Просмотреть исходный

ip ssh access-addresses

Данная команда ограничивает доступ до SSH-сервера. SSH-сервер становится доступным только с определенных адресов.

Использование отрицательной формы команды (no) разрешает доступ с любых адресов.

Данная команда позволяет ограничивать доступ до SSH-сервера при отключенном функционале IP/MAC ACL.

В случае совместного использования данного функционала с функциями ACL необходимо, чтобы трафик был разрешен всеми тремя функциями.

Синтаксис

ip ssh access-addresses <OBJ-GR-NAME>
no ip ssh access-addresses

Параметры

<OBJ-GR-NAME> — имя профиля IP-адресов, с которых разрешен доступ.

Необходимый уровень привилегий

15

Значение по умолчанию

Доступ разрешен с любых адресов.

Командный режим

CONFIG

Пример

scs(config)# ip ssh access-addresses MGT

ip ssh authentication algorithm disable

Данная команда запрещает использование определенного алгоритма аутентификации для SSH-сервера.

Использование отрицательной формы команды (no) разрешает использование определенного алгоритма аутентификации для SSH-сервера.

Синтаксис

[no] ip ssh authentication algorithm <ALGORITHM> disable

Параметры

<ALGORITHM> — алгоритм хеширования, принимает значения [md5, md5-96, sha1, sha1-96, sha2-256, sha2-512, ripemd160].

Необходимый уровень привилегий

15

Значение по умолчанию

Разрешены все алгоритмы аутентификации.

Командный режим

CONFIG

Пример

scs(config)# no ip ssh authentication algorithm md5 disable

ip ssh authentication retries

Данная команда устанавливает количество попыток аутентификации для SSH-сервера.

Использование отрицательной формы команды (no) устанавливает количество попыток аутентификации для SSH-сервера по умолчанию.

Синтаксис

ip ssh authentication retries <NUM>

no ip ssh authentication retries

Параметры

<NUM> — количество попыток аутентификации для SSH-сервера [1..10].

Необходимый уровень привилегий

10

Значение по умолчанию

6

Командный режим

CONFIG

Пример

scs(config)# ip ssh authentication retries 5

ip ssh authentication timeout

Данная команда устанавливает, для ssh-сервера на консольном сервере, время ожидания ввода пароля при аутентификации SSH-клиента.

Использование отрицательной формы команды (no) устанавливает период времени ожидания аутентификации для SSH-сервера по умолчанию.

Синтаксис

ip ssh authentication timeout <SEC>

no ip ssh authentication timeout

Параметры

<SEC> — период времени в секундах, принимает значения [30..360].

Необходимый уровень привилегий

10

Значение по умолчанию

120

Командный режим

CONFIG

Пример

scs(config)# ip ssh authentication timeout 60

ip ssh client password

Данной командой определяется пароль по умолчанию для клиента протокола SSH.

Использование отрицательной формы команды (no) удаляет пароль.

Синтаксис

ip ssh client password { <CLEAR-TEXT> | encrypted <ENCRYPTED-TEXT> }

no ip ssh client password

Параметры

<CLEAR-TEXT> — пароль, задается строкой [1 .. 16] символов, принимает значения [0-9a-fA-F];

<ENCRYPTED-TEXT > — зашифрованный пароль, задается строкой [2..32] символов.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

scs(config)# ip ssh client password test132

ip ssh client source-ip

Данной командой определяется IP-адрес консольного сервера, от которого будут устанавливаться SSH-сессии на другие устройства.

Использование отрицательной формы команды (no) удаляет имя пользователя.

Синтаксис

ip ssh client source-ip <ADDR>

no ip ssh client source-ip

Параметры

<ADDR> — IP-адрес, задается в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Указываемый IP-адрес должен быть назначен на каком-либо интерфейсе сервера;

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

scs(config)# ip ssh client source-ip 192.168.22.78

ip ssh client username

Данной командой определяется имя пользователя по умолчанию для клиента протокола SSH.

Использование отрицательной формы команды (no) удаляет имя пользователя.

Синтаксис

ip ssh client username <NAME>

no ip ssh client username

Параметры

<NAME> — имя пользователя, задается строкой до 31 символа.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

scs(config)# ip ssh client username tester

ip ssh dscp

Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов SSH-сервера.

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

ip ssh dscp <DSCP>

no ip ssh dscp

Параметры

<DSCP> — значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

48

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

scs(config)# ip ssh dscp 40

ip ssh encryption algorithm disable

Данная команда запрещает использование определенного алгоритма шифрования для SSH-сервера.

Использование отрицательной формы команды (no) разрешает использование определенного алгоритма шифрования для SSH-сервера.

Синтаксис

[no] ip ssh encryption algorithm <ALGORITHM> disable

Параметры

<ALGORITHM> — идентификатор алгоритма шифрования, принимает значения [aes128, aes192, aes256, aes128ctr, aes192ctr, aes256ctr, arcfour, arcfour128, arcfour256, blowfish, cast128, 3des].

Необходимый уровень привилегий

15

Значение по умолчанию

Все алгоритмы разрешены.

Командный режим

CONFIG

Пример

scs(config)# ip ssh encryption algorithm aes128 disable

ip ssh host-key algorithm

Данная команда запрещает использование определенного алгоритма верификации Host-Key для SSH-сервера.

Использование отрицательной формы команды (no) разрешает использование определенного алгоритма алгоритма верификации Host-Key для SSH-сервера.

Синтаксис

[no] ip ssh host-key algorithm <ALGORITHM> disable

Параметры

<ALGORITHM> — идентификатор алгоритма шифрования, принимает значения [dsa, ecdsa256, ecdsa384, ecdsa521, ed25519, rsa].

Необходимый уровень привилегий

15

Значение по умолчанию

Все алгоритмы разрешены.

Командный режим

CONFIG

Пример

scs(config)# ip ssh host-key algorithm dsa disable

ip ssh key-exchange algorithm disable

Данная команда запрещает использование определенного алгоритма обмена ключами для SSH-сервера.

Использование отрицательной формы команды (no) разрешает использование определенного алгоритма обмена ключами для SSH-сервера.

Синтаксис

[no] ip ssh key-exchange algorithm <ALGORITHM> disable

Параметры

<ALGORITHM> — идентификатор протокола обмена ключами, принимает значения [dh-group1-sha1, dh-group14-sha1, dh-group-exchange-sha1, dh-group-exchange-sha256, ecdh-sha2-nistp256, ecdh-sha2-nistp384, ecdh-sha2-nistp521].

Необходимый уровень привилегий

15

Значение по умолчанию

Все алгоритмы разрешены.

Командный режим

CONFIG

Пример

scs(config)# ip ssh key-exchange algorithm dh-group-exchange-sha1 disable

ip ssh key-exchange time

Данная команда устанавливает период времени смены ключей аутентификации для SSH-сервера.

Использование отрицательной формы команды (no) устанавливает период времени смены ключей аутентификации для SSH-сервера по умолчанию.

Синтаксис

ip ssh key-exchange time <SEC>

no ip ssh key-exchange time

Параметры

<SEC> — период времени в часах, принимает значения [1..72].

Необходимый уровень привилегий

15

Значение по умолчанию

1

Командный режим

CONFIG

Пример

scs(config)# ip ssh key-exchange time 24

ip ssh key-exchange volume

Данная команда устанавливает объем данных, после прохождения которого произойдет обновление ключей аутентификации для SSH-сервера.

Использование отрицательной формы команды (no) устанавливает объем данных, после прохождения которого произойдет обновление ключей аутентификации для SSH-сервера по умолчанию.

Синтаксис

ip ssh key-exchange volume <DATA>

no ip ssh key-exchange volume

Параметры

<DATA> — объем данных в мегабайтах, принимает значения [1..4096].

Необходимый уровень привилегий

15

Значение по умолчанию

1000

Командный режим

CONFIG

Пример

scs(config)# ip ssh key-exchange volume 512

ip ssh port

Данной командой определяется порт SSH-сервера на маршрутизаторе.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ip ssh port <PORT>

no ip ssh port

Параметры

<PORT> — номер порта, указывается в диапазоне [1..65535].

Значение по умолчанию

22

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

scs(config)# ip ssh port 3001

ip ssh server

Данной командой включается SSH-сервер на маршрутизаторе.

Использование отрицательной формы команды (no) отключает SSH-сервер.

Синтаксис

[no] ip ssh server

Параметры

Команда не содержит параметров.

Значение по умолчанию

SSH-сервер выключен.

Необходимый уровень привилегий

10

Командный режим

CONFIG

Пример

scs(config)# no ip ssh server

ip telnet access-addresses

Данная команда ограничивает доступ до Telnet-сервера. Telnet-сервер становится доступным только с определенных адресов.

Использование отрицательной формы команды (no) разрешает доступ с любых адресов.

Данная команда позволяет ограничивать доступ до Telnet-сервера при отключенных функциях IP/MAC ACL.

В случае совместного использования данного функционала с функциями IP/MAC ACL необходимо, чтобы трафик был разрешен всеми тремя функциями.

Синтаксис

ip telnet access-addresses <OBJ-GR-NAME>
no ip telnet access-addresses

Параметры

<OBJ-GR-NAME> — имя профиля IP-адресов, с которых разрешен доступ.

Необходимый уровень привилегий

15

Значение по умолчанию

Доступ разрешен с любых адресов.

Командный режим

CONFIG

Пример

scs(config)# ip telnet access-addresses MGT

ip telnet dscp

Команда задаёт значение кода DSCP для использования в IP-заголовке исходящих пакетов Telnet-сервера.

Использование отрицательной формы команды (no) устанавливает значение DSCP по умолчанию.

Синтаксис

ip telnet dscp <DSCP>

no ip telnet dscp

Параметры

<DSCP> — значение кода DSCP, принимает значения в диапазоне [0..63].

Значение по умолчанию

48

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

scs(config)# ip telnet dscp 40

ip telnet port

Данной командой определяется порт Telnet-сервера на маршрутизаторе.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ip telnet port <PORT>

no ip telnet port

Параметры

<PORT> — номер порта, принимает значения [1..65535].

Значение по умолчанию

23

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

scs(config)# ip telnet port 2001

ip telnet server

Данной командой включается Telnet-сервер на маршрутизаторе.

Использование отрицательной формы команды (no) отключает Telnet-сервер.

Синтаксис

[no] ip telnet server

Параметры

Команда не содержит параметров.

Значение по умолчанию

Telnet-сервер выключен.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

scs(config)# no ip telnet server

show crypto key mypubkey

Команда используется для просмотра открытых ключей устройства, используемых при установлении соединения по протоколу SSH.

Синтаксис

show crypto key mypubkey <OPTIONS>

Параметры

<OPTIONS> — алгоритм генерации нового криптографического ключа:

dsa — алгоритм DSA;
ecdsa — алгоритм ECDSA. Дополнительно необходимо указать размер ключа, 256, 384 или 521;
ed25519 — алгоритм ED25519;
rsa — алгоритм RSA;
rsa1 — алгоритм RSA1.

Необходимый уровень привилегий

15

Командный режим

ROOT

Пример

scs# show crypto key mypubkey rsa
Key data
------------------------------------------------------------
ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDz750sWCQrnNufg1yhuksTFYCYdEfg
JZ9tWUvcssAZhCJWMewprXBuZMABzFmfBg157pgapxn2qJXJ8ESMV7X7gPfy
xQQah6l376z3SFcpKvwudNgwHiS5HCYPRQWx2Xdaz/nJtYr5NpYgLPba68NC
iXcqEp7EPR5GojDVxpuDuk0hPFcihzmt5Yx8ZptJRzRtsuDQYlowv0Qa24kd
OlQ90/1qKfbAhB6XI60l+dK5VEj7giBESarcRn69/e/YVbdGBdTE93QWFPKI
bm63imfbxRwWtcwsFdIHi8Blv9ZqDqqF/IO3TkIKa31hV9GnsawlAXi/IdyY
bYPboHRdcTlH/ root@scs

ssh authentication method

Данной командой выбирается метод аутентификации SSH-сессий для выбранной учетной записи.

Использование отрицательной формы команды (no) устанавливает значение по умолчанию.

Синтаксис

ssh authentication method <METHOD>
no ssh authentication method

Параметры

<METHOD> — метод аутентификации SSH-сессий. Может принимать значения:

password — аутентификация пользователя при открытии SSH-сессий может быть произведена только по паролю;
pubkey — аутентификация пользователя при открытии SSH-сессий может быть произведена только по публичному ключу;
both — аутентификация пользователя при открытии SSH-сессий может быть произведена как по паролю, так и по публичному ключу.

Значение по умолчанию

Аутентификация пользователя при открытии SSH-сессии может быть произведена только по паролю.

Необходимый уровень привилегий

15

Командный режим

CONFIG-USER

Пример

scs(config-user)# ssh authentication method pubkey

ssh pubkey

Данной командой указывается публичный ключ, который будет использован при аутентификации SSH-сессии для выбранной учетной записи.

Использование отрицательной формы команды (no) удаляет привязку публичного ключа к учетной записи из конфигурации.

Синтаксис

ssh pubkey <NAME>
no ssh pubkey

Параметры

<NAME> — имя файла публичного ключа, расположенного в разделе crypto:public-key, задается строкой до 31 символа.

Значение по умолчанию

Отсутствует

Необходимый уровень привилегий

15

Командный режим

CONFIG-USER

Пример

scs(config-user)# ssh pubkey admin_id_rsa.pub

update ssh-host-key

Данной командой генерируется пара новых криптографических ключей для установления соединения по протоколу SSH.

Синтаксис

update ssh-host-key { dsa | escda <ESCDA> | ed25519 <ED25519> | rsa <RSA> }

Параметры

dsa — алгоритм DSA;

ecdsa — алгоритм ECDSA:

<ECDSA> — размер ключа, принимает значение 256, 384 или 521;
Без указания используется размер ключа 521.

ed25519 — алгоритм ED25519:

<ED25519> — размер ключа, принимает значение [256..2048];
Без указания используется размер ключа 2048.

rsa — алгоритм RSA с указанием длины ключа:

<RSA> — размер ключа, принимает значение [1024..2048];
Без указания используется размер ключа 2048.

Необходимый уровень привилегий

15

Командный режим

CONFIG

Пример

scs(config)# update ssh-host-key ecdsa