Настроювання SSH

Слід призначити пристрою ім’я, вибрати доменне ім’я та згенерувати пару ключів RSA:

Rt# configure terminal

Rt(config)# hostname Sw1

Rt(config)# ip domain-name my_domain

Rt(config)# crypto key generate rsa(general-keys modulus 1024)

Rt(config)# crypto key zeroize rsa - стерти секретні ключі

Далі слід задати команди

Rt(config)# username name secret secret

Rt(config)# line vty 0 4

Rt(config-line)# login local

Rt(config-line)# transport input ssh

Rt(config-line)# exit

Можна також вказати ще такі параметри

Rt(config)# ip ssh version 2 - задання версії ssh

Cisco IOS Release 12.1(1)T підтримує SSHv1, а 12.3(4)T - і SSHv2

Rt(config)# ip ssh time-out 60 - (за замовчанням – 120 сек).

Rt(config)# ip ssh authentication-retries 2 - задання кількість спроб автентифікації до від’єднання (за замовчанням - 3).

Перевірити конфігурування SSH можна за командою show ip ssh.

Зайти з роутера на розтер по SSH можна так

Rt#ssh -v 2 -l bob 10.1.1.1 (-v 2 - версія 2, -l bob 10.1.1.1 - задання логіна та ІР- адреси роутера, на який хочемо зайти)

Задати рівень привілеїв команді можна так:

Rt(config)# privilege mode { level level command | reset } command

mode – режим (наприклад configure, exec, interface, line, router)

level level - команда задання рівня привілею (наприклад, level 7)

reset – команда, що скидає встановлений рівень привілея.

Command – використовується коли задано команду reset.

Rt(config)# privilege exec level 5 ping – задання команді ping привілея 5 рівня

Rt(config)# enable secret level 5 cisco5 - призначення пароля для отримання 5 рівня привілею.

Rt(config)# username support privilege 5 secret cisco5 – призначення певного рівню привілею заданому іменем користувачу.

Подивитись рівень привілею можна за командою Rt# show privilege

Для переходу на певний рівень привілею можна скористатись командою

Rt# enable level (level - рівень потрібного привілею)

Приклад

Rt(config)# username US1 privilege 1 secret cisco

Rt(config)# privilege exec level 5 ping

Rt(config)# enable secret level 5 cisco5

Rt(config)# username US5 privilege 5 secret cisco5

Rt(config)# privilege exec level 10 reload

Rt(config)# enable secret level 10 cisco10

Rt(config)# username US10 privilege 10 secret cisco10

Тут користувач US1 має 1-й рівень привілею, US5 – 5-й рівень, а US10 – 10-й. При цьому команда ping доступна лише з 5-го рівня, а reload – з 10-го.

Починаючи з Cisco IOS Release 12.3(11)T з’явилась можливість доступу по Role-Based CLI

Для настроювання view слід:

1. Дозволити AAA за командою Rt(config)# aaa new-model. Потім вийти з режиму глобального конфігурування у привілейований режим та увійти до root view за командою Rt# enable view. Тут при запрошенні пароля слід ввести тай же пароль, що й при вході у привілейований режим.

2. Створити view за командою Rt(config)# parser view view-name, що дозволить увійти до режиму конфігурування view. За виключенням root view, є максимальне обмеження у 15 views взагалі.

3. Призначити пароль для view за командою

Rt(config-view)# secret encrypted-password.

4. Призначити команду для даного view командою

Rt(config-view)# commands parser-mode { include | include-exclusive | exclude } [ all ] [ interface interface-name | command ]

5. Вийти з режиму конфігурування view.

Поиск по сайту: