Configuration du protocole ssh - switch Cisco

  1. Comment se connecter au switch

  2. Comment enregistrer la configuration

  3. Configuration de base

  4. Configurer ssh

  5. Configuration des ports

  6. Comment configurer les vlans

  7. Comment configurer simplement la qualité de service

  8. Comment configurer le spanning-tree

  9. Configuration des services syslog, snmp, ntp

  10. Comment mettre àjour le switch

  11. Configuration d'une pile de switch 3750

  12. Quelques commandes de diagnostique

  13. Routage intervlan


Quel protocole choisir pour l'administration du switch, configuration du protocole ssh.
Les commandes suivantes ont été testées sur des switchs série Catalyst 9200, 9200L, 3750 et 2960.

Quel protocole d'administration à distance choisir?

En général, il y a le choix entre l'administration web sécurisée ou pas (protocole http ou https) et/ou l'administration en ligne de commande sécurisée ou pas (telnet ou ssh).
L'administration du switch en utilisant une interface web peut être pratique. Mais nous choisirons en priorité l'administration du switch en utilisant la ligne de commande pour les raisons suivantes:

  • En cas de coupure réseau, il nous faudra intervenir directement sur le switch, donc autant être habitué à travailler en ligne de commande,
  • L'interface web peut être moins stable que l'interface en ligne de commande (CLI),
  • Les configurations avancées sont souvent disponibles uniquement au travers de la ligne de commande,
  • Je vous laisse trouver d'autres arguments...

Pour avoir un compte rendu graphique des objets du switch, nous nous tournerons vers une solution de supervision du réseau qui allie les avantages de la ligne de commande à une présentation graphique des objets du réseau. En général, ces logiciels fonctionnent grace au protole SNMP.

Ainsi (revenons au sujet) les interfaces web seront désactivées.
Il nous reste à choisir entre telnet et ssh. Le second étant nettement plus sécurisé que le premier, il est préférable (quand cela est possible) d'activer uniquement ssh sur le switch.

Activation / désactivation des interfaces d'administration web

Les commandes suivantes active puis désactive l'administration web non sécurisée et sécurisée.
2960-RG(config)#ip http server
2960-RG(config)#ip http secure-server
2960-RG(config)#no ip http server
2960-RG(config)#no ip http secure-server

Configuration du protocole ssh pour le switch

  • Vérification de la prise en compte du protocole ssh par l'IOS
    • Tout d'abord, il faut vérifier que l'IOS du switch supporte ssh. La mention k9 (crypto) doit figurer dans le nom de l'IOS.
    La commande pour vérifier la version de l'IOS est:
    2960-RG#show version
    Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE, RELEASE SOFTWARE (fc2)
    Technical Support: http://www.cisco.com/techsupport
    Copyright (c) 1986-2010 by Cisco Systems, Inc.
    Compiled Sat 07-Aug-10 23:04 by prod_rel_team
  • Le protocole ssh peut être activé par défaut. Vérifions avec la commande suivante:
    • 2960-RG#show ip ssh
    SSH Enabled - version 2.0
    Authentication timeout: 60 secs; Authentication retries: 3
  • Configuration du nom d'hote et du nom de domaine.
    • Le nom du switch ainsi que le nom de domaine doivent avoir été configurés.
  • Création de la clé
    • 2960-RG(config)#crypto key generate rsa general-keys modulus 1024
    The name for the keys will be: 2960-RG.mondomaine.fr
    % The key modulus size is 1024 bits
    % Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

    2960-RG(config)#
    *Mar 1 00:42:43.625: %SSH-5-ENABLED: SSH 1.99 has been enabled
  • Activation de ssh

    • 2960-RG(config)#ip ssh version 2
  • Options ajoutées au service ssh
    • - les évènements associés aux connexions ssh sont enregistrés dans les logs.
    - Un timeout de 60 secondes est ajouté en cas d'inactivité durant l'authentification.
    - Nous laissons trois essais pour la connexion au switch. Suite à ces essais, la connexion est fermée.

    clem(config)#ip ssh logging events
    clem(config)#ip ssh time-out 60
    clem(config)#ip ssh authentication-retries 3
  • Configuration de l'authentification et ajout d'un compte administrateur
    • clem(config)#aaa new-model
    clem(config)#aaa authentication login default local
    clem(config)#aaa authorization exec default local
    clem(config)#username admin secret P@55w0rd
  • Désactivation de telnet pour l'accès au switch
    • clem(config)#line vty 0 15
    clem(config-line)#login local
    clem(config-line)#transport input ssh
  • Vérification de la configuration
    • 2960-RG#show ip ssh
    SSH Enabled - version 2.0
    Authentication timeout: 60 secs; Authentication retries: 3

SSH est maintenant activé. nous pouvons accéder au switch avec un client ssh (par exemple putty pour windows).

Suppression de ssh

La suppression de la clé entraine la désactivation de ssh.
2960-RG(config)#crypto key zeroize rsa
% All RSA keys will be removed.
% All router certs issued using these keys will also be removed.
Do you really want to remove these keys? [yes/no]: yes
2960-RG(config)#
Vérification:
2960-RG#sh ip ssh
SSH Disabled - version 2.0
%Please create RSA keys to enable SSH (of atleast 768 bits size) to enable SSH v2.
Authentication timeout: 60 secs; Authentication retries: 3

Filtrer les connexions ssh avec une liste de contrôle d'accès

La liste de contrôle d'accès va nous permettre de filtrer l'accès ssh en utilisant l'adresse IP source.

Dans la commande suivante, la liste de controle d’accès a le numéro 10 et le réseau autorisé à se connecter en ssh est 192.168.100.0/24.

Switch(config)#access-list 10 permit 192.168.100.0 0.0.0.255

Ensuite, on autorise la connection exclusive de ce réseau sur les terminaux virtuel avec la commande access-class:

Switch(config)#line vty 0 15
Switch(config-line)#access-class 10 in
Switch(config-line)#

Plan du site: switch Cisco
Contact.

Contrat Creative Commons
This création is licensed under a Creative Commons Paternité - Pas d'Utilisation Commerciale - Partage des Conditions Initiales à l'Identique 2.0 France License