前に設定した service password-encryption を削除しておく。

R2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)#no service password-encryption

特に何も設定していない場合はこのように蹴られる。

R2(config)#username admin1 password cisco1
R2(config)#line vty 0 15
R2(config-line)#log
R2(config-line)#logi
R2(config-line)#login local
R2(config-line)#hostname R2
R2(config)#ip domain
R2(config)#ip domain-na
R2(config)#ip domain-name pg1x.com
R2(config)#cry
R2(config)#crypto ke
R2(config)#crypto key ge
R2(config)#crypto key generate ?
  ec   Generate EC keys for ECDSA
  rsa  Generate RSA keys

R2(config)#crypto key generate rsa
The name for the keys will be: R2.pg1x.com
Choose the size of the key modulus in the range of 360 to 4096 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 2 seconds)

R2(config)#
*Jan 28 13:30:14.927: %SSH-5-ENABLED: SSH 1.99 has been enabled
R2(config)#ip ssh version 2

この時点で SSH ログインできるようになった。

しかしこの時点では telnet アクセスも有効なまま。

以下のようにして SSH アクセスのみ許可する。

R2(config)#line vty 0 15
R2(config-line)#transport input ssh ?
  lapb-ta  LAPB Terminal Adapter
  lat      DEC LAT protocol
  mop      DEC MOP Remote Console Protocol
  pad      X.3 PAD
  rlogin   Unix rlogin protocol
  telnet   TCP/IP Telnet protocol
  udptn    UDPTN async via UDP protocol
  v120     Async over ISDN
  <cr>

R2(config-line)#transport input ssh

telnet は弾かれるようになった。

R2#sh ssh
Connection Version Mode Encryption  Hmac         State                 Username
0          2.0     IN   aes256-cbc  hmac-sha1    Session started       admin1
0          2.0     OUT  aes256-cbc  hmac-sha1    Session started       admin1
%No SSHv1 server connections running.

もう 1 台ルータ起動するのが面倒なので GNS3 で検証する。

R1#ssh -l admin1 192.168.12.2
% Connection refused by remote host

R1#ssh -l admin1 192.168.12.2

Password:

R2>en
Password:
R2#sh run
Building configuration...

レスポンス悪いって書いてあったけどめっちゃひどい。 こういう処理苦手なのかな IOS は。 それともこれは GNS3 で検証したからなのか。

R1#sh int f0/0
FastEthernet0/0 is up, line protocol is up
  Hardware is Gt96k FE, address is c201.072d.0000 (bia c201.072d.0000)
  Internet address is 192.168.12.1/24
  MTU 1500 bytes, BW 10000 Kbit/sec, DLY 1000 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  Half-duplex, 10Mb/s, 100BaseTX/FX
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:33, output 00:00:05, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     103 packets input, 13813 bytes
     Received 11 broadcasts, 0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog
     0 input packets with dribble condition detected
     134 packets output, 12750 bytes, 0 underruns
     0 output errors, 0 collisions, 1 interface resets
     0 unknown protocol drops
     0 babbles, 0 late collision, 0 deferred
     0 lost carrier, 0 no carrier
     0 output buffer failures, 0 output buffers swapped out

1. Ciscoルータ - SSHの設定