ip ssh access-addresses

Данная команда ограничивает доступ до SSH-сервера. SSH-сервер становится доступным только с определённых адресов.

Использование отрицательной формы команды (no) разрешает доступ с любых адресов.

Синтаксис

ip ssh access-addresses [ vrf <NAME> ] <OBJ-GR-NAME>
no ip ssh access-addresses [ vrf <NAME> ]

Параметры

<OBJ-GR-NAME>  – имя профиля IP-адресов, с которых разрешён доступ.

<VRF> – имя экземпляра VRF, в рамках которого будет работать ограничение доступа на SSH-сервер.

Необходимый уровень привилегий

15

Значение по умолчанию

Доступ разрешён с любых адресов.

Командный режим

CONFIG

Пример

esr(config)# ip ssh access-addresses MGT

ip ssh authentication algorithm disable

Данная команда запрещает использование определенного алгоритма аутентификации для SSH-сервера.

Использование отрицательной формы команды (no) разрешает использование определенного алгоритма аутентификации для SSH-сервера.

Синтаксис

[no] ip ssh authentication algorithm <ALGORITHM> disable

Параметры

<ALGORITHM> – алгоритм хеширования, принимает значения [md5, md5-96, sha1, sha1-96, sha2-256, sha2-512, ripemd160].

Необходимый уровень привилегий

15

Значение по умолчанию

Разрешены все алгоритмы аутентификации.

Командный режим

CONFIG

Пример

esr(config)# no ip ssh authentication algorithm md5 disable

ip ssh authentication retries

Данная команда устанавливает количество попыток аутентификации для SSH-сервера.

Использование отрицательной формы команды (no) устанавливает количество попыток аутентификации для SSH-сервера по умолчанию.

Синтаксис

ip ssh authentication retries <NUM>

no ip ssh authentication retries

Параметры

<NUM> – количество попыток аутентификации для SSH-сервера [1..10].

Необходимый уровень привилегий

10

Значение по умолчанию

6

Командный режим

CONFIG

Пример

esr(config)# ip ssh authentication retries 5

ip ssh authentication timeout

Данная команда устанавливает, для ssh-сервера на маршрутизаторе, время ожидания ввода пароля при аутентификации SSH-клиента.

Использование отрицательной формы команды (no) устанавливает период времени ожидания аутентификации для SSH-сервера по умолчанию.

Синтаксис

ip ssh authentication timeout <SEC>

no ip ssh authentication timeout

Параметры

<SEC> – период времени в секундах, принимает значения [30..360].

Необходимый уровень привилегий

10

Значение по умолчанию

120

Командный режим

CONFIG

Пример

esr(config)# ip ssh authentication timeout 60

ip ssh client password

Данной командой определяется пароль по умолчанию для операций копирования по протоколу SCP.

Использование отрицательной формы команды (no) удаляет пароль.

Синтаксис

ip ssh client password { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }

no ip ssh client password

Параметры

<CLEAR-TEXT> – пароль, задаётся строкой [1 .. 16] символов, принимает значения [0-9a-fA-F];

<ENCRYPTED-TEXT > – зашифрованный пароль, задаётся строкой [2..32] символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip ssh client password test132

ip ssh client source-ip

Данной командой определяется IP-адрес маршрутизатора, от которого будут устанавливаться SSH-сессии на другие устройства.

Использование отрицательной формы команды (no) удаляет имя пользователя.

Синтаксис

ip ssh client source-ip <ADDR>

no ip ssh client source-ip

Параметры

<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Указываемый IP-адрес должен быть назначен на каком-либо интерфейсе/туннеле маршрутизатора.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# ip ssh client source-ipt 192.168.22.78

ip ssh client username

Данной командой определяется имя пользователя по умолчанию для операций копирования по протоколу SCP.

Использование отрицательной формы команды (no) удаляет имя пользователя.

Синтаксис

ip ssh client username <NAME>

no ip ssh client username

Параметры

<NAME> – имя пользователя, задаётся строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip ssh client username tester

ip ssh dscp

Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов SSH-сервера.

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

ip ssh dscp <DSCP>

no ip ssh dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

48

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# ip ssh dscp 40

ip ssh encryption algorithm disable

Данная команда запрещает использование определенного алгоритма шифрования для SSH-сервера.

Использование отрицательной формы команды (no) разрешает использование определенного алгоритма шифрования для SSH-сервера.

Синтаксис

[no] ip ssh encryption algorithm <ALGORITHM> disable

Параметры

<ALGORITHM> – идентификатор алгоритма шифрования, принимает значения [aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, arcfour, arcfour128, arcfour256, blowfish, cast128, 3des].

Необходимый уровень привилегий

15

Значение по умолчанию

Все алгоритмы разрешены.

Командный режим

CONFIG

Пример

esr(config)# ip ssh encryption algorithm aes128 disable

ip ssh host-key algorithm

Данная команда запрещает использование определенного алгоритма верификации Host-Key для SSH-сервера.

Использование отрицательной формы команды (no) разрешает использование определенного алгоритма алгоритма верификации Host-Key для SSH-сервера.

Синтаксис

[no] ip ssh host-key algorithm <ALGORITHM> disable

Параметры

<ALGORITHM> – идентификатор алгоритма шифрования, принимает значения [dsa, ecdsa256, ecdsa384, ecdsa521, ed25519, rsa].

Необходимый уровень привилегий

15

Значение по умолчанию

Все алгоритмы разрешены.

Командный режим

CONFIG

Пример

esr(config)# ip ssh host-key algorithm dsa disable

ip ssh key-exchange algorithm disable

Данная команда запрещает использование определенного алгоритма обмена ключами для SSH-сервера.

Использование отрицательной формы команды (no) разрешает использование определенного алгоритма обмена ключами для SSH-сервера.

Синтаксис

[no] ip ssh key-exchange algorithm <ALGORITHM> disable

Параметры

<ALGORITHM> – идентификатор протокола обмена ключами, принимает значения [dh-group1-sha1, dh-group14-sha1, dh-group-exchange-sha1, dh-group-exchange-sha256, ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp521].

Необходимый уровень привилегий

15

Значение по умолчанию

Все алгоритмы разрешены.

Командный режим

CONFIG

Пример

esr(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable

ip ssh key-exchange time

Данная команда устанавливает период времени смены ключей аутентификации для SSH-сервера.

Использование отрицательной формы команды (no) устанавливает период времени смены ключей аутентификации для SSH-сервера по умолчанию.

Синтаксис

ip ssh key-exchange time <SEC>

no ip ssh key-exchange time

Параметры

<SEC> – период времени в часах, принимает значения [1..72].

Необходимый уровень привилегий

15

Значение по умолчанию

1

Командный режим

CONFIG

Пример

esr(config)# ip ssh key-exchange time 24

ip ssh key-exchange volume

Данная команда устанавливает объем данных, после прохождения которого произойдет обновление ключей аутентификации для SSH-сервера.

Использование отрицательной формы команды (no) устанавливает объем данных, после прохождения которого произойдет обновление ключей аутентификации для SSH-сервера по умолчанию.

Синтаксис

ip ssh key-exchange volume <DATA>

no ip ssh key-exchange volume

Параметры

<DATA> – объем данных в мегабайтах, принимает значения [1..4096].

Необходимый уровень привилегий

15

Значение по умолчанию

1000

Командный режим

CONFIG

Пример

esr(config)# ip ssh key-exchange volume 512

ip ssh port

Данной командой определяется порт SSH-сервера на маршрутизаторе.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ip ssh port <PORT>

no ip ssh port

Параметры

<PORT> – номер порта, указывается в диапазоне [1..65535].

Значение по умолчанию

22

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip ssh port 3001

ip ssh server

Данной командой включается SSH-сервер на маршрутизаторе.

Использование отрицательной формы команды (no) отключает SSH-сервер.

Синтаксис

[no] ip ssh server [ vrf <VRF>]

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет работать SSH-сервер.

Значение по умолчанию

SSH-сервер выключен.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

esr(config)# no ip ssh server

ip telnet access-addresses

Данная команда ограничивает доступ до Telnet-сервера. Telnet-сервер становится доступным только с определённых адресов.

Использование отрицательной формы команды (no) разрешает доступ с любых адресов.

Синтаксис

ip telnet access-addresses [ vrf <NAME> ] <OBJ-GR-NAME>
no ip telnet access-addresses [ vrf <NAME> ]

Параметры

<OBJ-GR-NAME>  – имя профиля IP-адресов, с которых разрешён доступ.

<VRF> – имя экземпляра VRF, в рамках которого будет работать ограничение доступа на Telnet-сервер.

Необходимый уровень привилегий

15

Значение по умолчанию

Доступ разрешён с любых адресов.

Командный режим

CONFIG

Пример

esr(config)# ip telnet access-addresses MGT

ip telnet dscp 

Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов Telnet-сервера.

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

ip telnet dscp <DSCP>

no ip telnet dscp

Параметры

<DSCP> – значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

48

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip telnet dscp 40

ip telnet port

Данной командой определяется порт Telnet-сервера на маршрутизаторе.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ip telnet port <PORT>

no ip telnet port

Параметры

<PORT> – номер порта, принимает значения [1..65535].

Значение по умолчанию

23

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# ip telnet port 2001

ip telnet server

Данной командой включается Telnet-сервер на маршрутизаторе.

Использование отрицательной формы команды (no) отключает Telnet-сервер.

Синтаксис

[no] ip telnet server [vrf <VRF>]

Параметры

<VRF> – имя экземпляра VRF, задается строкой до 31 символа, в рамках которого будет работать Telnet-сервер.

Значение по умолчанию

Telnet-сервер выключен.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# no ip telnet server

show crypto key mypubkey

Команда используется для просмотра открытых ключей устройства, используемых при установлении соединения по протоколу SSH.

Синтаксис

show crypto key mypubkey <OPTIONS>

Параметры

<OPTIONS> – алгоритм генерации нового криптографического ключа:

• dsa – алгоритм DSA;
• ecdsa – алгоритм ECDSA. Дополнительно необходимо указать размер ключа, 256, 384 или 521;
• ed25519 – алгоритм ED25519;
• rsa – алгоритм RSA;
• rsa1 – алгоритм RSA1.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

esr# show crypto key mypubkey rsa
Key data
------------------------------------------------------------
ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDz750sWCQrnNufg1yhuksTFYCYdEfg
JZ9tWUvcssAZhCJWMewprXBuZMABzFmfBg157pgapxn2qJXJ8ESMV7X7gPfy
xQQah6l376z3SFcpKvwudNgwHiS5HCYPRQWx2Xdaz/nJtYr5NpYgLPba68NC
iXcqEp7EPR5GojDVxpuDuk0hPFcihzmt5Yx8ZptJRzRtsuDQYlowv0Qa24kd
OlQ90/1qKfbAhB6XI60l+dK5VEj7giBESarcRn69/e/YVbdGBdTE93QWFPKI
bm63imfbxRwWtcwsFdIHi8Blv9ZqDqqF/IO3TkIKa31hV9GnsawlAXi/IdyY
bYPboHRdcTlH/ root@esr-1000	

ssh authentication method

Данной командой выбирается метод аутентификации SSH-сессий для выбранной учетной записи.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ssh authentication method <METHOD>
no ssh authentication method

Параметры

<METHOD> – метод аутентификации SSH-сессий. Может принимать значения:

• password – аутентификация пользователя при открытии SSH-сессий может быть произведена только по паролю;
• pubkey – аутентификация пользователя при открытии SSH-сессий может быть произведена только по публичному ключу;
• both – аутентификация пользователя при открытии SSH-сессий может быть произведена как по паролю, так и по публичному ключу.

Значение по умолчанию

Аутентификация пользователя при открытии SSH-сессии может быть произведена только по паролю.

Необходимый уровень привилегий

15

Командный режим

CONFIG-USER

Пример

esr(config-user)# ssh authentication method pubkey

ssh pubkey

Данной командой указывается публичный ключ, который будет использован при аутентификации SSH-сессии для выбранной учетной записи.

Использование отрицательной формы команды (no) удаляет привязку публичного ключа к учетной записи из конфигурации.

Синтаксис

ssh pubkey <NAME>
no ssh pubkey

Параметры

<NAME> – имя файла публичного ключа, расположенного в разделе crypto:public-key, задаётся строкой до 31 символа.

Значение по умолчанию

Отсутствует

Необходимый уровень привилегий

15

Командный режим

CONFIG-USER

Пример

esr(config-user)# ssh pubkey admin_id_rsa.pub

update ssh-host-key

Данной командой генерируется пара новых криптографических ключей для установления соединения по протоколу SSH.

Синтаксис

update ssh-host-key { dsa | escda <ESCDA> | ed25519 <ED25519> | rsa <RSA> }

Параметры

dsa – алгоритм DSA;

ecdsa – алгоритм ECDSA:

• <ECDSA> – размер ключа, принимает значение 256, 384 или 521;
• Без указания используется размер ключа 521.

ed25519 – алгоритм ED25519:

• <ED25519> – размер ключа, принимает значение [256..2048];
• Без указания используется размер ключа 2048.

rsa – алгоритм RSA с указанием длины ключа:

• <RSA> – размер ключа, принимает значение [1024..2048];
• Без указания используется размер ключа 2048.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

esr(config)# update ssh-host-key ecdsa