Resumen del artículo:
En algunos entornos, es posible que se requiera acceso de administración seguro. En este artículo, se proporcionan los pasos necesarios para restringir el acceso de administración mediante HTTPS y SSH.
Advertencia: Este proceso requiere el uso de la interfaz de línea de comandos (CLI). Este proceso se puede utilizar a través de una sesión en serie o telnet. Sin embargo, se deben seguir estos pasos para evitar el bloqueo accidental del acceso a la administración remota.
En este procedimiento se asume que:
- El conmutador ya se configuró con una dirección IP y se puede acceder en la red.
- Existe una cuenta creada con un nivel de privilegio de 15. Para verificar esto, utilice el comando:
console# show users accounts
Nota: Después de completar estos pasos, recibirá errores acerca de la autenticidad del certificado. Esto se debe a que los certificados y las claves se generan automáticamente. No es un error.
Advertencia: Antes de desactivar el acceso por telnet o HTTP, compruebe el acceso por SSH o HTTPS.
Nota: Si SSH o HTTPS están habilitados y se requiere la deshabilitación de Telnet y HTTP, vaya al paso 3 para deshabilitar Telnet y al paso 5 para deshabilitar HTTP.
Proceso:
- Conéctese al switch mediante la CLI
- Para activar SSH, ingrese los siguientes comandos:
console>enable
console#config
console(config)#crypto key generate rsa
console(config)#crypto key generate dsa
console(config)# ip ssh server
- Para deshabilitar telnet, ingrese lo siguiente:
console(config)# ip telnet server disable
- Para habilitar HTTPS, ingrese los siguientes comandos:
console(config)# crypto certificate 1 generate
console(config-crypto-cert)#key-generate <512-2048>
console(config-crypto-cert)#exit
console(config)#ip https certificate 1
console(config)# ip https server
Nota: Este sistema es capaz de generar y almacenar dos certificados. Para generar la segunda clave, reemplace el número 1 por el 2. Para activar la segunda clave, utilice console(config)#ip https certificate 2
.
- Para desactivar HTTP, ingrese lo siguiente:
console(config)# no ip http server
- Después de verificar la conectividad mediante SSH o HTTPS, ingrese lo siguiente para guardar la configuración:
console# copy running-config startup-config