SSH پروتکلی است که با استفاده از آن میتوان روتر و سویچ را از راه دور مدیریت کرد. تفاوت اصلی آن با Telnet، ایمن بودن آن میباشد. Telnet کاملا Clear text بوده و در صورت sniff کردن آن، تمامی دستوراتی که اجرا میکنید، از جمله نام کاربری و کلمه عبور ورود به روتر یا سویچ، قابل مشاهده هست. بنابراین استفاده از SSH جهت مدیریت دستگاه ها از راه دور، به شدت توصیه میشود.
پیش از فعال سازی SSH ابتدا توجه کنید که IOS توانایی پشتیبانی از SSH را داشته باشد. برای انجام این کار از دستور show version استفاده کنید:
IOS هایی که عبارت K9 در نام آنها مشاهده میشود، توانایی پشتیبانی Cryptography را داشته و میتوان SSH را بر روی آنها فعال کرد.
SSH داراي دو ورژن يك و دو ميباشد. ورژن يك را ميتوان Crack كرد. بنابراين از ورژن دو استفاده كنيد. هنگامي كه SSH را بر روي سويچ يا روتر سيسكو فعال ميكنيد، ورژن آن 1.99 است. يعني ورژن SSH آن يك است، ولي توانايي كار با ورژن دو را نيز دارد. بنابراين بايد ورژن آن را به دو تغيير دهيد.
SSH بر خلاف Telnet كه به طور پيش فرض فقط به تعيين پسورد نياز دارد، نياز به User Name نيز دارد. بنابراين پس از فعال سازي SSH، يك User Name با Privilage 15 نيز ايجاد كنيد. اين User ميتواند Local و يا بر روي يك Raidus Server باشد.
روتر برای ایجاد Certificate، نیاز به یک نام و domain name دارد. برای تعیین این دو پارامتر از دستورات زیر استفاده کنید:
R1(config)#host name RTR1
RTR1(config)#ip domain-name datis-arad.com
سپس با استفاده از دستور زیر، یک کلید ایجاد کنید:
RTR1(config)#crypto key generate rsa
The name for the keys will be: RTR1.datis-arad.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 768
% Generating 768 bit RSA keys, keys will be non-exportable...[OK]
به طور پیش فرض کلیدی به طور 512 بیت ساخته میشود. در صورتی که میخواهید از SSH ورژن دو استفاده کنید، طول کلید باید حداقل 768 بیت باشد.
حال باید User و پسورد برای دسترسی به روتر ایجاد کنید:
RTR1(config)#user datis privilage 15 password cisco
در صورتی که میخواهید روتر شما فقط از SSH ورژن دو پشتیبانی کند، از دستور زیر استفاده کنید:
RTR1(config)#ip ssh version 2
در نهایت دستور login local را در line vty وارد کنید:
RTR1(config)#line vty 0 15
RTR1(config-line)#login local
به طور پیش فرض به روتر یا سویچ میتوان Telnet و SSH زد. در صورتی که میخواهید برای افزایش ایمنی، Telnet بسته شود و فقط SSH به روتر زده شود، از دستور زیر در line vty استفاده کنید:
RTR1(config)#line vty 0 15
RTR1(config-line)#transport input {all | none | ssh | telnet}
اگر میخواهید کاربران بتوانند از local router به remote router ها فقط SSH بزنند، از دستور زیر استفاده کنید:
RTR1(config)#line vty 0 15
RTR1(config-line)#transport output ssh
با اجرای این دستور، کاربران از طریق RTR1 فقط میتوانند به تجهیزات دیگر SSH بزنند و امکان Telnet زدن به دیگر تجهیزات وجود ندارد.
برای SSH زدن به روتر یا سویچ، نیاز به نرم افزار Putty یا SecureCRT دارید. با این همه از روتر های دیگر نیز میتوان به این روتر SSH زدن