[네트워크] Cisco Nexus 9000 telnet, ssh 설정

1) Telnet

Nexus(config)# feature telnet

Nexus# show telnet server
telnet service enabled  

Nexus 스위치에서는 'feature' 명령어를 이용하여 Telnet 기능을 활성화해야 합니다.

 

2) SSH

Nexus(config)# feature ssh

Nexus# show ssh server
ssh version 2 is enabled

Nexus 스위치에서는 기본적으로 SSH가 활성화되어 있습니다. 그렇기 때문에 'feature' 명령어를 사용할 필요 없습니다.

 

1. 다른 Switch에서 Nexus로 SSH 연결을 할 때 안되는 경우

Nexus 9000에 SSH를 연결할 수 없습니다. "일치하는 암호를 찾을 수 없음" 오류 수신

 

코드를 7.0(3)I2(1)로 업그레이드한 후에는 Nexus 9000에 SSH를 연결할 수 없으며 다음 오류가 발생합니다.

no matching cipher found: client aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se server aes128-ctr,aes192-ctr,aes256-ctr

 

일치하는 암호를 찾을 수 없습니다. 상대 장치의 요구사항은 aes128-cbc, aes192-cbc, aes256-cbc 암호입니다.

 

코드 7.0(3)I2(1) 이상으로 업그레이드한 후 Nexus 9000에 SSH를 연결할 수 없는 이유는 Cisco 버그 ID CSCuv39937 픽스를 통해 약한 암호가 비활성화되었기 때문입니다.

 

임시 솔루션은 Nexus 9000에 약한 암호를 다시 추가하는 것입니다.

 

2. 설정

Nexus(config)# feature bash-shell 
Nexus(config)# run bash sudo grep -i cipher /isan/etc/dcos_sshd_config
#secure ciphers and MACs
#CSCun41202 : Disable weaker Ciphers and MACs
Ciphers aes128-ctr,aes192-ctr,aes256-ctr

 

Nexus(config)# ssh cipher-mode weak

 

Nexus(config)# run bash sudo grep -i cipher /isan/etc/dcos_sshd_config
#secure ciphers and MACs
#CSCun41202 : Disable weaker Ciphers and MACs
Ciphers aes128-ctr,aes192-ctr,aes256-ctr, aes128-cbc,aes192-cbc,aes256-cbc // 암호가 추가 되었음

 

참고 : https://www.cisco.com/c/ko_kr/support/docs/switches/nexus-9000-series-switches/200663-Unable-to-SSH-into-Nexus-9K-fatal.html

 

반응형

3. 실습

Switch들은 서로 Ping이 나가게 설정이 되어있습니다

 

N9K-2(config)# ssh admin@192.168.10.1 // N9K-1로 ssh 접속완료

N9K-3(config)# ssh admin@192.168.10.1  // N9K-1로 ssh 접속완료

 

 

- N9K-1에 ACL 설정, 2번기 접속x 3번기 접속o

N9K-1(config)# ip access-list VTY_ACL
N9K-1(config-acl)#statistics per-entry // permit 또는 deny된 패킷의 카운터를 확인하기 위해 추가로 명령어 설정
N9K-1(config-acl)#10 deny ip 192.168.10.2/24 any log 
N9K-1(config-acl)#20 permit ip 10.1.1.2/24 any log 

 

N9K-1(config)# line vty

N9K-1(config-line)# access-class VTY_ACL in

 

N9K-1(config-acl)# sh ip access-lists VTY_ACL
IP access list VTY_ACL
        statistics per-entry 
        10 deny ip 192.168.10.2/24 any log [match=0] 
        20 permit ip 10.1.1.2/24 any log [match=0] 

 

 

N9K-2(config)# ssh admin@192.168.10.1 
ssh: connect to host 192.168.10.1 port 22: Connection refused // 접속실패

 

N9K-3(config)# ssh admin@192.168.10.1
Inbound-ReKey for 192.168.10.1:22
User Access Verification // 접속 완료
Password: 

 

 

N9K-1(config)# sh ip access-lists VTY_ACL
IP access list VTY_ACL
        statistics per-entry 
        10 deny ip 192.168.10.2/24 any log [match=1] // 카운터가 올라가는 것을 확인
      20 permit ip 10.1.1.2/24 any log [match=2] // 카운터가 올라가는 것을 확인

 

4. SSH Port 변경 (9.2 version 이상가능)

N9K-1(config)#no feature ssh

N9K-1(config)# show sockets local-port-range // 사용 가능한 포트 범위 표시
Kstack local port range (15001 - 58000)
Netstack local port range (58001 - 60535) and nat port range (60536 - 65535)

N9K-1(config)# ssh port 58003
N9K-1(config)# feature ssh