Fjärrhantering med SSH

Fjärrhantering med Telnet      |      Att nollställa en switch

Det föregående avsnittet behandlade fjärranslutning med Telnet – ett äldre protokoll som fortfarande förekommer i enklare nätverk men som bör undvikas i säkerhetskänsliga miljöer eftersom det inte stödjer kryptering. I detta avsnitt fokuserar vi i stället på SSH, som erbjuder en krypterad och mer säker metod för fjärrhantering.

Secure ShellSSH – krypterar all kommunikation mellan klientdatorn (t.ex. en administratörs-PC) och enheten som hanteras, såsom en switch eller router. Krypteringen omfattar både inloggningsuppgifter och kommandon som skickas mellan klient och server, vilket gör att känslig information skyddas även om den färdas över osäkra nätverk.

För att SSH ska fungera mellan klient och switch krävs:

    • SVI – Switchens VLAN-interface (t.ex. VLAN 99) måste ha en giltig IP-adress som är nåbar från klienten. Som default oftast VLAN 1, men det rekommenderas att använda en annan.
    • Default gateway – En default gateway måste vara konfigurerad.
    • Användarkonto – Minst ett användarkonto med inloggningsuppgifter måste vara skapat på switchen.
    • RSA-nycklar – måste vara genererade och SSH aktiverat (t.ex. ip ssh version 2).
    • VTY-linjerna – måste tillåta SSH och vara konfigurerade för lokal inloggning.
    • SSH stöd – På klientsidan måste ett SSH-klientprogram finnas tillgängligt (t.ex. PuTTY, macOS Terminal).
    • Port 22 (SSH) måste vara öppen och inte blockerad av någon brandvägg mellan klient och switch.

SSH konfigurationer på en switch/router

Konfigurationen börjar med att skapa ett SVI – ett logiskt interface kopplat till ett VLAN. Även om VLAN 1 används som standard, är det god praxis att använda ett separat VLAN för administration. Här används VLAN 99 och ges både en IPv4- och en IPv6-adress:

S1> enable 
S1# configure terminal 
S1(config)# vlan 99 
S1(config-vlan)# name SVI Management 
S1(config-vlan)# exit 
S1(config)# interface vlan 99 
S1(config-if)# ip address 172.17.99.11 255.255.255.0 
S1(config-if)# ipv6 address 2001:db8:acad:99::11/64 
S1(config-if)# no shutdown 
S1(config-if)# exit

Därefter anges en default gateway:

S1(config)# ip default-gateway 172.17.99.1

VTY-linjerna aktiveras och begränsas till SSH:

S1(config)# line vty 0 4
S1(config-line)# login local
S1(config-line)# transport input ssh
S1(config-line)# exit

För att SSH ska kunna fungera måste även ett domännamn anges och RSA-nycklar genereras:

S1(config)# ip domain-name diginto.se
S1(config)# crypto key generate rsa
Enter the key modulus size in bits: 1024
S1(config)# ip ssh version 2

Med dessa inställningar är switchen redo att ta emot SSH-anslutningar. Du kan verifiera att SSH är aktivt med kommandot:

S1# show ip ssh

Notera att inte alla versioner av Cisco IOS har stöd för SSH. Det är därför viktigt att kontrollera dokumentationen för din enhet, och vid behov uppdatera mjukvaran.

Verifiera att SSH fungerar

För att testa SSH-anslutningen från en klientdator, gör följande:

  1. Öppna ett terminalprogram, t.ex. PuTTY (Windows) eller Terminal (macOS/Linux).
  2. Skriv in switchens IP-adress i fältet för hostname eller IP.
  3. Välj SSH som anslutningsprotokoll (standardport 22).
  4. Starta sessionen.
  5. När du blir uppmanad, logga in med ett användarkonto som tidigare konfigurerats på switchen, till exempel: superAdmin
  6. Ange det tillhörande lösenordet.

Om autentiseringen lyckas kommer du att se kommandoprompten för switchen – precis som vid lokal hantering via konsolkabel. Du är nu ansluten via ett säkert protokoll och kan utföra konfiguration, övervakning och felsökning på distans.

Alternativt kan du ansluta via terminal i macOS eller Linux med följande kommando:

ssh -l superAdmin 172.17.99.11

Byt ut ’superAdmin’ mot det faktiska användarnamnet och IP-adressen mot den som är tilldelad switchen. Efter inloggning får du tillgång till CLI och kan fortsätta hanteringen som om du vore lokalt ansluten.

Sammanfattning

  • Ge switchen ett tydligt hostname.
  • Ange ett domännamn för att möjliggöra RSA-nyckelgenerering.
  • Skapa minst ett administratörskonto.
  • Tilldela en IP-adress till ett VLAN-interface (t.ex. VLAN 99).
  • Konfigurera en default gateway.
  • Aktivera och konfigurera VTY-linjer för SSH och lokal inloggning.
  • Generera RSA-nycklar och aktivera SSH version 2.

Fjärrhantering med Telnet      |      Att nollställa en switch