Shrnutí článku:
V tomto článku jsou uvedeny kroky potřebné k omezení přístupu ke správě k použití protokolů HTTPS a SSH.
Tento postup předpokládá:
Přepínač je již nakonfigurován IP adresou a je dosažitelný v rámci sítě.
Existuje účet vytvořený s úrovní oprávnění 15. Ověříte to pomocí příkazu: console#show users accounts
Upozornění:
Řada 8000 a 8100 vyžaduje heslo režimu Privileged Exec (Enable) pro správu protokolu telnet/SSH. Pokud toto heslo nenastavíte, může to vést k zásadnímu omezení možnosti správy SSH přes příkazový řádek. ***Přidat odkaz pro nastavení hesla prostřednictvím webu a rozhraní příkazového řádku
Tento postup vyžaduje použití rozhraní příkazového řádku. Tento postup lze využít prostřednictvím sériové relace nebo relace Telnet. Tyto kroky je však nutné dodržet, pokud používáte protokol telnet, aby se zabránilo neúmyslnému zablokování přístupu ke vzdálené správě.
Než zakážete přístup k protokolu telnet nebo HTTP, ověřte přístup k protokolu SSH nebo HTTPS.
Poznámka: Po provedení těchto kroků můžete očekávat, že se vám zobrazí zprávy o chybách souvisejících s autenticitou certifikátu. Souvisí to s vlastním generováním certifikátů a klíčů. Nejedná se o chybu.
Poznámka: Pokud je povolen protokol SSH nebo HTTPS a je žádoucí zakázat protokol Telnet a HTTP, přejděte na krok 3 a zakažte protokol Telnet a poté přejděte na krok 5 a zakažte protokol HTTP.
Tento systém dokáže vygenerovat a uložit 2 certifikáty. Pokud chcete vygenerovat druhý klíč, nahraďte číslici 1 číslicí 2. Pokud chcete druhý klíč aktivovat, použijte příkaz (config)# ip http secure-certificate 2.
- Připojte přepínač prostřednictvím příkazového řádku
- Protokol SSH povolíte zadáním následujících příkazů:
- console>enable
- console#config
- console(config)#crypto key generate rsa
- console(config)#ip ssh server
- Protokol telnet zakážete zadáním příkazu: console(config)# ip telnet server disable
- Protokol HTTPS povolíte zadáním následujících příkazů"
- console(config)# crypto certificate 1 generate
- console(config-crypto-cert)#key-generate
- console(config-crypto-cert)#exit
- console(config)# ip http secure-server
- Protokol HTTP zakážete zadáním: console(config)#no ip telnet server
- Po ověření konektivity prostřednictvím protokolů SSH nebo HTTPS konfiguraci uložte zadáním: console#copy running-config startup-config