Como configurar o SSH nos Catalyst Switches que executam CatOS

Documentos relacionados
Como configurar o SSH nos Catalyst Switches que executam CatOS

Configurando uma rede privado para privado de túnel IPSec de roteador com NAT e uma estática

Configurando o TACACS+, o RAIO, e o Kerberos no Switches do Cisco catalyst

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

Configurando IPSec Router para Router com Sobrecarga NAT e Cisco Secure VPN Client

Como obter a informação sobre os usuários conectados ao TTY usando o SNMP

Cisco IOS Router: Local, TACACS+ e autenticação RADIUS do exemplo de configuração da conexão de HTTP

IPS 7.X: Autenticação de login de usuário usando ACS 5.X como o exemplo da configuração de servidor RADIUS

Como Atribuir Níveis de Privilégios com TACACS+ e RADIUS

Senhas Telnet, Console e de Portas AUX no Exemplo de Configuração de Roteadores da Cisco

Configurando IPSec entre três roteadores usando endereços privados

Configurando o PPTP através da PAT para um Microsoft PPTP Server

RADIUS avançado para clientes PPP de discagem

Configurando IPSec - Cisco Secure VPN Client para acesso de controle do roteador central

X.25 para conversão de TCP

Roteador Cisco como um servidor de VPN remoto usando o exemplo da configuração de SDM

PI 3.2. Criação de molde definido pelo utilizador CLI com comando da linha única e da múltipla linha

Configurando a autenticação radius por meio de Cisco cache engine

Exemplo de configuração para autenticação em RIPv2

Laboratório Usar o CLI para reunir informações do dispositivo de rede

Configurar o acesso do telnet/ssh ao dispositivo com VRF

Configurar o SSH em linhas Tty com opção de menu no servidor terminal

Permita o acesso ao Internet para o módulo ips ASA 5500-X

Policy Routing with Catalyst 3550 Series Switch Configuration Example

O comando authorization e os níveis de privilégio para Cisco fixam UNIX

Telnet, senhas da Console e Porta AUX no exemplo de configuração dos roteadores Cisco

Gerenciamento e Interoperabilidade de Redes Prof. João Henrique Kleinschmidt Prática Packet Tracer Configuração de switches e roteadores

Roteador Wireless de 1800 ISR com exemplo de configuração interno DHCP e de autenticação aberta

DHCPv6 usando o exemplo de configuração da característica da delegação do prefixo

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

Configurando um Cisco 1700/2600/3600 ADSL WIC para Suportar Clientes PPPoE, Terminando em um Cisco 6400 UAC

GRE sobre o IPsec com o EIGRP a distribuir com um exemplo de configuração do hub e das sites remoto múltiplo

Acesso de console a WLC através de CIMC

Configurar ISE 2.0: Autenticação TACACS+ e comando authorization IO baseados na membrasia do clube AD

A integração da versão de ACS 5.4 com Motorola voa (AP) o exemplo de configuração 5.X

Exemplo de Configuração de Conexão de LAN Wireless Básica

Como configurar o Cisco VPN 3000 Concentrator para apoiar a autenticação TACACS+ para contas de gerenciamento

Configuração de Tradução de Endereço de Rede e Tradução de Endereço de Porta Estática para Suportar um Servidor Interno de Web

Configurando o redirecionamento transparente e de media proxy com uso do software ACNS 4.x

Configurar o WLC com autenticação LDAP para o 802.1x e o Web-AUTH WLAN

Configurando AAA básico em um servidor de acesso

Como configurar um roteador Cisco atrás de um Cable Modem de terceiros

Compreendendo e Configurando VLAN Routing e Bridging em um Roteador Usando o Recurso IRB

Características do Grupo-fechamento ASA e de Cisco IOS e atributos AAA e exemplo de configuração WebVPN

Exemplo de configuração do ISDN - IP

Exemplo de Configuração Básica de Conexão de LAN sem Fio

Segurança de redes Prof. João Henrique Kleinschmidt Prática Packet tracer Segurança: AAA, Radius e VPN

Como usar os comandos standby preempt e standby track

Switches do 3550/3560 Series do catalizador usando o exemplo de configuração com base na porta do controle de tráfego

Transcrição:

Como configurar o SSH nos Catalyst Switches que executam CatOS Índice Introdução Pré-requisitos Requisitos Componentes Utilizados Convenções Diagrama de Rede Configuração do Switch SSH de desabilitação debug no Catalyst Exemplos de comando debug de uma boa conexão Senha Solaris para Catalyst, 3DES (Triple Data Encryption Standard), Telnet PC para Catalyst, 3DES, senha Telnet Autenticação Solaris para Catalyst, 3DES e AAA (autenticação, autorização e relatório) Exemplos do que pode dar errado com o comando debug Depuração Catalyst com cliente tentando cifra Blowfish ( suportado) Depuração do Catalyst com Senha de Telnet Inválida Depuração do Catalyst com autenticação de AAA inválida Troubleshooting Não pode conectar para comutar com o SSH Informações Relacionadas Introdução Este documento oferece instruções passo a passo para configurar o Secure Shell (SSH) Version 1 nos switches Catalyst que executam o Catalyst OS (CatOS). A versão testada é cat6000-supk9.6-1-1c.bin. Pré-requisitos Requisitos Esta tabela mostra o estado do apoio SSH no Switches. Os usuários registrados podem alcançar estas imagens do software visitando o centro de software. Dispositivo Cactos SSH Apoio SSH Gato 4000/4500/2948G/2980G (Cactos) Imagens K9 até à data de 6.1 Gato 5000/5500 (Cactos) Imagens K9 até à data de 6.1 Gato 6000/6500 (Cactos) Imagens K9 até à data de 6.1 Gato 2950* Gato 3550* Dispositivo Gato 4000/4500 (software do Cisco IOS integrado) * Gato 6000/5500 (software do Cisco IOS integrado) * Gato 8540/8510 IO SSH Nenhum SSH Apoio SSH 12.1(12c)EA1 e mais tarde 12.1(11)EA1 e mais tarde 12.1(13)EW e mais tarde ** 12.1(11b)E e mais tarde 12.1(12c)EY e mais tarde, 12.1(14)E1 e mais tarde

Dispositivo Gato 1900 Gato 2800 Gato 2948G-L3 Gato 2900XL Gato 3500XL Gato 4840G-L3 Gato 4908G-L3 Apoio SSH * A configuração é coberta no Configuring Secure Shell no Roteadores e no Switches que executam o Cisco IOS. ** Não há nenhum apoio para o SSH no trem 12.1E para software running do Cisco IOS integrado do catalizador 4000. Refira o formulário da autorização da distribuição da exportação do software de codificação a fim aplicar-se para o 3DES. Este documento supõe que a autenticação trabalha antes da aplicação do SSH (com a senha telnet, TACACS+) ou do RAIO. O SSH com Kerberos é apoiado antes da aplicação do SSH. Componentes Utilizados Este documento endereça o 4000/4500 Series somente do Catalyst 2948G, do Catalyst 2980G, do catalizador, a série do Catalyst 5000/5500, e a série do Catalyst 6000/6500 que executa a imagem de Cactos K9. Para mais detalhes, refira a seção das exigências deste documento. As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se você estiver trabalhando em uma rede ativa, certifique-se de que entende o impacto potencial de qualquer comando antes de utilizá-lo. Convenções Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco. Diagrama de Rede Configuração do Switch!--- Generate and verify RSA key. sec-cat6000> (enable) set crypto key rsa 1024 Generating RSA keys... [OK] sec-cat6000> (enable) ssh_key_process: host/server key size: 1024/768!--- Display the RSA key.

sec-cat6000> (enable) show crypto key RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360 577332853671704785709850606634768746869716963940352440620678575338701550888525 699691478330537840066956987610207810959498648179965330018010844785863472773067 697185256418386243001881008830561241137381692820078674376058275573133448529332 1996682019301329470978268059063378215479385405498193061651!--- Restrict which host/subnets are allowed to use SSH to the switch.!--- Note: If you do not do this, the switch will display the message!--- "WARNING!! IP permit list has no entries!" sec-cat6000> set ip permit 172.18.124.0 255.255.255.0 172.18.124.0 with mask 255.255.255.0 added to IP permit list.!--- Turn on SSH. sec-cat6000> (enable) set ip permit enable ssh SSH permit list enabled.!--- Verity SSH permit list. sec-cat6000> (enable) show ip permit Telnet permit list disabled. Ssh permit list enabled. Snmp permit list disabled. Permit List Mask Access-Type ---------------- ---------------- ------------- 172.18.124.0 255.255.255.0 telnet ssh snmp Denied IP Address Last Accessed Time Type ----------------- ------------------ ------ SSH de desabilitação Em algumas situações pode ser necessário desabilitar o SSH no interruptor. Você deve verificar se o SSH está configurado no interruptor e em caso afirmativo, desabilita-o. Para verificar se o SSH foi configurado no interruptor, emita o comando show crypto key. Se a saída indica a chave RSA, a seguir o SSH esteve configurado e permitido no interruptor. Um exemplo é mostrado aqui. sec-cat6000> (enable) show crypto key RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360 577332853671704785709850606634768746869716963940352440620678575338701550888525 699691478330537840066956987610207810959498648179965330018010844785863472773067 697185256418386243001881008830561241137381692820078674376058275573133448529332 1996682019301329470978268059063378215479385405498193061651 Para remover a chave de criptografia, emita o comando clear crypto key rsa desabilitar o SSH no interruptor. Um exemplo é mostrado aqui. sec-cat6000> (enable) clear crypto key rsa Do you really want to clear RSA keys (y/n) [n]? y RSA keys has been cleared. sec-cat6000> (enable) debug no Catalyst Para girar sobre debuga, emitem o comando set trace ssh 4. Para desligar debuga, emitem o comando set trace ssh 0. Exemplos de comando debug de uma boa conexão Senha Solaris para Catalyst, 3DES (Triple Data Encryption Standard), Telnet Solaris rtp-evergreen# ssh -c 3des -v 10.31.1.6 SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5. Compiled with RSAREF. rtp-evergreen: Reading configuration data /opt/cisssh/etc/ssh_config rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0 rtp-evergreen: Allocated local port 1023. rtp-evergreen: Connecting to 10.31.1.6 port 22.

Catalyst rtp-evergreen: Connection established. rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26 rtp-evergreen: Waiting for server public key. rtp-evergreen: Received server public key (768 bits) and host key (1024 bits). Host key not found from the list of known hosts. Are you sure you want to continue connecting (yes/no)? yes Host '10.31.1.6' added to the list of known hosts. rtp-evergreen: Initializing random; seed file //.ssh/random_seed rtp-evergreen: Encryption type: 3des rtp-evergreen: Sent encrypted session key. rtp-evergreen: Installing crc compensation attack detector. rtp-evergreen: Received encrypted confirmation. rtp-evergreen: Doing password authentication. root@10.31.1.6's password: rtp-evergreen: Requesting pty. rtp-evergreen: Failed to get local xauth data. rtp-evergreen: Requesting X11 forwarding with authentication spoofing. Warning: Remote host denied X11 forwarding, perhaps xauth program could not be run on the server side. rtp-evergreen: Requesting shell. rtp-evergreen: Entering interactive session. Cisco Systems Console sec-cat6000> sec-cat6000> (enable) debug: _proc->tty = 0x8298a494, socket_index = 3 debug: Client protocol version 1.5; client software version 1.2.26 debug: ssh login by user: root debug: Trying Local Login Password authentication for root accepted. debug: ssh received packet type: 10 debug: ssh received packet type: 34 Unknown packet type received after authentication: 34 debug: ssh received packet type: 12 debug: ssh88: starting exec shell debug: Entering interactive session. PC para Catalyst, 3DES, senha Telnet Catalyst debug: Client protocol version 1.5; client software version W1.0 debug: Encryption type: des debug: ssh login by user: debug: Trying Local Login Password authentication for accepted. debug: ssh received packet type: 10 debug: ssh received packet type: 37 Unknown packet type received after authentication: 37 debug: ssh received packet type: 12 debug: ssh89: starting exec shell debug: Entering interactive session. Autenticação Solaris para Catalyst, 3DES e AAA (autenticação, autorização e relatório) Solaris Solaris with aaa on: rtp-evergreen# ssh -c 3des -l abcde123 -v 10.31.1.6 SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5. Compiled with RSAREF. rtp-evergreen: Reading configuration data /opt/cisssh/etc/ssh_config rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0 rtp-evergreen: Allocated local port 1023. rtp-evergreen: Connecting to 10.31.1.6 port 22. rtp-evergreen: Connection established. rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26

Catalyst rtp-evergreen: Waiting for server public key. rtp-evergreen: Received server public key (768 bits) and host key (1024 bits). rtp-evergreen: Host '10.31.1.6' is known and matches the host key. rtp-evergreen: Initializing random; seed file //.ssh/random_seed rtp-evergreen: Encryption type: 3des rtp-evergreen: Sent encrypted session key. rtp-evergreen: Installing crc compensation attack detector. rtp-evergreen: Received encrypted confirmation. rtp-evergreen: Doing password authentication. abcde123@10.31.1.6's password: rtp-evergreen: Requesting pty. rtp-evergreen: Failed to get local xauth data. rtp-evergreen: Requesting X11 forwarding with authentication spoofing. Warning: Remote host denied X11 forwarding, perhaps xauth program could not be run on the server side. rtp-evergreen: Requesting shell. rtp-evergreen: Entering interactive session. Cisco Systems Console sec-cat6000> sec-cat6000> (enable) debug: _proc->tty = 0x82a07714, socket_index = 3 debug: Client protocol version 1.5; client software version 1.2.26 debug: ssh login by user: abcde123 debug: Trying TACACS+ Login Password authentication for abcde123 accepted. debug: ssh received packet type: 10 debug: ssh received packet type: 34 Unknown packet type received after authentication: 34 debug: ssh received packet type: 12 debug: ssh88: starting exec shell debug: Entering interactive session. Exemplos do que pode dar errado com o comando debug Depuração Catalyst com cliente tentando cifra Blowfish ( suportado) debug: Client protocol version 1.5; client software version W1.0 debug: Encryption type: blowfish cipher_set_key: unknown cipher: 6 debug: Calling cleanup Depuração do Catalyst com Senha de Telnet Inválida debug: _proc->tty = 0x82897414, socket_index = 4 debug: Client protocol version 1.5; client software version W1.0 debug: ssh login by user: debug: Trying Local Login debug: Password authentication for failed. Depuração do Catalyst com autenticação de AAA inválida cat6000> (enable) debug: _proc->tty = 0x829abd94, socket_index = 3 debug: Client protocol version 1.5; client software version 1.2.26 debug: ssh login by user: junkuser debug: Trying TACACS+ Login debug: Password authentication for junkuser failed. SSH connection closed by remote host.

debug: Calling cleanup Troubleshooting Esta seção trata os scenarios de Troubleshooting diferentes relativos à configuração SSH em switch Cisco. Não pode conectar para comutar com o SSH Problema: Não pode conectar ao interruptor usando o SSH. O comando do debug ip ssh mostra esta saída: Solução: Jun 15 20:29:26.207: SSH2 1: RSA_sign: private key not found Jun 15 20:29:26.207: SSH2 1: signature creation failed, status -1 Este problema ocorre devido a qualquer uma destas razões: As conexões de SSH novas falham após ter mudado o hostname. SSH configurado com chaves NON-etiquetadas (tendo o FQDN do roteador). As ações alternativas para este problema são: Se o hostname foi mudado e o SSH já está trabalhando, a seguir coloque a zero a chave nova e crie uma outra chave nova com a etiqueta apropriada. crypto key zeroize rsa crypto key generate rsa general-keys label (label) mod (modulus) [exportable] Não use as chaves anônimas RSA (nomeadas após o FQDN do interruptor). Use chaves etiquetadas pelo contrário. crypto key generate rsa general-keys label (label) mod (modulus) [exportable] A fim resolver para sempre este problema, promova o IOS Software a algumas das versões em que este problema é fixo. Um erro foi arquivado sobre esta edição. Para mais informação, refira a identificação de bug Cisco CSCtc41114 (clientes registrados somente). Informações Relacionadas Configuring Secure Shell on Routers and Switches Running Cisco IOS Notas Técnicas de Troubleshooting 1992-2016 Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 14 Outubro 2016 http://www.cisco.com/cisco/web/support/br/104/1045/1045581_ssh_cat_switches.html

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback