Fjärrhantering SSH

För att förbereda en switch för fjärrhantering med SSH måste du genomföra några specifika steg:

  • Konfigurera ett virtuellt interface (SVI): Ett SVI är en logisk anslutningspunkt för switchen inom ett VLAN. Det måste konfigureras med en IP-adress och nätmask samt en default gateway för att tillhandahålla nätverkskommunikation.
  • Ange en standard gateway (default gateway): För att kunna nå switchen från ett fjärrnätverk måste en standard gateway vara konfigurerad för att switchen ska kunna kommunicera med andra nätverksenheter utanför dess eget nätverk.
  • Skapa användarkonton: Definiera vilka administratörer som har tillstånd att komma åt switchen. Det är rekommenderat att ha minst två administratörskonton i den lokala databasen, var och en med lämpliga behörigheter för att utföra önskade administrativa uppgifter på switchen.
  • Aktivera virtuella terminaler (VTY): Dessa är logiska portar som definierar vilka protokoll som är tillåtna för fjärråtkomst (Telnet eller SSH). VTY-terminaler används för att hantera fjärråtkomst via Telnet eller SSH.
  • Definiera switchens namn och domännamn: Detta är viktigt för att identifiera switchen på nätverket och underlätta administrationen.
  • Generera RSA-nycklar: RSA-nycklar används för att kryptera data som skickas över SSH, vilket förbättrar säkerheten för fjärranslutningar till switchen. Det är viktigt att förstå att RSA-nycklar används för att säkra SSH-sessioner genom att kryptera kommunikationen mellan klienten och switchen.

Av de steg som beskrivits ovan har vi redan genomfört följande åtgärder: ändrat namnet på switchen till ”S1”, säkrat det privilegierade exekveringsläget med ett lösenord, skapat två administratörskonton (”superAdmin” och ”Admin”), samt konfigurerat konsolporten för lokal hantering. Nu är det dags att fortsätta med konfigurationerna och förbereda switchen för fjärrhantering:

  1. Konfigurera ett virtuellt interface (SVI): Som default är tillgänglig VLAN 1 (SVI), men av säkerhetsskäl använder jag här VLAN 99. Denna VLAN ska ha IPv4-adressen 172.17.99.11 med en 24-bitars nätmask, samt IPv6-adressen 2001:db8:acad:99::1 med en 64-bitars prefixlängd.
    • Klicka på switch S1 och på CLI så att du får prompten S1>:
    • S1>enable
    • Ange lösenordet
    • S1# configure terminal
    • S1(config)# vlan 99
    • S1(config-vlan)# name SVI Management
    • S1(config-vlan)# exit
    • S1(config)# interface vlan 99
    • S1(config-if)# ip address 172.17.99.11 255.255.255.0
    • S1(config-if)# ipv6 address 2001:db8:acad:99::11/64
    • S1(config-if)# no shutdown
    • S1(config-if)# exit
    • S1(config)#
  2. Konfigurera Default Gateway:
    • S1(config)# ip default-gateway 172.17.99.1
  3. Skapa användarkonto:
    • SuperAdmin (adminPa5515) och Admin (adminPa5510) har redan skapats tidigare.
  4. Aktivera virtuella terminaler (VTY):
    • S1(config)# line vty 0 4
    • S1(config-line)# login local
    • S1(config-line)# transport input ssh
    • S1(config-line)# exit
    • S1(config)#
  5. Definiera switchens namn och domännamn:
    • Namnet (hostname) har redan konfigurerats
    • S1(config)# ip domain-name diginto.se
  6. Generera RSA-nycklar:
    • S1(config)# crypto key generate rsa
    • Enter the key modulus size in bits: 1024
    • S1(config)# ip ssh version 2
    • S1(config)# end
    • S1# show ip ssh

Dessa steg ställer in switchen för att acceptera SSH-anslutningar och tillåter användare att logga in med sina användarkonton. Det är viktigt att notera att inte alla Cisco IOS-versioner stöder SSH, och att du bör kontrollera din enhets dokumentation för att se om den har stöd för det och om du behöver installera eventuell extra programvara.