Laboratório - Configurar dispositivos de rede com SSH (Versão

do Instrutor)
Nota do Instrutor: Cor vermelha da fonte ou realces em cinza indicam o texto que aparece apenas na cópia do
instrutor.

Topologia

Tabela de endereçamento
Dispositivo Interface Endereço IP Máscara de sub-rede Gateway padrão

R1 G0/0/1 192.168.1.1 255.255.255.0 N/D

S1 VLAN 1 192.168.1.11 255.255.255.0 192.168.1.1
PC-A NIC 192.168.1.3 255.255.255.0 192.168.1.1

Objetivos
Parte 1: Implementar as Configurações Básicas dos Dispositivos
Parte 2: Configurar o Roteador para o Acesso SSH
Parte 3: Configurar o Switch para o Acesso SSH
Parte 4: SSH da CLI no Switch

Histórico/cenário
No passado, o Telnet era o protocolo de rede mais comum usado para configurar remotamente dispositivos
de rede. O Telnet não autentica ou criptografa as informações entre o cliente e o servidor. Isso permite que
um sniffer de rede intercepte senhas e informações de configuração.
O Shell Seguro (SSH) é um protocolo de rede que estabelece uma conexão segura de emulação de terminal
para um roteador ou outro dispositivo de rede. O SSH criptografa todas as informações que passam no link
de rede e fornece autenticação do computador remoto. O SSH está substituindo rapidamente o Telnet como
ferramenta de login remoto favorita dos profissionais de rede. SSH é mais frequentemente usado para fazer
login em um dispositivo remoto e executar comandos. No entanto, também pode transferir arquivos usando
os protocolos Secure FTP (SFTP) ou Secure Copy (SCP) associados.
Os dispositivos de rede que se comunicam devem ser configurados para suportar o SSH, para que ele
funcione. Neste laboratório, você ativará o servidor SSH em um roteador e conectará ao roteador usando um
computador com um cliente SSH instalado. Em uma rede local, a conexão é feita normalmente usando
Ethernet e IP.
Nota: Os roteadores usados nos laboratórios práticos do CCNA são o Cisco 4221 com o Cisco IOS XE
Release 16.9.4 (imagem universalk9). Os comutadores usados nos laboratórios são o Cisco Catalyst 2960s

 2013 - 月曜日 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 1 11
www.netacad.com
Laboratório - Configurar dispositivos de rede com SSH

com Cisco IOS Release 15.2 (2) (imagem lanbasek9). Outros roteadores, switches e versões do Cisco IOS
podem ser usados. De acordo com o modelo e a versão do Cisco IOS, os comandos disponíveis e a saída
produzida poderão variar em relação ao que é mostrado nos laboratórios. Consulte a Tabela de resumo de
interfaces dos roteadores no final do laboratório para saber quais são os identificadores de interface corretos.
Nota: Verifique se os roteadores e comutadores foram apagados e se não há configurações de inicialização.
Se tiver dúvidas, fale com o instrutor.
Nota do instrutor: Consulte o Manual do laboratório do instrutor para obter os procedimentos para inicializar
e recarregar dispositivos.

Recursos necessários
 1 roteador (Cisco 4221 com imagem universal do Cisco IOS XE Release 16.9.4 ou comparável)
 1 Switch (Cisco 2960 com imagem lanbasek9 do Cisco IOS Release 15.2 (2) ou comparável)
 1 PC (Windows com um programa de emulação de terminal, como Tera Term)

 Cabos de console para configurar os dispositivos Cisco IOS por meio das portas de console
 Cabos ethernet conforme mostrado na topologia

Instruções
Parte 1: Implementar as Configurações Básicas do Dispositivo
Na Parte 1, você vai configurar a topologia de rede e definir as configurações básicas, como os endereços IP
das interfaces, o acesso a dispositivos e as senhas no roteador.

Etapa 1: Instalar os cabos da rede conforme mostrado na topologia.

Etapa 2: Inicializar e recarregar o roteador e o switch.

Etapa 3: Configurar o roteador.

Abrir a janela de configuração

a. Use o console para se conectar ao roteador e ative o modo EXEC privilegiado.

router> enable
b. Entre no modo de configuração.
router# configure terminal
c. Desative a pesquisa do DNS para evitar que o roteador tente converter comandos inseridos
incorretamente como se fossem nomes de host.
router(config)# no ip domain-lookup
d. Atribua class como a senha criptografada do EXEC privilegiado.
router(config)# enable secret class
e. Atribua cisco como a senha de console e habilite o login.
router(config)# line console 0
router (config-line) # password cisco
router(config-line)# login
f. Atribua cisco como a senha VTY e ative o login.
router(config)# line vty 0 4
router (config-line) # password cisco
router(config-line)# login

 2013 - 月曜日 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 2 11
www.netacad.com
Laboratório - Configurar dispositivos de rede com SSH

g. Criptografe as senhas em texto simples.

router(config)# service password-encryption
h. Crie um banner que avisará a qualquer pessoa que acessa o dispositivo que o acesso não autorizado é
proibido.
router(config)# banner motd $ Authorized Users Only! $
i. Configure e ative a interface G0/0/1 no roteador usando as informações contidas na Tabela de
Endereçamento.
router(config)# interface g0/0/1
router(config-if)# ip address 192.168.1.1 255.255.255.0
router(config-if)# no shutdown
j. Salve a configuração atual no arquivo de configuração inicial.
router# copy running-config startup-config

Etapa 4: Configure o PC-A.

a. Configure o PC-A com um endereço IP e uma máscara de sub-rede.
b. Configure um gateway padrão para o PC-A.

Etapa 5: Verificar a conectividade de rede.

Faça ping em R1 do PC-A. Se o ping falhar, solucione os problemas da conexão.
Fechar janela de configuração

Parte 2: Configurar o Roteador para o Acesso SSH

Usar o Telnet para conectar-se a um dispositivo de rede é um risco à segurança, porque todas as
informações são transmitidas em um formato de texto não criptografado. O SSH criptografa os dados da
sessão e fornece autenticação do dispositivo, que é o motivo de o SSH ser recomendado para conexões
remotas. Na Parte 2, você configurará o roteador para aceitar conexões SSH nas linhas VTY.

Etapa 1: Configurar a autenticação do dispositivo.

O nome do dispositivo e o domínio são usados como a parte da chave criptografada quando gerada.
Portanto, esses nomes devem ser inseridos antes da emissão do comando de crypto key.
Abrir a janela de configuração

a. Configure o nome do dispositivo.

router(config)# hostname R1
b. Configure o domínio do dispositivo.
R1(config)#ip domain-name ccna-lab.com

Etapa 2: Configure o método de chave de criptografia.

R1(config)#crypto key generate rsa modulus 1024
O nome para as chaves será: R1.ccna-lab.com

% The key modulus size is 1024 bits

% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

R1(config)#
*Jan 28 21:09:29.867: %SSH-5-ENABLED: SSH 1.99 has been enabled

 2013 - 月曜日 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 3 11
www.netacad.com
Laboratório - Configurar dispositivos de rede com SSH

Etapa 3: Configure um nome de usuário no banco de dados local.

Configure um nome de usuário usando admin como nome de usuário e Adm1nP@55 como senha.
R1(config)# username admin secret Adm1nP@55

Etapa 4: Habilitar o SSH nas linhas VTY.

a. Habilite Telnet e SSH nas linhas VTY de entrada usando o comando transport input.
R1(config)#line vty 0 4
R1(config-line)#transport input telnet ssh
b. Altere o método de login para usar o banco de dados local para a verificação de usuário.
R1(config-line)# login local
R1(config-line)# end

Etapa 5: Salve a configuração atual no arquivo de configuração inicial.

R1# copy running-config startup-config
Destination filename [startup-config]?
Building configuration...
[OK]
R1#

Etapa 6: Estabelecer uma conexão SSH para o roteador.

a. Inicie o Tera Term do PC-A.
b. Estabeleça uma sessão SSH com o R1. Use o nome de usuário admin e a senha Adm1nP@55. Você
deve conseguir estabelecer uma sessão SSH com R1.
Fechar janela de configuração

Parte 3: Configurar o Switch para o Acesso SSH

Na parte 3, você configurará o comutador para aceitar conexões SSH. Depois que o switch tiver sido
configurado, estabeleça uma sessão SSH usando o Tera Term.

Etapa 1: Implementar as configurações básicas no switch.

Abrir a janela de configuração

a. Use o console para se conectar ao switch e ative o modo EXEC privilegiado.

switch> enable
b. Entre no modo de configuração.
switch# configure terminal
c. Desative a pesquisa do DNS para evitar que o roteador tente converter comandos inseridos
incorretamente como se fossem nomes de host.
switch(config)# no ip domain-lookup
d. Atribua class como a senha criptografada do EXEC privilegiado.
switch(config)# enable secret class
e. Atribua cisco como a senha de console e habilite o login.
switch(config)# line console 0
switch(config-line)# password cisco
switch(config-line)# login
f. Atribua cisco como a senha VTY e ative o login.

 2013 - 月曜日 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 4 11
www.netacad.com
Laboratório - Configurar dispositivos de rede com SSH

switch(config)# line vty 0 15

switch(config-line)# password cisco
switch(config-line)# login
g. Criptografe as senhas de texto simples.
switch(config)# service password-encryption
h. Crie um banner que avisará a qualquer pessoa que acessa o dispositivo que o acesso não autorizado é
proibido.
switch(config)# banner motd $ Authorized Users Only! $
i. Configure e ative a interface VLAN 1 no switch de acordo com a Tabela de Endereçamento.
switch(config)# interface vlan 1
switch(config-if)# ip address 192.168.1.11 255.255.255.0
switch(config-if)# no shutdown
j. Salve a configuração atual no arquivo de configuração inicial.
Switch# copy running-config startup-config

Etapa 2: Configurar o switch para a conectividade SSH.

Utilize os mesmos comandos usados para configurar o SSH no roteador na Parte 2 para configurar o SSH
para o switch.
a. Configure o nome do dispositivo conforme listado na Tabela de Endereçamento.
b. Configure o domínio do dispositivo.
S1(config)# ip domain-name ccna-lab.com
c. Configure o método de chave de criptografia.
S1(config)#crypto key generate rsa modulus 1024
d. Configure um nome de usuário no banco de dados local.
S1(config)# username admin secret Adm1nP@55
e. Habilite o Telnet e o SSH nas linhas VTY.
S1(config)# line vty 0 15
S1(config-line)# transport input telnet ssh
f. Altere o método de login para usar o banco de dados local para a verificação de usuário.
S1(config-line)# login local
S1(config-line)# end

Etapa 3: Estabelecer uma conexão SSH com o switch.

Inicie o Tera Term no PC-A, e o SSH na interface SVI de S1.
Pergunta:

Você consegue estabelecer uma sessão SSH com o switch?

Digite suas respostas aqui.
Sim. O SSH pode ser configurado em um switch usando os mesmos comandos que foram usados no
roteador.
Fechar janela de configuração

Parte 4: SSH da CLI no Switch

O cliente SSH é incorporado ao Cisco IOS e pode ser executado na CLI. Na Parte 4, você fará SSH para o
roteador na CLI do switch.
 2013 - 月曜日 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 5 11
www.netacad.com
Laboratório - Configurar dispositivos de rede com SSH

Etapa 1: Exibir os parâmetros disponíveis para o cliente SSH do Cisco IOS.

Abrir a janela de configuração

Use o ponto de interrogação(?)Para exibir as opções de parâmetros disponíveis com o comando ssh.
S1# ssh ?
-c Selecionar algoritmo de criptografia
-l Iniciar sessão com este nome de utilizador
-m Selecionar algoritmo HMAC
-o Especificar opções
-p Conectar a esta porta
-v Especificar a versão do protocolo SSH
-vrf Especificar o nome do vrf
Endereço IP WORD ou nome de host de um sistema remoto

Etapa 2: SSH para R1 de S1.

a. Você deve usar a opção –l admin ao fazer o SSH para R1. Isso permite que você efetue login como
usuário admin. Quando solicitado, digite Adm1nP@55 para a senha.
S1# ssh -l admin 192.168.1.1
Senha:
Somente Usuários Autorizados!
R1>

b. Você pode retornar ao S1 sem fechar a sessão SSH para R1 pressionando Ctrl+Shift+6. Solte as teclas
Ctrl+Shift+6 e pressione x. O prompt do EXEC privilegiado do switch é exibido.
R1>
S1#
c. Para retornar à sessão SSH em R1, pressione Enter em uma linha CLI em branco. Pode ser necessário
pressionar Enter uma segunda vez para ver o prompt CLI do roteador.
S1#
[Retomando a conexão 1 a 192.168.1.1... ]

R1>

d. Para finalizar a sessão SSH em R1, digite exit no prompt do roteador.

R1#exit

[Connection to 192.168.1.1 closed by foreign host]

S1#
Pergunta:

Que versões de SSH são compatíveis com a CLI?

Digite suas respostas aqui.
As respostas podem variar. Isso pode ser determinado usando o comando ssh –v ? na linha de
comando. O switch 2960 executando a versão 15.0(2) do IOS suporta o SSH v1 e V2.
S1# ssh -v ?
1 Protocol Version 1
2 Protocol Version 2
Fechar janela de configuração

 2013 - 月曜日 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 6 11
www.netacad.com
Laboratório - Configurar dispositivos de rede com SSH

Perguntas para reflexão

Como você concederia acesso a um dispositivo de rede para vários usuários, cada um com seu próprio
nome de usuário?
Digite suas respostas aqui.
As respostas podem variar. Você adicionaria o nome de usuário e a senha de cada usuário ao banco
de dados local usando o comando username. Também é possível usar um servidor RADIUS ou
TACACS, mas isso ainda não foi abordado.

Tabela de Resumo das Interfaces dos Roteadores

Modelo do
roteador Interface Ethernet 1 Interface Ethernet 2 Interface serial 1 Interface serial 2

Fast Ethernet 0/0 Fast Ethernet 0/1

1800 (F0/0) (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
Gigabit Ethernet 0/0 Gigabit Ethernet 0/1
1900 (G0/0) (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
Fast Ethernet 0/0 Fast Ethernet 0/1
2801 (F0/0) (F0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
Fast Ethernet 0/0 Fast Ethernet 0/1
2811 (F0/0) (F0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
Gigabit Ethernet 0/0 Gigabit Ethernet 0/1
2900 (G0/0) (G0/1) Serial 0/0/0 (S0/0/0) Serial 0/0/1 (S0/0/1)
Gigabit Ethernet 0/0/0 Gigabit Ethernet 0/0/1
4221 (G0/0/0) (G0/0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)
Gigabit Ethernet 0/0/0 Gigabit Ethernet 0/0/1
4300 (G0/0/0) (G0/0/1) Serial 0/1/0 (S0/1/0) Serial 0/1/1 (S0/1/1)

Nota: Para descobrir como o roteador está configurado, consulte as interfaces para identificar o tipo de roteador
e quantas interfaces o roteador possui. Não há como listar efetivamente todas as combinações de configurações
para cada classe de roteador. Esta tabela inclui identificadores para as combinações possíveis de Ethernet e
Interfaces seriais no dispositivo. Esse tabela não inclui nenhum outro tipo de interface, embora um roteador
específico possa conter algum. Um exemplo disso poderia ser uma interface ISDN BRI. O string entre parênteses
é a abreviatura legal que pode ser usada em comandos do Cisco IOS para representar a interface.
Fim do documento

Configurações dos dispositivos - Final

Roteador R1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
platform qfp utilization monitor load 80
no platform punt-keepalive disable-kernel-core
!
hostname R1
!
boot-start-marker

 2013 - 月曜日 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 7 11
www.netacad.com
Laboratório - Configurar dispositivos de rede com SSH

boot-end-marker
!
enable secret 5 $1$GCE/$FYYjEAZLjxgbowhYaGm430
!
no aaa new-model
!
no ip domain lookup
ip domain name ccna-lab.com
!
login on-success log
!
subscriber templating
!
multilink bundle-name authenticated
!
no license smart enable
diagnostic bootup level minimal
!
spanning-tree extend system-id
!
username admin secret 5 $1$jamS$qnpkPO7Cr9pSdQxO7nSuQ.
!
redundancy
mode none
!
interface GigabitEthernet0/0/0
no ip address
negotiation auto
!
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
negotiation auto
!
interface Serial0/1/0
no ip address
!
interface Serial0/1/1
no ip address
!
ip forward-protocol nd
no ip http server
ip http secure-server
!
control-plane
!
banner motd ^C Authorized Users Only ^C
!
line con 0
password 7 094F471A1A0A
logging synchronous

 2013 - 月曜日 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 8 11
www.netacad.com
Laboratório - Configurar dispositivos de rede com SSH

Login
transport input none
stopbits 1
line aux 0
stopbits 1
line vty 0 4
password 7 01100F175804
login local
transport input telnet ssh
!
end

Switch S1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname S1
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$qwAh$PG.EaIxZQgvrgZtc40Xka0
!
username admin secret 5 $1$vE96$6FO83f1rHurSYktgg2l720
!
no aaa new-model
system mtu routing 1500
no ip domain-lookup
ip domain-name ccna-lab.com
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
interface FastEthernet0/1
!
interface FastEthernet0/2
shutdown
!
interface FastEthernet0/3
shutdown
!
interface FastEthernet0/4
shutdown
!
interface FastEthernet0/5
!

 2013 - 月曜日 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 9 11
www.netacad.com
Laboratório - Configurar dispositivos de rede com SSH

interface FastEthernet0/6
!
interface FastEthernet0/7
shutdown
!
interface FastEthernet0/8
shutdown
!
interface FastEthernet0/9
shutdown
!
interface FastEthernet0/10
shutdown
!
interface FastEthernet0/11
shutdown
!
interface FastEthernet0/12
shutdown
!
interface FastEthernet0/13
shutdown
!
interface FastEthernet0/14
shutdown
!
interface FastEthernet0/15
shutdown
!
interface FastEthernet0/16
shutdown
!
interface FastEthernet0/17
shutdown
!
interface FastEthernet0/18
shutdown
!
interface FastEthernet0/19
shutdown
!
interface FastEthernet0/20
shutdown
!
interface FastEthernet0/21
shutdown
!
interface FastEthernet0/22
shutdown
!

 2013 - 月曜日 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 10 11
www.netacad.com
Laboratório - Configurar dispositivos de rede com SSH

interface FastEthernet0/23
shutdown
!
interface FastEthernet0/24
shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
shutdown
!
interface Vlan1
ip address 192.168.1.11 255.255.255.0
!
ip classless
ip http server
ip http secure-server
!
banner motd ^C Authorized Users Only ^C
!
line con 0
password 7 00071A150754
logging synchronous
Login
line vty 0 4
password 7 00071A150754
login local
transport input telnet ssh
line vty 5 15
Login
!
end

 2013 - 月曜日 Cisco e/ou suas afiliadas. Todos os direitos reservados. Página Pública da Cisco 11 11
www.netacad.com