Xin chào các bạn, để quản trị các thiết bị mạng của Cisco có rất nhiều cách như: Console, Telnet, SSH.

Trong bài viết này, Zhost sẽ hướng dẫn các bạn cấu hình SSH trên thiết bị Cisco để quản trị từ xa.

 

SSH là gì?

SSH là viết tắt của Secure Shell hoặc Secure Socket Shell, là một giao thức mạng cung cấp cho người dùng, đặc biệt là quản trị viên hệ thống, một cách an toàn để truy cập từ xa vào các thiết bị qua mạng không bảo mật. Giao tiếp giữa máy khách và máy chủ được mã hóa trong cả SSH phiên bản 1 và SSH phiên bản 2. Triển khai SSH phiên bản 2 khi có thể vì nó sử dụng thuật toán mã hóa bảo mật nâng cao hơn.

 

Các bước cấu hình SSH trên thiết bị Cisco

1. Thay đổi hostname và domain name

Switch(config)#hostname Zhost-Switch Zhost-Switch(config)#ip domain-name zhost.vn

2. Chọn phiên bản SSH

Zhost-Switch(config)#ip ssh version 2

3. Định nghĩa RSA key

Bạn phải tạo 1 domain-name trước thì mới tạo được RSA Key. Lúc này RSA key sẽ được tạo theo hostname.domain-name. Trong ví dụ trên thì RSA key sẽ được tạo theo Zhost-Switch.zhost.vn.

Khi định nghĩa RSA key, bạn sẽ được hỏi độ dài của key. Size này có giá trị từ 360 đến 4096. Mặc định là 512. Nếu bạn chọn size mặc định là 512 thì SSH v1.5 sẽ được bật. Để sử dụng SSH v2 bạn phải chọn giá trị này từ 768 đến 4096. Giá trị càng cao thì key càng khó để crack.

Zhost-Switch(config)#crypto key generate rsa The name for the keys will be: Zhost-Switch.zhost.vn Choose the size of the key modulus in the range of 360 to 4096 for your General Purpose Keys. 
Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 768 % Generating 768 bit 
RSA keys, keys will be non-exportable... [OK] (elapsed time was 2 seconds)

4. Tạo tài khoản SSH

Bạn có thể phân quyền sử dụng cho client dựa vào chỉ số privilege. Giá trị này từ 0 đến 15. với giá trị 15 nghĩa là bạn có toàn quyền với thiết bị.

Zhost-Switch(config)#username zhost-user privilege 15 password cisco@123

5. Bật tính năng SSH trên VTY

Zhost-Switch(config)# line vty 0 4 Zhost-Switch(config-line)# login local Zhost-Switch(config-line)# transport input ssh Zhost-Switch(config-line)# exit

Lênh login local để chi định chứng thực dựa trên tài khoản trên thiết bị. Nếu bạn có 1 Server Radius hoặc TACACS bạn có thể cấu hình AAA và chọn kiểu chứng thực qua Radius hoặc TACACS.

6. Chỉ định thời gian timeout

Thời gian timeout là thời gian kết thúc phiên SSH, giá trị này được tính bằng phút. Ví dụ cấu hình timeout là 5 phút:

Zhost-Switch(config)# line vty 0 4
Zhost-Switch(config-line)# exec-timeout 5

Như vậy là bạn đã cấu hình SSH để truy cập từ xa. Bạn có thể thêm ACLs để chỉ cho phép 1 mạng con cụ thể được phép SSH vào hoặc chỉ cho phép SSH vào 1 mạng con cụ thể. Dải IP này thường dùng riêng cho VLAN Management.

Chúc các bạn thành công!

Leave a Reply

Your email address will not be published. Required fields are marked *