Przed rozpoczęciem konfiguracji protokołu SSH przełącznik musi zostać skonfigurowany z unikalną nazwą hosta i poprawnymi ustawieniami połączeń sieciowych.
Krok 1. Weryfikacja wsparcia SSH.
Użyj komendy show ip ssh aby sprawdzić, czy przełącznik obsługuje protokół SSH. Jeżeli przełącznik nie obsługuje funkcji IOS, która wspiera funkcje kryptograficzne, komenda ta jest nierozpoznawana.
Krok 2. Konfiguracja domeny IP.
Skonfiguruj nazwę domeny IP za pomocą komendy trybu konfiguracji globalnej ip domain-name domain-name . Na rys. 1, wartością domain-name jest cisco.com.
Krok 3. Generowanie pary kluczy RSA
Generowanie pary kluczy RSA automatycznie włącza protokół SSH. Użyj komendy trybu konfiguracji globalnej crypto key generate rsa, aby włączyć serwer SSH na przełączniku i wygenerować parę kluczy RSA. Podczas generowania kluczy RSA, administrator jest pytany o podanie długości modułów. Cisco zaleca minimalną wielkość modułów 1024 bitów (patrz przykładowa konfiguracja na rys. 1). Większa długość modułów jest bardziej bezpieczna, ale zajmuje więcej czasu w generowaniu i użytkowaniu.
Uwaga: Aby usunąć parę kluczy RSA, należy użyć komendy trybu konfiguracji globalnej crypto key zeroize rsa . Gdy para kluczy RSA zostanie usunięta, nastąpi automatyczne wyłączenie serwera SSH.
Krok 4. Konfiguracja autoryzacji użytkownika.
Serwer SSH może uwierzytelniać użytkowników lokalnie lub przy pomocy serwera uwierzytelniania. Aby użyć metody uwierzytelniania lokalnego, należy utworzyć parę nazw użytkownik i hasło przy użyciu komendy trybu konfiguracji globalnej username username password password. W tym przykładzie użytkownik admin ma przypisane hasło ccna.
Krok 5. Konfiguracja linii vty
Włącz protokół SSH na liniach vty przy pomocy komendy trybu konfiguracji linii transport input ssh . Catalyst 2960 posiada linie vty w zakresie od 0 do 15. Taka konfiguracja uniemożliwia połączenia inne niż SSH (jak np. Telnet) i ogranicza przełącznik do akceptowania tylko połączeń SSH. Użyj komendy trybu konfiguracji globalnej line vty, a następnie komendy trybu konfiguracji linii login local by wymagać lokalnej autoryzacji dla połączeń SSH z lokalnej bazy danych nazw użytkownika.
Użyj kontrolera składni na rys. 2, by skonfigurować protokół SSH na przełączniku S1.