Streszczenie artykułu:
W niektórych środowiskach może być wymagany bezpieczny dostęp do zarządzania. W tym artykule opisano czynności, które trzeba wykonać, aby ograniczyć dostęp do zarządzania tylko do protokołów HTTPS i SSH.
Przestroga: Ten proces wymaga użycia interfejsu wiersza poleceń (CLI). Proces ten może być używany poprzez sesję szeregową lub telnet. Należy jednak wykonać te kroki, aby zapobiec niezamierzonemu zablokowaniu dostępu do zdalnego zarządzania.
Procedura jest oparta na poniższych założeniach:
- Przełącznik jest już skonfigurowany za pomocą adresu IP i jest widoczny w sieci.
- Utworzono konto z 15 poziomem dostępu. Aby to sprawdzić, użyj polecenia:
console# show users accounts
Uwaga: Po wykonaniu tych czynności możesz się spodziewać wystąpienia błędów dotyczących autentyczności certyfikatu. Dzieje się tak, bo certyfikaty i klucze generują się samodzielnie. To nie jest błąd.
Przestroga: Przed wyłączeniem dostępu telnet lub HTTP, zweryfikuj dostęp SSH lub HTTPS.
Uwaga: Jeśli protokół SSH lub HTTPS jest włączony i wymagane jest wyłączenie telnet i HTTP, przejdź do kroku 3, aby wyłączyć telnet i kroku 5, aby wyłączyć protokół HTTP.
Process:
- Połącz się z przełącznikiem za pomocą interfejsu wiersza poleceń
- Aby włączyć protokół SSH, wprowadź następujące polecenia:
console>enable
console#config
console(config)#crypto key generate rsa
console(config)#crypto key generate dsa
console(config)# ip ssh server
- Aby wyłączyć Telnet, wprowadź następujące polecenie:
console(config)# ip telnet server disable
- Aby włączyć protokół HTTPS, wprowadź następujące polecenia:
console(config)# crypto certificate 1 generate
console(config-crypto-cert)#key-generate <512-2048>
console(config-crypto-cert)#exit
console(config)#ip https certificate 1
console(config)# ip https server
Uwaga: System ten jest w stanie wygenerować i przechowywać dwa certyfikaty. Aby wygenerować drugi klucz, zamień cyfrę 1 na 2. Aby aktywować drugi klucz, użyj console(config)#ip https certificate 2
.
- Aby wyłączyć protokół HTTP, wpisz:
console(config)# no ip http server
- Po zweryfikowaniu łączności przy użyciu protokołu SSH lub HTTPS zapisz konfigurację, wpisując:
console# copy running-config startup-config