AccueilCCNACCNA coursActivez le SSH sur votre routeur/switch en 5 étapes

Activez le SSH sur votre routeur/switch en 5 étapes

Par défaut, on ne peut pas faire de SSH vers un switch ou un rou­teur. Il faut au préa­lable confi­gu­rer cer­tains para­mètres pour que ça fonctionne.

Le pro­to­cole SSH uti­lise une com­mu­ni­ca­tion sécu­ri­sée pour évi­ter que des infor­ma­tions sen­sibles (confi­gu­ra­tion, login, mot de passe,…) soient inter­cep­tées durant leur trans­port jus­qu’à la console d’administration.

Voi­ci les dif­fé­rentes étapes pour confi­gu­rer le SSH sur un IOS :

  1. Défi­nir un compte uti­li­sa­teur avec le dou­blet [login/mot de passe]
  2. Défi­nir un host­name (par exemple MonRouteurAgence1) à son équi­pe­ment switch ou rou­teur, qui sera uti­li­sé pour géné­rer la clé de chiffrement
  3. Défi­nir un nom de domaine (par exemple cisco.com), qui sera aus­si uti­li­sé pour géné­rer la clé de chiffrement
  4. Géné­rer cette fameuse clé de chif­fre­ment, appe­lée RSA
  5. Acti­ver le SSH

Voi­ci un Mind à télécharger :

Configuration

1. Défi­nir un compte uti­li­sa­teur avec le dou­blet (login/mot de passe)

router> enable
router# configure terminal
router(config)# username julien password pa$$word

Ici on défi­nit un uti­li­sa­teur nom­mé « julien » dont le mot de passe asso­cié est « pa$$word »

2. Défi­nir un host­name à son équi­pe­ment switch ou rou­teur, qui sera uti­li­sé pour géné­rer la clé de chiffrement

router(config)# hostname R1
R1(config)#

Cette com­mande per­met de mettre un host­name par­ti­cu­lier à votre équi­pe­ment, ici « R1 ». Ce host­name est par ailleurs uti­li­sé pour géné­rer la clé de chif­fre­ment RSA, créée plus bas

3. Défi­nir un nom de domaine, qui sera uti­li­sé pour géné­rer la clé de chiffrement

R1(config)# ip domain-name cisco.com

Cette com­mande per­met de défi­nir un nom de domaine (DNS – Domain Name Ser­ver) à votre rou­teur. Il s’ap­pel­le­ra désor­mais « R1.cisco.com », qui est tout sim­ple­ment la conca­té­na­tion du host­name « R1 » avec le nom de domaine « cisco.com ».

Ce nom de domaine est aus­si uti­li­sé pour géné­rer la clé de chif­fre­ment RSA, créée juste à l’é­tape suivante.

4. Géné­rer la clé de chiffrement

R1(config)# crypto key generate rsa modulus 1024

Cette com­mande génère une clé de chif­fre­ment RSA uti­li­sé par le pro­ces­sus SSH pour géné­rer la clé de ses­sion. La variable « modu­lus 1024″ défi­nit la taille de votre clé. A titre d’in­for­ma­tion, pour une clé asy­mé­trique, 1024 est une taille correcte.

5. Acti­ver le SSH

R1(config)# line vty 0 4
R1(config-line)# transport input ssh
R1(config-line)# login local
R1(config-line)# exit

Pour accé­der en tel­net ou ssh à un équi­pe­ment Cis­co, il faut confi­gu­rer les lignes « vir­tuelles » de l’é­qui­pe­ment. En effet, quand je fais un tel­net vers un rou­teur, je peux arri­ver de n’im­porte quelles inter­faces actives du routeur.

Pour cela, on défi­nit les lignes vir­tuelles appe­lées « vty ». Par défaut, il y a 5 lignes vty actives (de 0 à 4). D’où la com­mande « line vty 0 4″. Pour­quoi 5 ? Par­ceque 🙂 Plus sérieu­se­ment, ça per­met à 5 admi­nis­tra­teurs d’être en SSH en même temps sur l’équipement.

La com­mande « trans­port input ssh » défi­nit quel pro­to­cole a le droit d’u­ti­li­ser ces lignes vty. Par défaut, tous les pro­to­coles ont le droit dont tel­net et ssh. Cette com­mande per­met de res­treindre en pré­ci­sant que seul ssh a le droit d’u­ti­li­ser les lignes vty.

La com­mande « login local » per­met de pré­ci­ser où se trouve la base des comptes uti­li­sa­teur. Une fois connec­té au rou­teur en ssh, le rou­teur va vous deman­der un login/password, celui qu’on a défi­nit plus haut (julin/pa$$word). « login local » indique au rou­teur que la base des comptes uti­li­sa­teur se trouve dans sa confi­gu­ra­tion (« local »).

Pour infor­ma­tion, on peut défi­nir une base de comptes uti­li­sa­teur vers un ser­veur Radius par exemple.

Logiciel client SSH

Main­te­nant qu’on a confi­gu­ré le ser­veur SSH sur notre rou­teur ou switch, il faut uti­li­ser un client SSH sur notre console d’ad­mi­nis­tra­tion. Voi­ci une liste non exhaus­tive de client SSH :

Exemple de configuration sous Packet Tracer

Router>
Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#
Router(config)#
Router(config)#username julien password pa$$word
Router(config)#
Router(config)#hostname R1
R1(config)#
R1(config)#ip domain-name cisco.com
R1(config)#
R1(config)#crypto key generate rsa modulus 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R1(config)#
*mars 1 0:1:56.0:  %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#
R1(config)#line vty 0 4
R1(config-line)#transport input ssh
R1(config-line)#login local
R1(config-line)#exit
R1(config)#exit
R1#

La pre­mière ligne en rouge nous indique que le rou­teur a géné­ré une clé de chif­fre­ment de taille 1024 bits.

La seconde ligne en rouge nous pré­cise que main­te­nant qu’une clé de chif­fre­ment a été créée, le pro­ces­sus SSH est acti­vé. Il nous reste plus qu’à le confi­gu­rer sur les lignes vir­tuelles « vty ».

Aprés avoir confi­gu­ré le ssh sur mon rou­teur, je me connecte en ssh à par­tir de mon PC :

On remarque ici que mon PC a l’a­dresse IP 10.1.1.222 et que mon rou­teur a l’a­dresse IP 10.1.1.1

La com­mande « ssh ‑l julien 10.1.1.1 » per­met de lan­cer une ses­sion ssh vers l’a­dresse IP 10.1.1.1 qui est mon rou­teur et avec le login « julien ». Une fois connec­té en ssh à ce rou­teur, le pro­cess ssh va me deman­der le mot de passe asso­cié à l’u­ti­li­sa­teur « julien ». Je rentre alors « pa$$word » pour que l’au­then­ti­fi­ca­tion réussise.

On voit bien que j’ai alors accés à la console du rou­teur « R1> ».

32 Commentaires

  1. Bon­jour,
    Toutes ces com­mandes servent-elles à limi­ter l’accès au mode pri­vi­lé­gié par mot de passe ?

    enable pass­word ……..
    login
    — — — — — — — — — — — -
    enable secret ………
    login
    — — — — — — — — — — —
    user­name …… password ……
    — — — — — — — — — — —
    user­name …… secret ..……

    Mer­ci de m’expliquer la dif­fé­rence et dans quel cas on peut uti­li­ser l’une ou l’autre de ces commandes

  2. bon­jour, svp quelle com­mande qui per­met de Confi­gu­rer les lignes VTY de sorte qu’elles uti­lisent la base de don­nées locale lors de la connexion

  3. Bon­jour professeur 

    Tu n’as pas oublie de mettre la commande
    Enable pass­word ou enable secret ? 

    Pour acce­der au mode pri­vi­lege une fois la connexion en ssh ini­tia­lise sur le pc ? 

    Je regarde tt les jours rn ebook icdn 1 et ton blog 8)

  4. vrai­ment le cours de CCNA c’est super main­te­nant en cas de pro­bleme de confi­gu­ra­tion c’est trés simple de le repa­rer. merci

  5. Mer­ci pour cet article, ça va droit au but et quand on est comme moi où on tape pas tous les jours des com­mandes cis­co, c’est très très pratique.
    Juste petite remarque, le S de DNS signi­fie Ser­vice et Non Server.

    Autre chose, penses-tu écrire un bou­quin pour l’exa­men 200 – 101 ? Car je crois qu’il faut avoir les 2 pour que ça ait un réel sens si je ne dis pas de bêtises ?

    • Bon­jour Anthony,
      Pour le « S » de DNS ca depend des docu­ments, on peut trou­ver Ser­ver ou Ser­vice. Mais pour les puri­tains c’est bien Ser­vice 🙂
      Je suis en cours de redac­tion des fiches ICND2. Une fois ter­mi­nées, elles seront dis­po­nibles sur le site. Donc fiches ICND1 + ICND2 cou­vri­ront l’en­semble du CCNA 200 – 120.

      • Ok cool, je serais pro­ba­ble­ment un ache­teur, enfin, si j’ai le temps en plus de tout le boulot…!

        Par contre n’y aurait-il pas une petite coquille dans le sché­ma, dans l’é­tape 5.
        On peut lire « trans­port input local » au lieu de « trans­port input ssh » non ?

        • Bon­jour Anthony,
          oui bien vu pour la coquille sur le sche­ma, c’est bien « trans­port input ssh » et non « trans­port input local »
          Merci !

    • Bon­jour Jean,
      Il faut juste taper la variable « no » devant la com­mande. Par exemple, si le compte « cyril » existe et que je sou­haite l’en­le­ver je tape : « no user­name cyril ».

  6. Com­ment faire pour n’a­voir qu’un seul compte admin sur le rou­teur (pour n’a­voir qu’un seul login en tel­net ssh)
    Merci

    • Bon­jour Jean,
      Dans mon exemple il y a bien qu’un seul compte admin sur le rou­teur. Il suf­fit juste de défi­nir une seule ligne « username »

  7. Peut on confi­gu­rer sur les lignes 0 4 ssh et tel­net en meme temps ? ou doit on faire d’autres lignes pour tel­net du genre de 5 à 8.

    0 4 ssh
    5 8 telnet
    0 4 les 2 en mêmes temps

    Mer­ci d’a­vance de ta réponse Cyril

  8. Petite rajoute, l’ac­ti­va­tion du pro­to­cole SSH de manière géné­rale est effec­tuée par les étapes 2, 3 et 4, ce qui est éga­le­ment néces­saire si on sou­haîte ouvrir une ses­sion SSH depuis un routeur/switch vers un autre équipement.

    • Exact, les étapes 2, 3 et 4 sont des pré-requis (donc obli­ga­toires) pour que le pro­to­cole SSH soit actif sur votre rou­teur ou votre switch. Mer­ci Steve !
      Et pour ceux qui ne le connaisse pas encore, je vous invite for­te­ment à aller voir le site de Steve qui est une énorme source de connaissance :
      http://www.ciscomadesimple.be/

Répondre à Cyril Annuler la réponse

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Les plus populaires