Activer l’accès à un routeur via SSH

Lorsqu’on veut accéder au CLI (Command Line Interface) d’un routeur on peut soit passer par le port console, soit par telnet soit par SSH. Ici nous verrons comment configurer un routeur pour qu’il soit accessible par SSH.

Prérequis

Il faut savoir que toutes les version d’IOS ne supportent pas la configuration SSH. Pour que cela soit possible il faut disposer des options de cryptographies. Pour vérifier que ces options sont disponibles, passer en mode de configuration globale et tapez la commande suivante:

Router(config)# crypto key generate rsa

Sans autre configuration le routeur devrait vous indiquer qu’il faut avoir au préalable configuré un nom de domaine. Si c’est le cas, tout va bien. Si la commande est inconnue, l’IOS ne supporte pasla cryptographie qui est nécessaire pour la génération des clés de cryptages utilisées par SSH.

Configuration de SSH

Avant de commencer, nous partons du principe que le routeur est fonctionnel. C’est à dire qu’il dispose déjà d’une configuration de base lui permettant de communiquer avec les machines distantes (adresse IP définie sur une interface, …).

Voici ce que nous allons faire:

  • Définir un nom de domaine au routeur
  • Créer un « compte » utilisateur local avec un mot de passe
  • Configurer les lignes VTY pour accepter le SSH et utiliser le compte d’utilisateur local
  • Générer les clés de cryptages RSA
2611XM> enable
2611XM# configure terminal
2611XM(config)# ip domain-name cisco.lab
2611XM(config)# username sshuser password sshpassword
2611XM(config)# line vty 0 4
2611XM(config-line)# transport input ssh
2611XM(config-line)# login local
2611XM(config-line)# exit
2611XM(config)# crypto key generate rsa

The name for the keys will be: 2611XM.cisco.lab
Choose the size of the key modulus in the range of 360 to 2048 for your
 General Purpose Keys. Choosing a key modulus greater than 512 may take
 a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

*Mar  1 03:28:34.352: %SSH-5-ENABLED: SSH 1.99 has been enabled
2611XM(config)#^Z
2611XM#

Et voilà, il ne reste maintenant plus qu’à se connecter au routeur en SSH en utilisant le nom d’utilisateur « sshuser » et le mot de passe « sshpassword ».

9 Comments on “Activer l’accès à un routeur via SSH

  1. Bonsoir,
    la destruction et la création d’une nouvelle clé fonctionne.
    ci-dessous le résultat:

    SSH Enabled – version 2.0
    Authentication timeout: 30 secs; Authentication retries: 4

    Merci pour l’aide.

  2. Bonjour,
    je testerai dans l’après midi et je ferai un feedback.
    Merci pour la promptitude

  3. Même message

    How many bits in the modulus [512]: 2048
    % Generating 2048 bit RSA keys, keys will be non-exportable…[OK]
    «  » Aucun message d’activation » »
    ip ssh version 2
    Please create RSA keys to enable SSH (of atleast 768 bits size) to enable SSH v2.

    Bizarement sur certains switches de la même version d’ios tout est ok.

    • Peut-être en détruisant la clé RSA avant d’en recréer une nouvelle régénérer

      => crypto key zeroize rsa

      Je pense que le problème réside dans la clé, mais … pourquoi c’est une bonne question.

  4. Je rencontre un souci dans l’activation de SSH version 2 dans certains switches.

    – version d’IOS:
    Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(55)SE, RELEASE SOFTWARE (fc2)
    – crypto key generate rsa: ci-dessous ce qui s’affiche

    Choose the size of the key modulus in the range of 360 to 2048 for your
    General Purpose Keys. Choosing a key modulus greater than 512 may take
    a few minutes.

    How many bits in the modulus [512]: 1024
    % Generating 1024 bit RSA keys, keys will be non-exportable…[OK]

    – ip ssh ver 2: ci-dessous ce qui s’affiche

    Please create RSA keys to enable SSH (of atleast 768 bits size) to enable SSH v2.

    – sh ip ssh: ci-dessous la version actuelle

    SSH Enabled – version 1.5
    Authentication timeout: 30 secs; Authentication retries: 4

    Merci de votre aide.

    • Etrange… la manip est correcte, je l’ai reproduite sur un 2960 avec IOS LanBaseK9 12.2(58)SE

      2960-6(config)#crypto key generate rsa
      The name for the keys will be: 2960-6.test
      Choose the size of the key modulus in the range of 360 to 4096 for your
      General Purpose Keys. Choosing a key modulus greater than 512 may take
      a few minutes.

      How many bits in the modulus [512]: 1024
      % Generating 1024 bit RSA keys, keys will be non-exportable…
      [OK] (elapsed time was 4 seconds)
      *Mar 20 07:13:32.927: %SSH-5-ENABLED: SSH 1.99 has been enabled
      2960-6(config)#ip ssh version 2
      2960-6(config)#^Z
      *Mar 20 07:14:14.392: %SYS-5-CONFIG_I: Configured from console by console
      2960-6#sh ip ssh
      SSH Enabled – version 2.0
      Authentication timeout: 120 secs; Authentication retries: 3
      Minimum expected Diffie Hellman key size : 1024 bits

      Normalement, à partir d’une clé de 768bits SSHv2 est dispo un message annonce en général l’activation de SSH 1.99

      A priori je dirais que c’est un problème de clé RSA, en générer une nouvelle donne quel résultat ?

  5. Bonjour,
    super billet, sinon j’aimerais savoir pourquoi le « keys will be non-exportable »? merci..

    • Simplement parce que l’option n’a pas été utilisée dans la création des clés RSA. Pour qu’elles soient exportables (donc un peu différente du point de vue de leur composition), il faut utiliser la commande: crypto key generate rsa exportable