Makale Özeti:
Bazı ortamlarda güvenli yönetim erişimi gerekebilir. Bu makalede HTTPS ve SSH kullanarak yönetim erişimini kısıtlamak için gereken adımlar sunulmaktadır.
Dikkat: Bu işlem için Komut Satırı Arayüzü'nün (CLI) kullanılması gerekir. Bu işlem bir seri veya telnet oturumu aracılığıyla kullanılabilir. Ancak, uzaktan yönetime erişimin istenmeden engellenmesini önlemek için bu adımlar izlenmelidir.
Bu prosedürde şu durumlar kabul edilir:
- Switch zaten bir IP adresi ile yapılandırılmıştır ve ağ içinde ulaşılabilir durumdadır.
- Ayrıcalık Düzeyi 15 ile oluşturulmuş bir hesap bulunmaktadır. Bunu doğrulamak için şu komutu kullanın:
console# show users accounts
Not: Bu adımları tamamladıktan sonra sertifikanın orijinalliği ile ilgili hatalar alabilirsiniz. Bunun nedeni sertifikaların ve anahtarların kendi kendine oluşturulmuş olmalarıdır. Bu bir hata değildir.
Dikkat: Telnet veya HTTP erişimini devre dışı bırakmadan önce SSH veya HTTPS erişimini doğrulayın.
Not: SSH veya HTTPS etkinse ve telnet ile HTTP'nin devre dışı bırakılması gerekiyorsa telnet'i devre dışı bırakmak için 3. adıma ve HTTP'yi devre dışı bırakmak için 5. adıma gidin.
Process:
- CLI kullanarak anahtara bağlanma
- SSH'yi etkinleştirmek için aşağıdaki komutları girin:
console>enable
console#config
console(config)#crypto key generate rsa
console(config)#crypto key generate dsa
console(config)# ip ssh server
- Telnet'i devre dışı bırakmak için şu komutu girin:
console(config)# ip telnet server disable
- HTTPS'yi etkinleştirmek için aşağıdaki komutları girin:
console(config)# crypto certificate 1 generate
console(config-crypto-cert)#key-generate <512-2048>
console(config-crypto-cert)#exit
console(config)#ip https certificate 1
console(config)# ip https server
Not: Bu sistem iki sertifika oluşturma ve depolama kapasitesine sahiptir. İkinci anahtarı oluşturmak için 1 sayısını 2 ile değiştirin. İkinci anahtarı etkinleştirmek için şunu kullanın: console(config)#ip https certificate 2
.
- HTTP'yi devre dışı bırakmak için şu komutu girin:
console(config)# no ip http server
- SSH veya HTTPS kullanarak bağlantıyı doğruladıktan sonra şu komutu girerek yapılandırmayı kaydedin:
console# copy running-config startup-config