SSH statt TELNET

[onedread 10]

HI

 

Ich würde gerne alle meine Geräte auf SSH umstellen anstatt TELNET zu benutzen, folgende Geräte sind betroffen:

 

11x 3750er Switches

c3750-ipbase-mz.122-25.SEE1/c3750-ipbase-mz.122-25.SEE1.bin

 

2x 2651XM

c2600-ipvoice-mz.123-11.T.bin"

 

1x 2801

c2801-spservicesk9-mz.124-3f.bin

 

Momentan laufen eben dieses IOS Version drauf.

 

Sind für die Umstellung mit Kosten zu rechnen oder kann man die entsprechende Software einfach runterladen und drauf damit.

 

Achja und welche Software Unterstützt den SSH zugriff?

 

thx

onedread

[Wordo 11]

Hi,

 

hab jetzt bei keinem nachgeschaut, aber haste schon mal versucht nen RSA key zu erstellen?

Dann wird SSH automatisch aktiviert

 

conf t

crypto key gen rsa (oder so)

[mturba 10]

Ich vermute, dass da mit Kosten für die Beschaffung der Images zu rechnen ist. Dem Namen der Images zufolge ist nur der 2801 ohne Änderung des Featuresets in der Lage, SSH zu verwenden (weil "k9" drinsteckt). Genauer kannst du das aber mit dem Cisco Feature Navigator herausfinden:

Cisco Feature Navigator - Cisco Systems

 

Ansonsten:

 

• einen RSA-Key erzeugen (wie Wordo schon schrieb)

• lokale Useraccounts anlegen, falls du nicht ohnehin schon AAA verwendest

• ggf. "ip ssh version 2" konfigurieren, falls du diese Verwendung zwingend vorschreiben willst

• Den Zugriff auf die vty's auf SSH beschränken:
  

conf t
 line vty 0 4
 transport input ssh

Vorher aber unbedingt testen, dass der SSH-Zugriff funktioniert ;)

 

Gruß,

Martin

[Sailer 11]

Kleine Ergänzung noch:

 

Zur Erzeugung des RSA-Keys muss vorher auch ein Domain-Name vergeben worden sein.

 

Mit Kosten ist IMHO nicht zu rechnen weil Cisco schon seit einiger Zeit auch Base-Images mit SSH anbietet. Früher war das nur in den "Advanced" enthalten (zumindest bei Switches wars so)

[onedread 10]

Hi

 

Ich hab hier einen 827 4V Router mit neuestem IOS 12.4.17 LD oder so ähnlich hier ist ein Auszug aus der Cisco Seite

 

Configuring Secure Shell

 

Secure Shell (SSH) is supported on the following Cisco routers:

 

•Cisco 826 and 836

 

•Cisco 827, 827H, 827-4V, 831, and 837

 

•Cisco 828

 

•Cisco SOHO 91, SOHO 96, and SOHO 97

 

Aus folgender Seite

 

Cisco 826, 827, 828, 831, 836, and 837 and SOHO 76, 77, 78, 91, 96, and 97 Routers Software Configuration Guide - Advanced Router Configuration  [Cisco 800 Series Routers] - Cisco Systems

 

nur kann ich SSH nirgends aktivieren weil es den crypto Befehl gar nicht gibt.

 

Seltsam oder?

 

onedread

[Wordo 11]

Sicher das du davor "conf t" eingegeben hast? Das passiert mir auch oefters mal .. :)

[onedread 10]

jepp conf t hab ich eingeben aber auch beim Featureset wird kein ssh oder secure http server angezeigt aber auf dieser Seite steht das es Unterstützt wird.

 

thx

onedread

[Wordo 11]

Post mal bitte ein "show version"

[Sailer 11]

nur kann ich SSH nirgends aktivieren weil es den crypto Befehl gar nicht gibt.

 

Naja, nur weil der Router das prinzipiell könnte... wie gesagt, das hängt vom Image ab -> K9

Im Zweifelsfall mit dem Feature-Navigator ein passendes IOS auf der Cisco-Seite suchen und runterladen ;)

[onedread 10]

he

 

hier mal ds sh ver

 

Cisco IOS Software, C820 Software (C820-SV6Y6-M), Version 12.4(17), RELEASE SOFTWARE (fc1)

Technical Support: Cisco - Shortcut

Copyright © 1986-2007 by Cisco Systems, Inc.

Compiled Sat 08-Sep-07 02:57 by prod_rel_team

 

ROM: System Bootstrap, Version 12.2(1r)XE2, RELEASE SOFTWARE (fc1)

 

Router1 uptime is 1 day, 6 hours, 47 minutes

System returned to ROM by power-on

System image file is "flash:c820-sv6y6-mz.124-17.bin"

 

Cisco C827-4V (MPC855T) processor (revision 0x1001) with 48128K/1024K bytes of memory.

Processor board ID JAE0818G25A, with hardware revision 0000

CPU rev number 5

4 POTS Ports

1 Ethernet interface

1 ATM interface

128K bytes of NVRAM.

12288K bytes of processor board System flash (Read/Write)

2048K bytes of processor board Web flash (Read/Write)

 

Configuration register is 0x2102

 

Naja im Feature Navigator hab ich nix gefundn das so ähnlich klingt wie ssh oder https. Aber wie gesagt auf der Configseite des 827er steht das ssh unterstützt wird, doch anscheinend ned vo de Images des für ihn gibt.

 

thx

onedread

[kroliczko 10]

mal eine Frage:

welche Vorteile hat SSH gegenüber Telnet für den Zugriff auf Switch/Router/FW??

 

wofür ist gut SSH gegenüber Telnet und was kann SSH besser als Telnet bzw was lässt sich in dem Zusammenhang empfehlen?

 

Danke & Gruß

[onedread 10]

Hi

 

SSH ermöglicht eine sichere, authentifizierte und verschlüsselte Verbindung zwischen zwei Rechnern über ein unsicheres Netzwerk. Dadurch dient es unter anderem als Ersatz für die Vorgänger rlogin, telnet und rsh; diese übertragen jeglichen Netzverkehr, darunter auch die Passwörter, unverschlüsselt und sollten daher nicht mehr verwendet werden.

 

genauere Infos

 

Secure Shell - Wikipedia

 

mfg

onedread

[kroliczko 10]

Danke für die Erklärung!

und hast du es mit SSH für den Cisco3750 geschaft?

 

 

Ich habe es mit einem Cisco3750 Switch(c3750-ipbase-mz.122-25.SEE3.bin) versucht aber leider nicht geschaft :-(

 

mit conf t oder ohne lässt sich der command "crypto key ..." nicht ausführen!

 

Funktioniert es nun bei dir? falls ja wie hast du es konfiguriert?

 

 

Danke und Gruß

[adowoMAC 10]

Du brauchst ein Crypto Image dafür .. z.B. c3750-ipbasek9-mz.122-25.SEE3.bin

 

Du kannst im Feature-Navigator für jedes Image die Feature abrufen: Cisco Systems - Redirect to Feature Navigator

[onedread 10]

Hi

 

ja bei mir hats geklappt.

 

folgendes

 

conf t

ip domain-name xxxx.xx

crypto key gen rsa

 

dann die routine durchgehen

 

username admin privilige xx password xxxxxx

 

Ich hab auf dem einem Switch in Ungarn die c3750-ipservicek9-mz.122-37.SE oben

 

mfg

onedread