Configuración de SSH en Switch y Router Cisco

En el siguiente articulo vamos a revisar la configuración de SSH en switch y router Cisco, aplicación y uso en la administración de la red.

¿Qué es SSH?

SSH o Secure Shell es un protocolo que proporciona acceso remoto seguro a dispositivos de la red. La comunicación entre el cliente es encriptado con el protocolo SSH, evitando que terceras personas puedan descubrir el usuario y contraseña ni la información enviad durante la sesión.

Pasos para la Configuración de SSH en Switch y Router Cisco

La siguiente imagen es el diagrama de red con el cual estaremos trabajando para realizar la configuración de SSH en Switch y Router.

Configurar SSH en Switch Cisco

1.- Configuración de IP de administración en switch.

Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
Switch(config)#int vlan 10
Switch(config-if)#

%LINK-5-CHANGED: Interface Vlan10, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up

Switch(config-if)#
Switch(config-if)#ip address 10.10.10.10 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#exit
Switch(config)# exit 
Switch#

2.- Configurar el default Gateway que es el Router RTR1.

Switch(config)#ip default-gateway 10.10.10.1
Switch(config)#end
Switch#

3.- Configuración de hostname del switch y nombre de dominio del sitio o empresa.

Switch#
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#hostname SW1
SW1(config)#
SW1(config)#ip domain-name dotbugs.com
SW1(config)#

4.- Generación de llave RSA.

SW1(config)#
SW1(config)#crypto key generate rsa 
The name for the keys will be: SW1.dotbugs.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]

SW1(config)#
*Mar 1 0:21:52.228: %SSH-5-ENABLED: SSH 1.99 has been enabled
SW1(config)#

Como se puede ver en la salida al aplicar el comando, cuando aún no se especifica la versión de SSH que se requiere utilizar, en automático se activa una versión que el switch recomienda según el nivel de encriptación de la llave, en este caso se activó SSH 1.99.

5.- Cambiar SSH versión 1 a la 2 (la versión 2 es la recomendada y más segura).

SW1(config)#
SW1(config)#ip ssh version 2
SW1(config)#

Validamos que la versión activa es la 2 con el siguiente comando “show ip ssh”.

SW1#show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
SW1#

6.- Configurar Line VTY

SW1#
SW1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#
SW1(config)#line vty 0 15
SW1(config-line)#transport input ssh
SW1(config-line)#login local
SW1(config-line)#exit
SW1(config)#exit
SW1#
%SYS-5-CONFIG_I: Configured from console by console

SW1#

7.- Crear nombre de usuario y password

SW1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#
SW1(config)#username dotbugs privilege 15 secret C1sc0321
SW1(config)#
SW1(config)#exit
SW1#
%SYS-5-CONFIG_I: Configured from console by console

SW1#

8.- Habilitar enable secret

SW1(config)#
SW1(config)#enable secret C1sc0321
SW1(config)#

9.- Realizar pruebas de SSH desde la PC1 al switch SW1.

C:\>
C:\>ssh -l dotbugs 10.10.10.10

Password: 


SW1#
SW1#

El resultado es exitoso, la conexión SSH es correcta al switch SW1. Para activar SSH en el router Cisco, el procedimiento es similar, se pueden seguir los mismos pasos.

Configuración de SSH en Router Cisco

1.- Configurar IP de administración.

RTR1#configure terminal
RTR1(config)#
RTR1(config)#inte gi0/0
RTR1(config-if)#
RTR1(config-if)#inte gi0/0.10
RTR1(config-subif)#encapsulation dot1Q 10
RTR1(config-subif)#ip address 10.10.10.1 255.255.255.0
RTR1(config-subif)#desc LAN_1
RTR1(config-subif)#no shut
RTR1(config-subif)#exit

RTR1(config)#inte gi0/0
RTR1(config-if)#no shut

RTR1(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up

%LINK-5-CHANGED: Interface GigabitEthernet0/0.10, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.10, changed state to up

RTR1(config-if)#
RTR1(config-if)#end

RTR1#

2.- Configurar SSH en router.

RTR1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RTR1(config)#
RTR1(config)#ip domain-name dotbugs.com
RTR1(config)#username dotbugs privilege 15 secret C1sc0321
RTR1(config)#
RTR1(config)#crypto key generate rsa
The name for the keys will be: RTR1.dotbugs.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 2048

% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]

RTR1(config)#
*Mar 1 1:24:40.136: %SSH-5-ENABLED: SSH 1.99 has been enabled
RTR1(config)#ip ssh version 2
RTR1(config)#
RTR1(config)#enable secret C1sc0321
RTR1(config)#
RTR1(config)#line vty 0 15
RTR1(config-line)#transport input ssh
RTR1(config-line)#login local
RTR1(config-line)#
RTR1(config-line)#
RTR1(config-line)#exit

RTR1(config)#exit

RTR1#

Fermin Alvarez

Me considero una persona apasionada por la tecnología y/o todo lo relacionado a servicios de TI, me gusta conocer un poco mas de todo lo nuevo que va saliendo y que puede hacer las cosas más sencillas y seguras, lo que busco plasmar en mis artículos es una manera sencilla de entender las cosas que he aprendido con el paso del tiempo y tratar de compartir un poco mas a detalle de algunos procesos y estructuras de TI.

Soy Ingeniero en Sistemas con certificaciones en redes Cisco, comparto lo poco o mucho de mi experiencia en el mundo de las tecnologías.