Параметры конфигурации SSH на Nexus 93180YC-FX
-
Здравствуйте. Есть ли разница в использовании этих команд для настройки ssh с 2048-битным ключом? Я настраиваю Nexus 93180YC-FX и некоторые коммутаторы Nexus 9348. Если да, то можете ли вы объяснить разницу в использовании этих команд? В различных руководствах по настройке описаны разные методы. Не уверен в разнице и не знаю, какой из них лучше использовать crypto key generate rsa modulus 2048 ssh key rsa 2048 Спасибо
-
Здравствуйте! Ваше объяснение верно!
crypto key generate rsa modulus 2048
не требуется в NX-OS для подключения к устройству по SSH по умолчанию, что отличается от традиционных сетевых устройств IOS. NX-OS по умолчанию автоматически генерирует 1024-битную пару ключей RSA для встроенного SSH-сервера. Если в вашей среде требуется, чтобы SSH-серверы имели ключи большей длины, то команда
ssh key rsa 2048 force
заменит существующую по умолчанию 1024-битную пару ключей RSA на новую 2048-битную пару ключей RSA. Надеюсь, это поможет! -Кристофер -
Здравствуйте! Команда crypto key generate rsa modulus
создает пару ключей RSA, которая может использоваться для различных целей — чаще всего это необходимое условие для настройки Nexus с PKI (инфраструктура открытых ключей) Trustpoint/CA. Эта команда наиболее подробно описана в
главе
«Настройка PKI» руководства по настройке безопасности Nexus 9000 NX-OS
. Устройство не генерирует пару ключей RSA этого типа автоматически. Ниже приведен пример вывода CLI, демонстрирующий, как сгенерировать и просмотреть эту пару ключей. N9K#
show crypto key mypubkey rsa
N9K#
<<< Empty output indicates no keypair exists
N9K#
configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
N9K(config)#
crypto key generate rsa modulus 2048
N9K(config)#
end
N9K#
show crypto key mypubkey rsa
key label: N9K
key size: 2048
exportable: no
key-pair already generated ssh key rsa 2048
создает пару ключей RSA 2048 бит, которая используется встроенным сервером SSH. По умолчанию устройства Nexus 9000 под управлением NX-OS 9.3(x) автоматически генерируют пару ключей RSA 1024 бит для сервера SSH. Эта команда наиболее подробно описана в
главе
«Настройка SSH и Telnet» руководства по настройке безопасности Nexus 9000 NX-OS
. Нижеприведенный вывод CLI показывает пример того, как просмотреть сгенерированную по умолчанию пару ключей, а также как сгенерировать новую. Обратите внимание на ключевое слово force, которое используется для перезаписи существующей пары ключей SSH, сгенерированной автоматически. N9K#
show ssh key rsa
rsa Keys generated:Mon Oct 14 23:57:54 2019
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAAAgQCQVxlXI/fGGcJvsKe6hrz1+djdr6B7vHYcovNEaUlSrl2Ns1xys8vRy0Y9qHrO8doAUJs+PUSqkhW3jk5yhplETDAndWv6cB50k7DALJ+1pRu1EspOF9u3jPNSqOtTA8b0Z+CvAPyu9Tp4gHT4z1NhI/9os13HDYtuS5PcJH6gaw==
bitcount:1024 <<< This is the default RSA keypair generated by NX-OS on initial configuration
fingerprint:
SHA256:kbo6UwxUXXxKd2l1t8saytLlFaiX/UdJu9nHw2r1eZs
N9K#
configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
N9K(config)#
ssh key rsa 2048 force
N9K(config)#
end
N9K#
show ssh key rsa
rsa Keys generated:Tue Jan 28 22:25:51 2020
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCWavsZsk+KmGkpQaL/fpBMhRLGCGXrvsHjqwlWl9fumRMuYVjAcvWXviBKP2pdQVNkxoeCxaGjWnx4HvTOLnUf7ywKekX77AkcVT7AEPFvx9XgLM4XcYxRt/5DBECZebyPprmDzGHGJkwQ17CdnCQqZlKSvuavpVywgJ720Nc7tVUtchqJ+3b+Fb5WP4+jJo1eiZVqk9OH01lvb/ldRd+B8gO7qvbhzkiP5PKkB4pQHG8ZKInmjT7XCoW3snSMcLHcMUuQLB42BlDsZWWD/ZnJClN+sb73b8Z2IF66Mf/Ohyv8dS+qgDVgvgIYE3L6dhHZV9q5Hv4G7aaBYsVuAAw1
bitcount:2048 <<< New RSA keypair we generated, as evidenced by the changed bitcount
fingerprint:
SHA256:zFyN4+SHIKG90LceQDtAmrQnTDO3zHRYHNhyXqW3BkI
************************************** Надеюсь, это поможет! -Кристофер -
Здравствуйте, спасибо за ответ и информацию. Я правильно понимаю... В IOS, чтобы включить ssh между ноутбуком, выступающим в качестве моего ssh-клиента, и коммутатором IOS, я бы использовал следующее: «crypto key generate rsa modulus 2048» и применять «transport input ssh» к линиям vty и т. д. В мире NXOS пара ключей RSA 1024 уже сгенерирована по умолчанию. Чтобы убедиться, что это 2048 бит, мне нужно выполнить: 'ssh key rsa 2048 force' Таким образом, нет необходимости использовать 'crypto key generate rsa modulus 2048' для выполнения этой задачи в NXOS, просто для доступа к коммутатору через ssh с ноутбука. Спасибо.
-
Спасибо за подтверждение. Буду признателен.
-
Привет, Крис! Спасибо за полезную информацию. Могу я спросить, повлияет ли выполнение команды «ssh key rsa 2048 force» на текущий трафик/работу коммутатора? Планирую это сделать, но беспокоюсь, что это может повлиять на работу клиентов.
Буду признателен за вашу помощь. Спасибо! -
Здравствуйте! Это команда с очень низким уровнем риска. Она не прерывает существующую SSH-сессию с коммутатором; новый SSH-ключ используется в
следующей
SSH-сессии с коммутатором. Вероятность влияния на протоколы контрольной плоскости также исключительно низкая, поэтому я бы сказал, что ее безопасно выполнять в производственной среде. Спасибо! -Кристофер -
Хорошо, большое спасибо за помощь! Очень признателен!
-
Есть ли способ сохранить ключ RSA в неизменном виде? Ситуация такова: когда я восстанавливаю конфигурацию, я в настоящее время копирую ее с помощью scp в папку startup и перезагружаю Nexus. При перезагрузке создается новый ключ хоста ssh, что нарушает мою автоматизацию, пока я не удалю известные хосты. Это происходит только при восстановлении путем копирования в папку startup... Или есть более эффективный способ восстановления конфигурации на коммутаторе, например, простое копирование файла в bootflash:startup.cfg или как там называется этот файл?
-
Привет, Кристофер, Я попытался обновить ключ RSA 2048, но это не удалось, и появилась ошибка. Как обновить ключ, не теряя сессию SSH? Нужно ли временно разрешить функцию telnet, отключить сервер ssh, применить команду, снова включить сервер SSH и удалить telnet? SW(config)# ssh key rsa 2048
ключи rsa уже присутствуют, используйте опцию force, чтобы перезаписать их
SWconfig)#
SW(config)# ssh key rsa 2048 принудительное
удаление старого ключа rsa..... сервер
ssh включен, не могу удалить/сгенерировать ключи -
@johnlloyd_13
....должен ли я временно разрешить функцию telnet, отключить сервер ssh, применить команду, снова включить сервер SSH и удалить telnet?
Да, М. -- Пусть все происходит с тобой
Красота и ужас
Просто продолжай
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899) -
Для этого и нужна консоль. Я думал, что есть способ настроить несколько клавиш с именами. Вы также можете использовать клавишу другого типа, если я правильно помню. Прошло уже немало времени с тех пор, как я в последний раз входил в нашу систему.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти