...
| Блок кода |
|---|
esr(config)# ip sftp client username esruser |
ip ssh access-addresses
Данная команда ограничивает доступ до SSH-сервера. SSH-сервер становится доступным только с определённых адресов.
Использование отрицательной формы команды (no) разрешает доступ с любых адресов.
| Примечание |
|---|
Данная команда позволяет ограничивать доступ до SSH-сервера при отключенных функциях Firewall или ACL. В случае совместного использования данного функционала с функциями Firewall и ACL необходимо, чтобы трафик был разрешён всеми тремя функциями. |
Синтаксис
ip ssh access-addresses [ vrf <NAME> ] <OBJ-GR-NAME>
no ip ssh access-addresses [ vrf <NAME> ]
Параметры
<OBJ-GR-NAME> – имя профиля IP-адресов, с которых разрешён доступ.
<VRF> – имя экземпляра VRF, в рамках которого будет работать ограничение доступа на SSH-сервер.
Необходимый уровень привилегий
15
Значение по умолчанию
Доступ разрешён с любых адресов.
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip ssh access-addresses MGT |
ip ssh authentication algorithm disable
...
Использование отрицательной формы команды (no) разрешает использование определенного алгоритма аутентификации для SSH-сервера.
Синтаксис
[no] ip ssh authentication algorithm <ALGORITHM> disable
Параметры
<ALGORITHM> – алгоритм хеширования, принимает значения [md5, md5-96, sha1, sha1-96, sha2-256, sha2-512, ripemd160].
Необходимый уровень привилегий
15
Значение по умолчанию
Разрешены все алгоритмы аутентификации.
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# no ip ssh authentication algorithm md5 disable |
...
Использование отрицательной формы команды (no) устанавливает количество попыток аутентификации для SSH-сервера по умолчанию.
Синтаксис
ip ssh authentication retries <NUM>
no ip ssh authentication retries
Параметры
<NUM> – количество попыток аутентификации для SSH-сервера [1..10].
Необходимый уровень привилегий
10
Значение по умолчанию
6
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip ssh authentication retries 5 |
...
Использование отрицательной формы команды (no) устанавливает период времени ожидания аутентификации для SSH-сервера по умолчанию.
Синтаксис
ip ssh authentication timeout <SEC>
no ip ssh authentication timeout
Параметры
<SEC> – период времени в секундах, принимает значения [30..360].
Необходимый уровень привилегий
10
Значение по умолчанию
120
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip ssh authentication timeout 60 |
...
Использование отрицательной формы команды (no) удаляет пароль.
Синтаксис
ip ssh client password { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }no ssh client password
Параметры
<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 16] символов, принимает значения [0-9a-fA-F];
<ENCRYPTED-TEXT > – зашифрованный пароль, задаётся строкой [2..32] символов.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip ssh client password test132 |
...
Использование отрицательной формы команды (no) удаляет имя пользователя.
Синтаксис
ip ssh client source-ip <ADDR>
no ssh client source-ip
Параметры
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Указываемый IP-адрес должен быть назначен на каком-либо интерфейсе/туннеле маршрутизатора.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip ssh client source-ipt 192.168.22.78 |
...
Использование отрицательной формы команды (no) удаляет имя пользователя.
Синтаксис
ip ssh client username <NAME>
no ssh client username
Параметры
<NAME> – имя пользователя, задаётся строкой до 31 символа.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip ssh client username tester |
...
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
ip ssh dscp <DSCP>
no ip ssh dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
32
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip ssh dscp 40 |
...
Использование отрицательной формы команды (no) разрешает использование определенного алгоритма шифрования для SSH-сервера.
Синтаксис
[no] ip ssh encryption algorithm <ALGORITHM> disable
Параметры
<ALGORITHM> – идентификатор алгоритма шифрования, принимает значения [aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, arcfour, arcfour128, arcfour256, blowfish, cast128, 3des].
Необходимый уровень привилегий
15
Значение по умолчанию
Все алгоритмы разрешены.
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip ssh encryption algorithm aes128 disable |
...
Использование отрицательной формы команды (no) разрешает использование определенного алгоритма алгоритма верификации Host-Key для SSH-сервера.
Синтаксис
[no] ip ssh host-key algorithm <ALGORITHM> disable
Параметры
<ALGORITHM> – идентификатор алгоритма шифрования, принимает значения [dsa, ecdsa256, ecdsa384, ecdsa521, ed25519, rsa ].
Необходимый уровень привилегий
15
Значение по умолчанию
Все алгоритмы разрешены.
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip ssh host-key algorithm dsa disable |
...
Использование отрицательной формы команды (no) разрешает использование определенного алгоритма обмена ключами для SSH-сервера.
Синтаксис
[no] ip ssh key-exchange algorithm <ALGORITHM> disable
Параметры
<ALGORITHM> – идентификатор протокола обмена ключами, принимает значения [dh-group1-sha1, dh-group14-sha1, dh-group-exchange-sha1, dh-group-exchange-sha256, ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp521].
Необходимый уровень привилегий
15
Значение по умолчанию
Все алгоритмы разрешены.
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable |
...
Использование отрицательной формы команды (no) устанавливает период времени смены ключей аутентификации для SSH-сервера по умолчанию.
Синтаксис
ip ssh key-exchange time <SEC>
no ip ssh key-exchange time
Параметры
<SEC> – период времени в часах, принимает значения [1..72].
Необходимый уровень привилегий
15
Значение по умолчанию
1
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip ssh key-exchange time 24 |
...
Использование отрицательной формы команды (no) устанавливает объем данных, после прохождения которого произойдет обновление ключей аутентификации для SSH-сервера по умолчанию.
Синтаксис
ip ssh key-exchange volume <DATA>
no ip ssh key-exchange volume
Параметры
<DATA> – объем данных в мегабайтах, принимает значения [1..4096].
Необходимый уровень привилегий
15
Значение по умолчанию
1000
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip ssh key-exchange volume 512 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip ssh port <PORT>
no ip ssh port
Параметры
<PORT> – номер порта, указывается в диапазоне [1..65535].
Значение по умолчанию
22
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip ssh port 3001 |
...
Использование отрицательной формы команды (no) отключает SSH-сервер.
Синтаксис
[no] ip ssh server [ vrf <VRF>]
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет работать SSH-сервер.
Значение по умолчанию
SSH-сервер выключен.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# no ip ssh server |
ip telnet access-addresses
Данная команда ограничивает доступ до Telnet-сервера. Telnet-сервер становится доступным только с определённых адресов.
Использование отрицательной формы команды (no) разрешает доступ с любых адресов.
| Примечание | ||
|---|---|---|
| ||
Данная команда позволяет ограничивать доступ до Telnet-сервера при отключенных функциях Firewall или ACL. В случае совместного использования данного функционала с функциями Firewall и ACL необходимо, чтобы трафик был разрешён всеми тремя функциями. |
Синтаксис
ip ssh access-addresses [ vrf <NAME> ] <OBJ-GR-NAME>
no ip ssh access-addresses [ vrf <NAME> ]
Параметры
<OBJ-GR-NAME> – имя профиля IP-адресов, с которых разрешён доступ.
<VRF> – имя экземпляра VRF, в рамках которого будет работать ограничение доступа на Telnet-сервер.
Необходимый уровень привилегий
15
Значение по умолчанию
Доступ разрешён с любых адресов.
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip telnet access-addresses MGT |
ip telnet dscp
Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов Telnet-сервера.
Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.
Синтаксис
ip telnet dscp <DSCP>
no ip telnet dscp
Параметры
<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].
Значение по умолчанию
32
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip telnet dscp 40 |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip telnet port <PORT>
no ip telnet port
Параметры
<PORT> – номер порта, принимает значения [1..65535].
Значение по умолчанию
23
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip telnet port 2001 |
...
Использование отрицательной формы команды (no) отключает Telnet-сервер.
Синтаксис
[no] ip telnet server [vrf <VRF>]
Параметры
<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет работать Telnet-сервер.
Значение по умолчанию
Telnet-сервер выключен.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# no ip telnet server |
ip tftp client timeout
Данной командой настраивается время ожидания ответа от TFTP сервера для TFTP клиента на маршрутизаторе.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
ip tftp client timeout <TIMER>
no ip tftp client timeout
Параметры
<TIMER> – максимальное значение времени ожидания ответа от TFTP сервера в секундах, принимает значение [10..60].
Значение по умолчанию
10
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# ip tftp client timeout 15 |
show crypto key mypubkey
Команда используется для просмотра открытых ключей устройства, используемых при установлении соединения по протоколу SSH.
Синтаксис
show crypto key mypubkey <OPTIONS>
| Scroll Pagebreak |
|---|
Параметры
<OPTIONS> – алгоритм генерации нового криптографического ключа:
- dsa – алгоритм DSA;
- ecdsa – алгоритм ECDSA. Дополнительно необходимо указать размер ключа, 256, 384 или 521;
- ed25519 – алгоритм ED25519;
- rsa – алгоритм RSA;
- rsa1 – алгоритм RSA1.
Необходимый уровень привилегий
15
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show crypto key mypubkey rsa Key data ------------------------------------------------------------ ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDz750sWCQrnNufg1yhuksTFYCYdEfg JZ9tWUvcssAZhCJWMewprXBuZMABzFmfBg157pgapxn2qJXJ8ESMV7X7gPfy xQQah6l376z3SFcpKvwudNgwHiS5HCYPRQWx2Xdaz/nJtYr5NpYgLPba68NC iXcqEp7EPR5GojDVxpuDuk0hPFcihzmt5Yx8ZptJRzRtsuDQYlowv0Qa24kd OlQ90/1qKfbAhB6XI60l+dK5VEj7giBESarcRn69/e/YVbdGBdTE93QWFPKI bm63imfbxRwWtcwsFdIHi8Blv9ZqDqqF/IO3TkIKa31hV9GnsawlAXi/IdyY bYPboHRdcTlH/ root@esr-1000 |
...
Данной командой генерируется пара новых криптографических ключей для установления соединения по протоколу SSH.
Синтаксис
update ssh-host-key { dsa | escda <ESCDA> | ed25519 <ED25519> | rsa <RSA> }Параметры
dsa – алгоритм DSA;
ecdsa – алгоритм ECDSA;:
- <ECDSA> – размер ключа, принимает значение 256, 384 или 521;
- Без указания используется размер ключа 521.
ed25519 – алгоритм ED25519;:
- <ED25519> – размер ключа, принимает значение [256..2048];
- Без указания используется размер ключа 2048.
rsa – алгоритм RSA с указанием длины ключа;:
- <RSA> – размер ключа, принимает значение [1024..2048];
- Без указания используется размер ключа 2048.
Необходимый уровень привилегий
15
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# update ssh-host-key ecdsa |
...