Vous êtes sur la page 1sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

Travaux pratiques 5.5.5 Configuration dun routeur distant avec SSH

Objectifs
Configurer un routeur pour accepter les connexions SSH Configurer le logiciel client SSH sur un PC tablir une connexion avec un routeur de service intgr Cisco laide de SSH version 2 Vrifier la configuration en cours existante

Contexte / Prparation
Autrefois, le protocole de rseau le plus utilis pour configurer distance des priphriques de rseau tait Telnet. Cependant, les protocoles tels que Telnet ne permettent pas dauthentification ou de chiffrement des informations entre un client et un serveur Telnet. Par consquent, un analyseur de rseau peut tre utilis pour intercepter des mots de passe et des informations de configuration. Secure Shell (SSH) est un protocole rseau qui permet dtablir une connexion dmulation de terminal scurise avec un routeur ou un autre priphrique de rseau. SSH chiffre toutes les informations qui transitent via la liaison rseau et assure lauthentification de lordinateur distant. Il est en train de remplacer rapidement Telnet en tant quoutil de connexion distance de prdilection des professionnels rseau. Ce protocole est trs souvent utilis pour se connecter une machine distante et excuter des commandes ; cependant, il peut galement transfrer des fichiers laide de ses protocoles associs SFTP ou SCP. Pour que SSH fonctionne, les priphriques rseau qui communiquent doivent le prendre en charge. Au cours de ces travaux pratiques, vous allez activer le serveur SSH sur un routeur configurer et vous vous connecterez ce routeur laide dun PC o le client SSH est install. Pour une utilisation sur un rseau local, la connexion est normalement tablie en utilisant Ethernet et IP. Les priphriques rseau connects via dautres types de liaisons, comme une liaison srie, peuvent galement tre grs laide de SSH condition de prendre en charge IP. Comme Telnet, SSH est un protocole Internet in band bas sur TCP/IP. Dans le cadre de ces travaux pratiques, vous pouvez utiliser Cisco SDM ou les commandes ILC de Cisco IOS pour configurer SSH sur le routeur.
Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco. Page 1 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
Le routeur de service intgr Cisco 1841 accepte les versions SSH 1 et 2 ; la version 2 de prfrence. Le client SSH utilis pour les besoins de ces travaux pratiques, PuTTY, peut tre tlcharg gratuitement. Il est pris en charge sur un grand nombre de routeurs Cisco et de versions de la plateforme logicielle Cisco IOS. SDM est prinstall sur de nombreux routeurs Cisco rcents. Si vous utilisez un routeur 1841, SDM (et SDM Express) y est prinstall. Il est suppos dans ces travaux pratiques que vous utilisez le routeur Cisco 1841. Vous pouvez utiliser un autre modle condition quil soit capable de prendre en charge SDM. Si vous installez un routeur pris en charge sur lequel SDM nest pas install, vous pouvez tlcharger la dernire version gratuitement sur le site : http://www.cisco.com/pcgi-bin/tablebuild.pl/sdm partir de ladresse URL indique ci-dessus, affichez ou tlchargez le document Downloading and Installing Cisco Router and Security Device Manager . Ce document fournit des instructions pour linstallation de SDM sur votre routeur. Il indique les numros de modle et les versions IOS spcifiques qui peuvent prendre en charge SDM, ainsi que la quantit de mmoire requise. REMARQUE : Si vous utilisez SDM pour configurer SSH, vous devez effectuer les Travaux pratiques 5.2.3, Configuration dun routeur de service intgr avec SDM Express sur le routeur utiliser avant de passer ces travaux pratiques. Il est suppos dans ces travaux pratiques que le routeur a t prcdemment configur avec des paramtres de base. REMARQUE : Si vous utilisez un routeur o SDM nest pas install, utilisez les commandes ILC de Cisco IOS pour configurer SSH. Des instructions sont fournies pour sa configuration laide des commandes ILC de Cisco IOS pour les routeurs qui nexcutent pas SDM ltape 2 de ces travaux pratiques. Pour effectuer la configuration de base du routeur, reportez-vous aux Travaux pratiques 5.3.5, Configuration de paramtres de base de routeur avec lILC IOS . REMARQUE : Routeur SDM dont la configuration initiale a t efface : Si la configuration a t supprime dun routeur SDM, SDM ne se raffiche plus par dfaut lors du redmarrage du routeur. Il est alors ncessaire de crer une configuration de routeur de base laide des commandes IOS. Reportez-vous la procdure dcrite la fin de ces travaux pratiques ou contactez votre formateur. Ressources requises : Routeur de service intgr Cisco 1841 avec SDM version 2.4 install et configuration de base effectue (trs important : voir la remarque 2 de ltape 1) (Facultatif) Autre modle de routeur Cisco avec SDM install (Facultatif) Autre modle de routeur Cisco sans installation de SDM (IOS version 12.2 ou ultrieure : doit prendre en charge SSH) Ordinateur Windows XP avec Internet Explorer 5.5 ou version ultrieure et SUN Java Runtime Environment (JRE) version 1.4.2_05 ou ultrieure (ou Java Virtual Machine (JVM) 5.0.0.3810). Dernire version du client putty.exe installe sur le PC et accessible sur le bureau Cble Ethernet droit ou crois de catgorie 5 (pour SDM et SSH) (Facultatif) Cble console, si le routeur doit tre configur laide de lILC Accs l'invite de commandes PC Accs la configuration rseau TCP/IP du PC

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 2 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
tape 1 : Configuration du routeur de service intgr afin daccepter les connexions SSH laide de SDM
REMARQUE : Si SDM nest pas install sur le routeur : Si vous configurez SSH sur un routeur sur lequel SDM nest pas install, lisez les instructions de ltape 1 pour voir comment SSH est configur en tant que tche spare lorsque vous utilisez SDM, et passez ltape 2 ; sinon, effectuez ltape 1 et passez ltape 3. a. Ouvrez le navigateur Web et connectez-vous http://192.168.1.1. Lorsquun message vous y invite, entrez admin pour le nom dutilisateur et cisco123 pour le mot de passe. Cliquez sur OK. Cisco SDM se charge.

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 3 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
b. Une fois SDM charg, cliquez sur le bouton Configure de la barre doutils. Dans le volet des tches (Tasks), cliquez sur Additional Tasks. Dans le volet Additional Tasks, dveloppez Router Access, puis cliquez sur la tche SSH. Cliquez ensuite sur le bouton Generate RSA Key.

REMARQUE : Si SSH est dj configur : Si le message SSH Key Setup indique RSA key exists and SSH is enabled in your router et que Status est RSA key is set on this router , cest probablement parce que vous avez effectu les Travaux pratiques 5.2.3, Configuration dun routeur de service intgr avec SDM Express . Souvenez-vous quau cours de ces travaux pratiques, lorsque vous avez configur la scurit, lun des paramtres de scurit activs par dfaut tait Enhance security on this router . Si cette case est coche, SSH est automatiquement configur pour laccs au routeur, la bannire davertissement de la prsence dintrus est affiche, une longueur minimum se mot de passe est impose et le nombre de tentatives de connexion infructueuses est limit.

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 4 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
c. Dans la bote de dialogue Key modulus size, entrez une taille de cl de 1 024 bits. Cliquez sur OK.

d. Dans la bote de dialogue Enter SSH Credentials, entrez admin comme nom dutilisateur et cisco123 comme mot de passe. Cliquez sur OK.

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 5 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
e. Notez que la cl Rivest, Shamir et Adelman (RSA) est actuellement dfinie sur le routeur.

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 6 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
f. Dans le volet Additional Tasks, cliquez sur loption VTY. Slectionnez Input Protocols Allowed, puis cliquez sur le bouton Edit.

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 7 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
g. Activez la case cocher en regard de SSH, puis cliquez sur OK.

h. Lorsque la fentre Commands Delivery Status souvre, cliquez sur OK.

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 8 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
i. Fermez Cisco SDM en cliquant sur X (Fermer) dans langle suprieur droit de la fentre.

j.

Cliquez sur Yes pour confirmer la fermeture de SDM.

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 9 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

tape 2 : (FACULTATIF) Configuration de SSH sur un routeur non SDM


REMARQUE : Si vous configurez SSH sur un routeur o SDM est dj install, vous pouvez sauter ltape 2 et passer directement ltape 3. a. Si vous configurez la rception des connexions SSH sur un routeur o SDM nest pas install, connectez le port console du routeur un PC et au programme HyperTerminal, comme dcrit dans les Travaux pratiques 5.1.2, Mise en marche dun routeur de service intgr . b. Connectez-vous au routeur. linvite du mode dexcution privilgi, entrez les commandes ILC de Cisco IOS comme illustr ci-dessous. Ces commandes nincluent pas tous les mots de passe qui doivent tre dfinis. Reportez-vous aux Travaux pratiques 5.3.4, Configuration des paramtres de base de routeur avec lILC IOS pour plus dinformations sur les paramtres de configuration. REMARQUE : Le routeur doit excuter IOS 12.0 ou version ultrieure. Dans cet exemple, le routeur est un modle Cisco 2620XM avec IOS 12.2(7r). c. Configurez les informations de base du routeur et de linterface : Router#config terminal Router(config)#hostname CustomerRouter CustomerRouter(config)#ip domain-name customer.com CustomerRouter(config)#username admin privilege 15 password 0 cisco123 CustomerRouter(config)#interface FastEthernet 0/0 CustomerRouter(config-if)#ip address 192.168.1.1 255.255.255.0 CustomerRouter(config-if)#no shutdown CustomerRouter(config-if)#exit d. Configurez les lignes de terminal vty entrantes afin d'accepter Telnet et SSH : CustomerRouter(config)#line vty 0 4 CustomerRouter(config-line)#privilege level 15 CustomerRouter(config-line)#login local CustomerRouter(config-line)#transport input telnet ssh CustomerRouter(config-line)#exit e. Gnrez la paire de cls de chiffrement RSA dont se servira le routeur pour lauthentification et le chiffrement des donnes SSH qui sont transmises. Entrez 768 pour le nombre de bits du modulus. La valeur par dfaut est de 512. CustomerRouter(config)#crypto key generate rsa How many bits in the modulus [512] 768 CustomerRouter(config)#exit f. Vrifiez que SSH a bien t activ ainsi que la version qui est utilise. CustomerRouter#show ip ssh g. Remplissez les informations suivantes en fonction du rsultat de la commande show ip ssh : Version SSH active : _________________________________ Dlai dauthentification : ________________________________ Nombre de tentatives dauthentification : ___________________ h. Enregistrez la configuration en cours (running-config) dans la configuration initiale (startup-config). CustomerRouter#copy running-config startup-config
Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco. Page 10 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
tape 3 : Configuration du client SSH et connexion du PC au routeur de service intgr
a. Procurez-vous une copie de putty.exe et placez lapplication sur le bureau. Lancez PuTTY en double-cliquant sur licne putty.exe.

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 11 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
b. Dans le volet Category, slectionnez SSH et vrifiez que la version prfre du protocole SSH est dfinie 2. REMARQUE : Le client Putty se connectera mme si le serveur SSH excute la version 1 de SSH.

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 12 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
c. Dans le volet Category, slectionnez Session et entrez ladresse IP de linterface de rseau local du routeur, qui est 192.168.1.1. Vrifiez que SSH est slectionn pour le type de connexion. Cliquez sur Open.

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 13 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
d. La premire fois que la connexion est tablie avec le service SSH sur le routeur de service intgr Cisco 1841 laide dun client SSH, une cl de connexion est mise en cache dans le registre de la machine locale. Dans la fentre PuTTY Security Alert, cliquez sur Yes pour continuer.

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 14 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
e. linvite de connexion, tapez le nom dutilisateur de ladministrateur, admin, puis appuyez sur Entre.

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 15 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
f. linvite du mot de passe, tapez le mot de passe de ladministrateur, cisco123, puis cliquez sur Entre.

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 16 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

tape 4 : Vrification de la configuration du routeur de service intgr Cisco 1841


a. Pour vrifier la configuration du routeur, tapez show run linvite du mode dexcution privilgi, puis appuyez sur Entre. REMARQUE : Il nest pas ncessaire de passer du mode utilisateur au mode dexcution privilgi car ce mode est le mode paramtr par dfaut aprs la configuration de SDM Express et SDM. b. Appuyez sur la touche Espace pour faire dfiler la configuration en cours du routeur.

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 17 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

tape 5 : Dconnexion du routeur de service intgr Cisco 1841


Pour vous dconnecter du routeur aprs avoir vrifi la configuration, tapez logout linvite du mode dexcution privilgi, puis appuyez sur Entre.

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 18 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

tape 6 : Rflexion
a. Quels sont les avantages et inconvnients compars de Telnet et SSH ? _____________________________________________________________________________ _____________________________________________________________________________ b. Quel est le port par dfaut pour SSH ? __________ Quel est le port par dfaut pour Telnet ? __________ _____________________________________________________________________________ _____________________________________________________________________________ c. Quelle version de la plateforme Cisco IOS tait affiche dans la configuration en cours ? _____________________________________________________________________________ _____________________________________________________________________________

Configuration IOS de base du routeur SDM pour activer SDM


Si la configuration initiale est supprime dun routeur SDM, SDM ne saffiche plus par dfaut lors du redmarrage du routeur. Il est alors ncessaire de crer une configuration de base comme suit. Pour plus dinformations au sujet de la configuration et de lutilisation de SDM, consultez le SDM Quick Start Guide : http://www.cisco.com/en/US/products/sw/secursw/ps5318/products_quick_start09186a0080511c89.h tml#wp44788 1) Dfinissez ladresse IP Fa0/0 du routeur (il sagit de linterface laquelle un PC se connecte au moyen dun navigateur pour activer SDM. Ladresse IP du PC doit tre rgle sur 10.10.10.2 255.255.255.248). REMARQUE : Il est possible qu'un routeur SDM autre que le 1841 require une connexion un port diffrent pour accder SDM. Router(config)# interface Fa0/0 Router(config-if)# ip address 10.10.10.1 255.255.255.248 Router(config-if)# no shutdown 2) Activez le serveur HTTP/HTTPS du routeur, en utilisant les commandes Cisco IOS suivantes : Router(config)#ip http server Router(config)#ip http secure-server Router(config)#ip http authentication local

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 19 sur 20

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
3) Crez un compte utilisateur avec le niveau de privilge 15 (activer les privilges). Router(config)# username <username> privilege 15 password 0 <password> Remplacez <username> et <password> par le nom dutilisateur et le mot de passe que vous souhaitez configurer. 4) Configurez SSH et Telnet pour la connexion locale et le niveau de privilge 15 : Router(config)# line vty 0 4 Router(config-line)# privilege level 15 Router(config-line)# login local Router(config-line)# transport input telnet Router(config-line)# transport input telnet ssh Router(config-line)# exit

Copyright sur lintgralit du contenu 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 20 sur 20