Comment configurer SSH sur les commutateurs Catalyst qui exécutent CatOS



Documents pareils
SSH, le shell sécurisé

TP Configuration de l'authentification OSPF

Installation et mise en œuvre de OpenSSH sous AIX 5L

Travaux pratiques : collecte et analyse de données NetFlow

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

Accès aux ressources informatiques de l ENSEEIHT à distance

Les commandes relatives aux réseaux

Kerberos en environnement ISP UNIX/Win2K/Cisco

Installation du client Cisco VPN 5 (Windows)

Contenu. Cocher : Network Policy and Access Services > Next > Next. Cocher : Network Policy Server > Next > Install

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

Exercice : configuration de base de DHCP et NAT

Installation du client Cisco VPN 5 (Windows)

Installation du client Cisco VPN 5 (Windows)

Anas Abou El Kalam Sécurité SSH SSH

Devoir Surveillé de Sécurité des Réseaux

ASA/PIX : Exemple de configuration d'adressage IP statique pour client VPN IPSec avec CLI et ASDM

Les différentes méthodes pour se connecter

La sécurité avec SSH. Atelier cctld Dakar, Sénégal. Hervey Allen

Couche application. La couche application est la plus élevée du modèle de référence.

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

CSI351 Systèmes d exploitation Instructions pour rouler Linux avec Virtual PC dans la salle de labo 2052

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

NAC 4.5 : Exemple de configuration d'import-export de stratégie

VTP. LAN Switching and Wireless Chapitre 4

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Installation d'un serveur RADIUS

Antisèches Informatiques. Configuration et utilisation de openssh. Sommaire. Openssh pour linux. Installation. 1 sur 24 04/06/ :04

Résolution des problèmes de connexion XDMCP aux hôtes UNIX et Linux

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Micro-ordinateurs, informations, idées, trucs et astuces utiliser le Bureau à distance

NOTICE INSTALLATION. ARCHANGE Simplex Office N&B/Couleur KONICA MINOLTA BUSINESS SOLUTIONS FRANCE

Les clés d un réseau privé virtuel (VPN) fonctionnel

Les techniques de la télémaintenance

Comment utiliser HSRP pour assurer la redondance dans un réseau BGP multihébergé

Présentation et portée du cours : CCNA Exploration v4.0

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

Administration du WG302 en SSH par Magicsam

Table des matières. 1. Installation de VMware ESXI Pré-requis Installation... 3

Table des matières Nouveau Plan d adressage... 3

Configuration du matériel Cisco. Florian Duraffourg

Comment Accéder à des Bases de Données MySQL avec Windows lorqu'elles sont sur un Serveur Linux

Interconnexion de serveurs Asterisk avec IAX

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

Intégration de Cisco CallManager IVR et Active Directory

Administration Switch (HP et autres)

Comment changer le mot de passe NT pour les comptes de service Exchange et Unity

Configuration de WINS, DNS et DHCP sur les serveurs d'accès

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

NOTICE INSTALLATION. ARCHANGE WebDAV Office N&B/Couleur KONICA MINOLTA BUSINESS SOLUTIONS FRANCE

Bravo! Vous venez d acquérir un routeur large bande à 4 ports Conceptronic C100BRS4H.

FTP & SMTP. Deux applications fondamentales pour le réseau Internet.

Supervision et infrastructure - Accès aux applications JAVA. Document FAQ. Page: 1 / 9 Dernière mise à jour: 15/04/12 16:14

Procédure d installation de la Sauvegarde de Windows Server

IMS INTERNET /Paramétrage de l offre / Gateway Cisco IMS INTERNET. Paramétrage de l offre Gateway CISCO. Référence Edition Date de Diffusion Page

Les réseaux /24 et x0.0/29 sont considérés comme publics

Présentation et portée du cours : CCNA Exploration v4.0

Chap.9: SNMP: Simple Network Management Protocol

Manuel des logiciels de transferts de fichiers File Delivery Services

Travaux pratiques : configuration des routes statiques et par défaut IPv6

Direction des Systèmes d'information

Services Réseau SSH. Michaël Hauspie. Licence Professionnelle Réseaux et Télécommunications

Mise à jour des logiciels de vidéo de Polycom

sshgate Patrick Guiran Chef de projet support

FTP-SSH-RSYNC-SCREEN au plus simple

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières

1 Configuration des Fichiers Hosts, Hostname, Resolv.conf

calls.paris-neuroscience.fr Tutoriel pour Candidatures en ligne *** Online Applications Tutorial

WiFi Security Camera Quick Start Guide. Guide de départ rapide Caméra de surveillance Wi-Fi (P5)

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

! "# Exposé de «Nouvelles Technologies Réseaux»

Réseaux Locaux Virtuels


(1) Network Camera

Installer et configurer un réseau local Ethernet commuté. Généralités 1 Utilisation d un Switch administrable D-Link DES-3226

Guide d'installation rapide TFM-560X YO.13

Guide Google Cloud Print

Internet Group Management Protocol (IGMP) Multicast Listener Discovery ( MLD ) RFC 2710 (MLD version 1) RFC 3810 (MLD version 2)

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

LOGICIEL D'ADMINISTRATION POUR E4000 & G4000 MANAGEMENT SOFTWARE FOR E4000 & G4000

Gestion des certificats en Internet Explorer

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

2X ThinClientServer Guide d utilisation

Unité de stockage NAS

Travaux pratiques Gestion des fichiers de configuration de périphérique via TFTP, Flash et USB

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

Project 1 Experimenting with Simple Network Management Tools. ping, traceout, and Wireshark (formerly Ethereal)

WEB page builder and server for SCADA applications usable from a WEB navigator

Supervision et infrastructure - Accès aux systèmes Windows. Document FAQ. Page: 1 / 39 Dernière mise à jour: 18/03/15 15:45

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée VMWare ESX Server 3, 3.5

GUIDE ADMINISTRATEUR SUR L ASSISTANCE A DISTANCE WINDOWS : CAS DE EXCENT GROUPE

La citadelle électronique séminaire du 14 mars 2002

Administration Linux - FTP

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Transcription:

Comment configurer SSH sur les commutateurs Catalyst qui exécutent CatOS Contenu Introduction Conditions préalables Conditions requises Composants utilisés Conventions Diagramme du réseau Configuration du commutateur Désactiver le SSH débogage dans Catalyst exemples de commande de débogage d'une bonne connexion Solaris au Catalyst, Triple Data Encryption Standard (3DES), mot de passe telnet PC au Catalyst, 3DES, mot de passe telnet Solaris au Catalyst, 3DES, authentification d'aaa (authentification, autorisation et traçabilité) (AAA) exemples de commande de débogage de ce qui peut aller mal Débogage de Catalyst avec le client essayant Blowfish Cipher [ pris en charge] Débogage de Catalyst avec le mauvais mot de passe telnet Débogage de Catalyst avec la mauvaise authentification AAA Dépannez Connexion impossible pour commuter par le SSH Informations connexes Introduction Ce document donne des instructions pas à pas pour configurer la version 1 de Secure shell (SSH) sur des commutateurs Catalyst exécutant OS de Catalyst (CatOS). La version testée est cat6000-supk9.6-1-1c.bin ou une version ultérieure. Conditions préalables Conditions requises Ce tableau montre le statut de support de SSH dans les commutateurs. Les utilisateurs enregistrés peuvent accéder à ces images logicielles en visitant le centre logiciel. Périphérique CatOS SSH Prise en charge de la fonctionnalité SSH Cat 4000/4500/2948G/2980G (CatOS) Images K9 en date de 6.1 Cat 5000/5500 (CatOS) Images K9 en date de 6.1 Cat 6000/6500 (CatOS) Images K9 en date de 6.1 Cat 2950* Cat 3550* Périphérique Cat 4000/4500 (Logiciel Cisco IOS intégré) * Cat 6000/5500 (Logiciel Cisco IOS intégré) * Cat 8540/8510 SSH IOS Prise en charge de la fonctionnalité SSH 12.1(12c)EA1 et plus récent 12.1(11)EA1 et plus récent 12.1(13)EW et plus récent ** 12.1(11b)E et plus récent 12.1(12c)EY et plus récent, 12.1(14)E1 et plus récent

Périphérique Cat 1900 Cat 2800 Cat 2948G-L3 Cat 2900XL Cat 3500XL Cat 4840G-L3 Cat 4908G-L3 Non SSH Prise en charge de la fonctionnalité SSH * La configuration est couverte en configurant le Secure Shell sur les routeurs et commutateurs exécutant le Cisco IOS. ** Il n'y a aucune prise en charge de SSH dans le train 12.1E pour le Logiciel Cisco IOS intégré par exécution de Catalyst 4000. Consultez le formulaire d'autorisation d'exportation de logiciel de cryptage afin de solliciter le 3DES. Ce document suppose que l'authentification fonctionne avant l'implémentation de SSH (par le mot de passe telnet, TACACS+) ou de RADIUS. Le SSH avec le Kerberos n'est pas pris en charge avant l'implémentation de SSH. Composants utilisés Ce document expose seulement les séries de Catalyst 2948G, Catalyst 2980G, Catalyst 4000/4500, Catalyst 5000/5500, et Catalyst 6000/6500 exécutant l'image de CatOS K9. Référez-vous à la section UDLD de ce document pour de plus amples détails. Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser. Conventions Pour plus d'informations sur les conventions des documents, référez-vous aux Conventions utilisées pour les conseils techniques de Cisco. Diagramme du réseau Configuration du commutateur!--- Generate and verify RSA key. sec-cat6000> (enable) set crypto key rsa 1024 Generating RSA keys... [OK] sec-cat6000> (enable) ssh_key_process: host/server key size: 1024/768

!--- Display the RSA key. sec-cat6000> (enable) show crypto key RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360 577332853671704785709850606634768746869716963940352440620678575338701550888525 699691478330537840066956987610207810959498648179965330018010844785863472773067 697185256418386243001881008830561241137381692820078674376058275573133448529332 1996682019301329470978268059063378215479385405498193061651!--- Restrict which host/subnets are allowed to use SSH to the switch.!--- Note: If you do not do this, the switch will display the message!--- "WARNING!! IP permit list has no entries!" sec-cat6000> set ip permit 172.18.124.0 255.255.255.0 172.18.124.0 with mask 255.255.255.0 added to IP permit list.!--- Turn on SSH. sec-cat6000> (enable) set ip permit enable ssh SSH permit list enabled.!--- Verity SSH permit list. sec-cat6000> (enable) show ip permit Telnet permit list disabled. Ssh permit list enabled. Snmp permit list disabled. Permit List Mask Access-Type ---------------- ---------------- ------------- 172.18.124.0 255.255.255.0 telnet ssh snmp Denied IP Address Last Accessed Time Type ----------------- ------------------ ------ Désactiver le SSH Dans certaines situations, il peut être nécessaire de désactiver le SSH sur le commutateur. Vous devez vérifier si le SSH est configuré sur le commutateur et si oui, le désactiver. Pour vérifier si le SSH a été configuré sur le commutateur, émettez la commande de show crypto key. Si le résultat affiche la clé RSA, alors le SSH a été configuré et activé sur le commutateur. Un exemple est montré ici. sec-cat6000> (enable) show crypto key RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360 577332853671704785709850606634768746869716963940352440620678575338701550888525 699691478330537840066956987610207810959498648179965330018010844785863472773067 697185256418386243001881008830561241137381692820078674376058275573133448529332 1996682019301329470978268059063378215479385405498193061651 Pour supprimer la clé crypto, émettez la commande de clear crypto key rsa afin de désactiver le SSH sur le commutateur. Un exemple est montré ici. sec-cat6000> (enable) clear crypto key rsa Do you really want to clear RSA keys (y/n) [n]? y RSA keys has been cleared. sec-cat6000> (enable) débogage dans Catalyst Pour activer des débogages, émettez la commande du ssh 4 de set trace. Pour activer des débogages, émettez la commande du ssh 0 de set trace. exemples de commande de débogage d'une bonne connexion Solaris au Catalyst, Triple Data Encryption Standard (3DES), mot de passe telnet Solaris rtp-evergreen# ssh -c 3des -v 10.31.1.6 SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5. Compiled with RSAREF.

Catalyst rtp-evergreen: Reading configuration data /opt/cisssh/etc/ssh_config rtp-evergreen: ssh_connect: getuid 0 geteuid 0 a 0 rtp-evergreen: Allocated local port 1023. rtp-evergreen: Connecting to 10.31.1.6 port 22. rtp-evergreen: Connection established. rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26 rtp-evergreen: Waiting for server public key. rtp-evergreen: Received server public key (768 bits) and host key (1024 bits). Host key not found from the list of known hosts. Are you sure you want to continue connecting (yes/no)? yes Host '10.31.1.6' added to the list of known hosts. rtp-evergreen: Initializing random; seed file //.ssh/random_seed rtp-evergreen: Encryption type: 3des rtp-evergreen: Sent encrypted session key. rtp-evergreen: Installing crc compensation attack detector. rtp-evergreen: Received encrypted confirmation. rtp-evergreen: Doing password authentication. root@10.31.1.6's password: rtp-evergreen: Requesting pty. rtp-evergreen: Failed to get local xauth data. rtp-evergreen: Requesting X11 forwarding with authentication spoofing. Warning: Remote host denied X11 forwarding, perhaps xauth program could not be run on the server side. rtp-evergreen: Requesting shell. rtp-evergreen: Entering interactive session. Cisco Systems Console sec-cat6000> sec-cat6000> (enable) debug: _proc->tty = 0x8298a494, socket_index = 3 debug: Client protocol version 1.5; client software version 1.2.26 debug: ssh login by user: root debug: Trying Local Login Password authentication for root accepted. debug: ssh received packet type: 10 debug: ssh received packet type: 34 Unknown packet type received after authentication: 34 debug: ssh received packet type: 12 debug: ssh88: starting exec shell debug: Entering interactive session. PC au Catalyst, 3DES, mot de passe telnet Catalyst debug: Client protocol version 1.5; client software version W1.0 debug: Encryption type: des debug: ssh login by user: debug: Trying Local Login Password authentication for accepted. debug: ssh received packet type: 10 debug: ssh received packet type: 37 Unknown packet type received after authentication: 37 debug: ssh received packet type: 12 debug: ssh89: starting exec shell debug: Entering interactive session. Solaris au Catalyst, 3DES, authentification d'aaa (authentification, autorisation et traçabilité) (AAA) Solaris Solaris with aaa on: rtp-evergreen# ssh -c 3des -l abcde123 -v 10.31.1.6 SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5. Compiled with RSAREF. rtp-evergreen: Reading configuration data /opt/cisssh/etc/ssh_config rtp-evergreen: ssh_connect: getuid 0 geteuid 0 a 0 rtp-evergreen: Allocated local port 1023.

Catalyst rtp-evergreen: Connecting to 10.31.1.6 port 22. rtp-evergreen: Connection established. rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26 rtp-evergreen: Waiting for server public key. rtp-evergreen: Received server public key (768 bits) and host key (1024 bits). rtp-evergreen: Host '10.31.1.6' is known and matches the host key. rtp-evergreen: Initializing random; seed file //.ssh/random_seed rtp-evergreen: Encryption type: 3des rtp-evergreen: Sent encrypted session key. rtp-evergreen: Installing crc compensation attack detector. rtp-evergreen: Received encrypted confirmation. rtp-evergreen: Doing password authentication. abcde123@10.31.1.6's password: rtp-evergreen: Requesting pty. rtp-evergreen: Failed to get local xauth data. rtp-evergreen: Requesting X11 forwarding with authentication spoofing. Warning: Remote host denied X11 forwarding, perhaps xauth program could not be run on the server side. rtp-evergreen: Requesting shell. rtp-evergreen: Entering interactive session. Cisco Systems Console sec-cat6000> sec-cat6000> (enable) debug: _proc->tty = 0x82a07714, socket_index = 3 debug: Client protocol version 1.5; client software version 1.2.26 debug: ssh login by user: abcde123 debug: Trying TACACS+ Login Password authentication for abcde123 accepted. debug: ssh received packet type: 10 debug: ssh received packet type: 34 Unknown packet type received after authentication: 34 debug: ssh received packet type: 12 debug: ssh88: starting exec shell debug: Entering interactive session. exemples de commande de débogage de ce qui peut aller mal Débogage de Catalyst avec le client essayant Blowfish Cipher [ pris en charge] debug: Client protocol version 1.5; client software version W1.0 debug: Encryption type: blowfish cipher_set_key: unknown cipher: 6 debug: Calling cleanup Débogage de Catalyst avec le mauvais mot de passe telnet debug: _proc->tty = 0x82897414, socket_index = 4 debug: Client protocol version 1.5; client software version W1.0 debug: ssh login by user: debug: Trying Local Login debug: Password authentication for failed. Débogage de Catalyst avec la mauvaise authentification AAA cat6000> (enable) debug: _proc->tty = 0x829abd94, socket_index = 3 debug: Client protocol version 1.5; client software version 1.2.26 debug: ssh login by user: junkuser

debug: Trying TACACS+ Login debug: Password authentication for junkuser failed. SSH connection closed by remote host. debug: Calling cleanup Dépannez Cette section Routage traite différents scénarios de dépannage liés à la configuration de SSH sur des commutateurs Cisco. Connexion impossible pour commuter par le SSH Problème : Ne peut pas se connecter au commutateur utilisant le SSH. Les commandes d' ip ssh de débogage donnent ce résultat : Solution : Jun 15 20:29:26.207: SSH2 1: RSA_sign: private key not found Jun 15 20:29:26.207: SSH2 1: signature creation failed, status -1 Ce problème de se produit en raison d'une des raisons suivantes : Les nouvelles connexions SSH échouent après avoir modifié le nom de hôte. SSH configuré avec des codes marqués (ayant le FQDN du routeur). Les solutions de contournement pour ce problème sont : Si le nom de hôte a été modifié, et le SSH ne fonctionne plus, alors mettez à zéro le nouveau code créez-en un autre avec l'étiquette appropriée. crypto key zeroize rsa crypto key generate rsa general-keys label (label) mod (modulus) [exportable] N'utilisez pas des clés RSA aymes (nommées après le FQDN du commutateur). Utilisez les codes étiquetés à la place. crypto key generate rsa general-keys label (label) mod (modulus) [exportable] Afin de résoudre ce problème pour toujours, mettez à niveau le logiciel IOS aux versions et plus récentes l'unes des dans lesquelles ce problème est réparé. Un bogue a été classé au sujet de ceci. Pour plus d'informations, référez-vous au bogue Cisco portant l'id CSCsm68097 (clients enregistrés uniquement). Informations connexes Configuration de Secure Shell sur les routeurs et les commutateurs exécutant Cisco IOS Notes techniques de dépannage 1992-2010 Cisco Systems Inc. Tous droits réservés. Date du fichier PDF généré: 17 octobre 2015 http://www.cisco.com/cisco/web/support/ca/fr/109/1093/1093388_ssh_cat_switches.html

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back