329470978268059063378215479385405498193061651
Чтобы удалить ключ шифрования, введите команду clear crypto key rsa для отключения SSH на коммутаторе. Ниже приводится пример.
sec-cat6000> (enable) clear crypto key rsa Do you really want to clear RSA keys (y/n) [n]? y RSA keys has been cleared. sec-cat6000> (enable)
Отладка в Catalyst
Чтобы включить отладку, введите команду set trace ssh 4.
Чтобы выключить отладку, введите команду set trace ssh 0.
Команда debug, примеры хорошего подключения
Solaris для Catalyst, стандарт тройного шифрования данных (3DES), пароль Telnet
Solaris
rtp-evergreen# ssh -c 3des -v 10.31.1.6 SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5. Compiled with RSAREF. rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0 rtp-evergreen: Allocated local port 1023. rtp-evergreen: Connecting to 10.31.1.6 port 22. rtp-evergreen: Connection established. rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26 rtp-evergreen: Waiting for server public key. rtp-evergreen: Received server public key (768 bits) and host key (1024 bits). Host key not found from the list of known hosts. Are you sure you want to continue connecting (yes/no)? yes Host '10.31.1.6' added to the list of known hosts. rtp-evergreen: Initializing random; seed file //.ssh/random_seed rtp-evergreen: Encryption type: 3des rtp-evergreen: Sent encrypted session key. rtp-evergreen: Installing crc compensation attack detector. rtp-evergreen: Received encrypted confirmation. rtp-evergreen: Doing password authentication. root@10.31.1.6's password: rtp-evergreen: Requesting pty. rtp-evergreen: Failed to get local xauth data. rtp-evergreen: Requesting X11 forwarding with authentication spoofing. Warning: Remote host denied X11 forwarding, perhaps xauth program could not be run on the server side. rtp-evergreen: Requesting shell. rtp-evergreen: Entering interactive session. Cisco Systems Console sec-cat6000>
Catalyst
sec-cat6000> (enable) debug: _proc->tty = 0x8298a494, socket_index = 3 debug: version: SSH-1.5-1.2.26 debug: Client protocol version 1.5; client software version 1.2.26 debug: Sent 768 bit public key and 1024 bit host key. debug: Encryption type: 3des debug: Received session key; encryption turned on. debug: ssh login by user: root debug: Trying Local Login Password authentication for root accepted. debug: ssh received packet type: 10 debug: ssh received packet type: 34 Unknown packet type received after authentication: 34 debug: ssh received packet type: 12 debug: ssh88: starting exec shell debug: Entering interactive session.
ПК к Catalyst, 3DES, пароль Telnet
Catalyst
debug: Client protocol version 1.5; client software version W1.0 debug: Sent 768 bit public key and 1024 bit host key. debug: Encryption type: des debug: Received session key; encryption turned on. debug: ssh login by user: debug: Trying Local Login Password authentication for accepted. debug: ssh received packet type: 10 debug: ssh received packet type: 37 Unknown packet type received after authentication: 37 debug: ssh received packet type: 12 debug: ssh89: starting exec shell debug: Entering interactive session.
Solaris до Catalyst, 3DES, аутентификация, авторизация и учет (AAA)
Solaris
Solaris with aaa on: rtp-evergreen# ssh -c 3des -l abcde123 -v 10.31.1.6 SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5. Compiled with RSAREF. rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0 rtp-evergreen: Allocated local port 1023. rtp-evergreen: Connecting to 10.31.1.6 port 22. rtp-evergreen: Connection established. rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26 rtp-evergreen: Waiting for server public key. rtp-evergreen: Received server public key (768 bits) and host key (1024 bits). rtp-evergreen: Host '10.31.1.6' is known and matches the host key. rtp-evergreen: Initializing random; seed file //.ssh/random_seed rtp-evergreen: Encryption type: 3des rtp-evergreen: Sent encrypted session key. rtp-evergreen: Installing crc compensation attack detector. rtp-evergreen: Received encrypted confirmation. rtp-evergreen: Doing password authentication. abcde123@10.31.1.6's password: rtp-evergreen: Requesting pty. rtp-evergreen: Failed to get local xauth data. rtp-evergreen: Requesting X11 forwarding with authentication spoofing. Warning: Remote host denied X11 forwarding, perhaps xauth program could not be run on the server side. rtp-evergreen: Requesting shell. rtp-evergreen: Entering interactive session. Cisco Systems Console sec-cat6000>
Catalyst
sec-cat6000> (enable) debug: _proc->tty = 0x82a07714, socket_index = 3 debug: version: SSH-1.5-1.2.26 debug: Client protocol version 1.5; client software version 1.2.26 debug: Sent 768 bit public key and 1024 bit host key. debug: Encryption type: 3des debug: Received session key; encryption turned on. debug: ssh login by user: abcde123 debug: Trying TACACS+ Login Password authentication for abcde123 accepted. debug: ssh received packet type: 10 debug: ssh received packet type: 34 Unknown packet type received after authentication: 34 debug: ssh received packet type: 12 debug: ssh88: starting exec shell debug: Entering interactive session.
Команда debug, примеры возможных проблем
Отладка Catalyst, когда клиент делает [неподдерживаемую] попытку шифрования по алгоритму Blowfish
debug: Client protocol version 1.5; client software version W1.0 debug: Sent 768 bit public key and 1024 bit host key. debug: Encryption type: blowfish cipher_set_key: unknown cipher: 6 debug: Calling cleanup
Отладка ускорителя процесса с неверным паролем протокола сети связи
debug: _proc->tty = 0x82897414, socket_index = 4 debug: version: SSH-1.5-1.2.26 debug: Client protocol version 1.5; client software version W1.0 debug: Sent 768 bit public key and 1024 bit host key. debug: Encryption type: 3des debug: Received session key; encryption turned on. debug: ssh login by user: debug: Trying Local Login debug: Password authentication for failed.
Отладка Catalyst с недействительной проверкой подлинности AAA
cat6000> (enable) debug: _proc->tty = 0x829abd94, socket_index = 3 debug: version: SSH-1.5-1.2.26 debug: Client protocol version 1.5; client software version 1.2.26 debug: Sent 768 bit public key and 1024 bit host key. debug: Encryption type: 3des debug: Received session key; encryption turned on. debug: ssh login by user: junkuser debug: Trying TACACS+ Login debug: Password authentication for junkuser failed. SSH connection closed by remote host. debug: Calling cleanup
Дополнительные сведения
- Страница поддержки SSH
- Настройка Secure Shell на маршрутизаторах Cisco IOS
- Bug Toolkit - Поиск ошибок, связанных с SSH, на коммутаторах Catalyst под управлением ОС CatOS
- Техническая поддержка - Cisco Systems
Обратная связь