Edge core настройка ssh

Обновлено: 01.07.2024

Ваши ключи SSH могут использовать один из следующих алгоритмов:

• 🚨 DSA: это небезопасно и даже больше не поддерживается начиная с версии 7 OpenSSH, вам нужно обновить его!
• ⚠️ RSA: зависит от размера ключа. Если он имеет длину 3072 или 4096 бит, то все хорошо. Меньше, вы, вероятно, захотите обновить его. 1024-битная длина считается небезопасной.
• CD ECDSA: это зависит от того, насколько хорошо ваша машина может генерировать случайное число, которое будет использоваться для создания подписи. Существует также проблема достоверности на кривых NIST, которые используются ECDSA.
• ✅ Ed25519: Это самый рекомендуемый алгоритм с открытым ключом, доступный сегодня!

Некоторые преимущества Ed25519

Ed25519 был представлен в OpenSSH версии 6.5. Это реализация EdDSA с использованием кривой Twisted Edwards . Он использует криптографию с эллиптическими кривыми, которая обеспечивает лучшую безопасность и более высокую производительность по сравнению с DSA или ECDSA.

Сегодня RSA является наиболее широко используемым алгоритмом открытого ключа для ключа SSH. Но по сравнению с Ed25519 он медленнее и считается небезопасным, если он генерируется с ключом длиной менее 2048 бит.

Открытый ключ Ed25519 компактен. Он содержит только 68 символов по сравнению с RSA 3072, который имеет 544 символа. Генерирование ключа почти так же быстро, как и процесс подписания. Также быстро выполнить проверку подписи пакета с Ed25519. Он создан для защиты от столкновений. Столкновение хэш-функции не сломает систему.

Сгенерируйте закрытый ключ ed25519 (с парольной фразой . ):

Вам будет предложено ввести ключевую фразу для этого ключа, используйте сильную. Вы также можете использовать ту же фразу-пароль, что и любой из ваших старых ключей SSH.

• -o : Сохранить частный ключ , используя новый формат OpenSSH , а не формат PEM. На самом деле, эта опция подразумевается, когда вы указываете тип ключа как ed25519 .
• -a : Это количество раундов KDF (функция ключевого вывода). Более высокие числа приводят к более медленной проверке парольной фразы, увеличивая устойчивость к взлому паролем в случае кражи закрытого ключа.
• -t : Указывает тип создаваемого ключа, в нашем случае Ed25519.
• -f : Укажите имя файла сгенерированного ключевого файла. Если вы хотите, чтобы он был автоматически обнаружен агентом SSH, он должен храниться в каталоге `.ssh` по умолчанию в вашем домашнем каталоге.
• -C : Возможность указать комментарий. Это чисто информационное и может быть что угодно. Но обычно он заполнен тем, <login>@<hostname> кто сгенерировал ключ.

Затем скопируйте открытый ключ на все серверы, которыми вы хотите управлять со своего компьютера:

🍏 Примечания для пользователя macOS
Если вы используете macOS Sierra 10.12.2 или более поздней версии, для автоматической загрузки ключей и сохранения парольных фраз в связке ключей вам необходимо настроить

/.ssh/config файл:
Host *
AddKeysToAgent yes
UseKeychain yes
IdentityFile

/ .ssh / id_ed25519
IdentityFile

Защитите серверную часть (SSHD):

Сделайте резервную копию вашего файла конфигурации:

И отредактируйте это:

Отредактируйте слушателя OpenSSH:

Выберите случайный порт (предпочтительно выше 1024), например:

Если у вас есть несколько интерфейсов, вы можете выделить IPV4 / 6 для управления со следующими строками:

Отключите прямое соединение в root с помощью этой строки:

Вы также можете разрешить определенных пользователей, добавив следующую строку:

Затем отключите аутентификацию по паролю ( только если аутентификация с открытым ключом работает! ):

Отключите использование ключей DSA, RSA и ECDSA (которые являются слабыми). Просто закокомментируйте следующие строки:

И обязательно иметь следующую строку:

Затем укажите параметры обмена и аутентификации:

Перезапустите сервер OpenSSH:

Защитите клиентскую часть (SSH):

Сделайте резервную копию вашего файла конфигурации:

И отредактируйте это:

Перетащите существующую конфигурацию и поместите ее:

Как видите, больше вещей разрешено, чем в серверной части.

Таким образом, он не будет блокироваться старыми версиями OpenSSH.

Если вы используете только SSH-серверы, настроенные с этой процедурой, то используйте следующую конфигурацию:

Настроить SSHFP

Если на DNS-серверах вашего домена включена поддержка DNSSEC , то будет интересно использовать записи SSHFP для аутентификации подписей SSH ваших серверов с использованием DNS.

Запустите следующую команду на каждом из ваших серверов:

У вас будет такой результат:

Вы можете оставить только часть 4 2 SSHFP, так как ed25519 все равно не использует SHA1:

Просто добавьте эту запись в свой DNS.

Затем выполните следующую команду, чтобы включить проверку записей SSHFP перед подключением:

Скрыть SSH-сервер за брандмауэром

И последнее, но не менее важное : вы также можете скрыть свой порт SSH с помощью UFW (или Iptables), разрешив подключение только с вашего IP-адреса.

Определите правила по умолчанию (мы принимаем весь вывод и отказываемся от любого ввода):

Теперь разрешите SSH только с вашего IP-адреса (измените IPV4 / 6 и 22 с вашей конфигурацией):

Авторизуйте другие порты, такие как общедоступная сеть:

И активируем зверя:

Вы можете добавить запись в

/.ssh/config файл для настройки параметров:

После того, как настройки будут сохранены, позже вы можете использовать SSH для вашего целевого хоста следующим образом:

Базовые настройки Ubiquiti EdgeOS: начальная настройка

С появлением на рынке новой линейки сверх производительных маршрутизаторов EdgeMAX от компании Ubiquiti Networks, увидела свет и новая сетевая операционная система Ubiquiti EdgeOS, разработанная специально для устройств EdgeRouter (маршрутизатор). И не смотря на внешнюю схожесть с большинством программных продуктов этого производителя и наличие интуитивно понятного web-интерфейса, есть много отличий, в первую очередь, связанных с более продвинутой системой обработки проходящего трафика, и его маршрутизацией. Ну и конечно же, в связи с тем, что EdgeOS полностью построена на базе открытой операционной системы Debian, существует возможность полного контроля над ОС, включая root доступ и возможность установки дополнительных модулей.

И в данной статье, мы рассмотрим базовые настройки EdgeRouter (маршрутизатор), под управлением операционной системы Ubiquiti EdgeOS, резделенные на несколько основных этапов:
подключение к маршрутизатору (web, telnet, SSH);
сброс настроек;
обновление программного обеспечения;
смена пароля администратора;
смена IP адреса;

Подключение к маршрутизатору

Для того, чтобы получить доступ к управлению EdgeRouter (маршрутизатор), нам необходимо подключить кабель к порту Ethernet 0, расположенному на передней панели устройства, а второй конец кабеля, должен быть подключен к компьютеру.

После чего, в настройках сетевого окружения ПК, мы должны установить IP адрес вида 192.168.1.х (например 192.168.1.100) и маску подсети 255.255.255.0

Далее, чтобы получить доступ к web-интерфейсу, необходимо запустить браузер и набрать IP адрес маршрутизатора. По умолчанию, это 192.168.1.20.

Стандартные логин и пароль для устройств от компании Ubiquiti Networks: ubnt/ubnt. После ввода которых, мы попадем на главную страницу интерфейса маршрутизатора.

Доступ к командной строке (terminal), можно получить через GUI. Для этого необходимо нажать кнопку CLI, которая находится в правом верхнем углу web-интерфейса и ввести логин и пароль администратора.

А для того, чтобы подключиться к EdgeRouter (маршрутизатор) от Ubiquiti Networks по протоколу telnet или SSH, нам необходимо воспользоваться любой из специализированных программ, например Putty.

В окне подключения, мы так же, вводим IP адрес маршрутизатора, выбираем протокол и нажимаем кнопку “Open”

После чего, в строке приглашения, по очереди вводим стандартные логин и пароль - ubnt/ubnt

Сброс настроек

Настройку любого нового оборудования, желательно начинать с первоначального сброса к заводским установкам. Как показывает практика, это действие может в дальнейшем избавить вас от множества нежелательных ошибок и потерянного времени.

Для того, чтобы осуществить сброс к заводским настройкам операционной системы Ubiquiti EdgeOS, вам необходимо отключить питание от устройства, после чего зажать кнопку Reset, находящуюся на передней панели маршрутизатора и включить питание. Подождать несколько секунд, и после того как светодиодный индикатор на втором Ethernet порту перестанет мигать, отпустить кнопку сброса.

Обновление программного обеспечения

Перед вводом в эксплуатацию любого нового устройства, кроме сблоса к заводским настройкам, крайне рекомендуется обновить программное обеспечение, в данном случае операционную систему Ubiquiti EdgeOS, до самой последней стабильной версии.

После этого, в web-интерфейсе, мы нажимаем кнопку System, расположенную в самом низу с лева, и в открывшемся окне, находим раздел Upgrade System Image, где нажимаем кнопку Upload a File и выбираем скачанный заранее файл обновления.

После чего файл будет загружен в память EdgeRouter (маршрутизатор) и начнется обновление системы, по окончанию которого потребуется перезагрузка.

Смена пароля администратора

Для обеспечения безопасности вашей сети, необходимо сменить пароль администратора. Все операции с пользователями, можно производить из GUI на вкладке Users. Здесь можно создавать новых пользователей, менять пароли для уже существующих и назначать права для каждого из них.

Мы создадим отдельного пользователя для администрирования маршрутизатора, а пользователя по умалчанию (ubnt), удалим.

Заходим на вкладку Users и нажимаем кнопку +Add User, в открывшемся окне, выбираем Username для нового администратора, вписываем новый пароль в поля Password и Confirm, и выбираем роль данного пользователя в поле Role. После чего, сохраняем новую запись, кнопкой Save.

Теперь можно удалить пользователя ubnt при помощи кнопки Action - Delete.

После этого, нам потребуется войти в систему, но уже с новым логином и паролем.

Смена IP адреса

Если адресное пространство вашей локальной сети отличается от адресации по умолчанию 192.168.1.0/24, то вы в любой момент можете сменить IP адрес EdgeRouter (маршрутизатор). Для того чтобы это сделать, нужно зайти на главную страницу GUI, выбрать из списка нужный интерфейс, нажать кнопку Actions - Config.

И в открывшемся окне, вы сможете задать IP адрес для этого интерфейса, как в ручную, так и выбрать вариант автоматического присвоения IP адреса посредством DHCP клиента, как в IPv4 адресации, так и в IPv6.

Дальнейшие базовые настройки EdgeRouter (маршрутизатор) под управлением сетевой операционной системы Ubiquiti EdgeOS, включают в себя такие операции как:

И так как данные темы требуют отдельного, развернутого рассмотрения, то они вынесены в отдельные статьи, ознакомиться с которыми вы можете перейдя по соответствующим ссылка выше.

Заходим в режим конфигурации коммутатора:

Заходим в режим конфигурации vlan:

Настраиваем два vlan для управления и пользователей:

vlan 5 name MANAGEMENT media ethernet state active vlan 10 name USER media ethernet state active exit

Настраиваем интерфейс управления:

int vlan 5 ip address 192.168.0.2 255.255.255.0 exit

Настраиваем порты пользователей:

interface ethernet 1/1-24 switchport allowed vlan add 10 untagged switchport native vlan 10 switchport allowed vlan remove 1 ip source-guard sip-mac exit

Настраиваем магистральные порты:

interface ethernet 1/25-28 switchport allowed vlan add 5,10 tagged exit

Настраиваем функцию dhcp-snooping на коммутаторе:

ip dhcp snooping ip dhcp snooping vlan 10 ip dhcp snooping information option ip dhcp snooping information policy replace

Указываем магистральные порты как доверительные для DHCP:

interface ethernet 1/25-28 ip dhcp snooping trust exit

Настраиваем ISC DHCP сервер в файле /etc/dhcp/dhcpd.conf:

Для тестирования запускаем программу dhcpdump и смотрим, что приходит от ES3528M к нашему dhcp-серверу:

. OPTION: 82 ( 18) Relay Agent Information Circuit-ID 00:04:00:0a:00:02 Remote-ID 01:06:00:19:5b:fd:b0:6e . OPTION: 82 ( 18) Relay Agent Information Circuit-ID 00:04:00:0a:00:08 Remote-ID 01:06:00:19:5b:fd:b0:6e .

В первом случае запрос пришел со второго порта, во втором с восьмого.

После перечисленных действий можем отдавать сетевые настройки ориентируясь на коммутатор и его порт.

Записываем для себя и для других

Пример настройки коммутатора Edge-core

One thought on “ Пример настройки коммутатора Edge-core ”

Здравствуйте!
Проконсультируйте, пожалуйста.
Есть два коммутатора Edge-core ECS4510-28F объединены в стек на первом (мастере) 20 оптических абонентов (компьютеров) на втором — 8.

Прошу Вас прислать набор команд для реализации нижеследующих конфигураций.

Вариант 1.
28 оптических абонента подключены к двум коммутаторам, объединённых в стек.
Необходимо создать две независимых подсети (vlan):
— vlan1 (с именем SKM1) должна состоять из абонентов, подключенных к портам 1-16 коммутатора №1 (IPv4: 192.168.1.1 — 192.168.1.16);
— vlan2 (с именем SKM2) должна состоять из абонентов, подключенных к портам 17-20 коммутатора №1 и портам 1-8 коммутатора №2 (IPv4: 192.168.1.17 — 192.168.1.28);
— для каждого порта необходимо прописать МАС-адрес абонента;
— к компьютеру, подключенному к порту №3, должны иметь доступ все абоненты.

Вариант 2.
Два коммутатора Edge-core ECS4510-28F НЕ в стеке, но подключены друг к другу через 10Гбит порты.
На первом коммутаторе 16 оптических абонентов (компьютеров) на втором — 12.

Необходимо:
— Сбросить стек и вернуть коммутаторы в их первоначальные настройки.
— Для первого коммутатора создать сеть (vlan 1 с именем SKM1):
— IPv4: 192.168.1.1 — 192.168.1.16);
— Для каждого порта прописать МАС-адрес абонента;

— Для второго коммутатора создать сеть (vlan 2 с именем SKM1):
— IPv4: 192.168.2.1 — 192.168.2.12);
— Для каждого порта необходимо прописать МАС-адрес абонента;

— обеспечить доступ всех абонентов к компьютеру, подключенному к порту №3 коммутатора №1

Административное выключение порта

configure
interface ethernet 1/PORT
shutdown
exit
exit

Административное включение порта

configure
interface ethernet 1/PORT
no shutdown
exit
exit

вместо PORT подставить номер порта на коммутаторе, к которому подключен абонент.

show interfaces counters ethernet 1/PORT

вместо PORT подставить номер порта на коммутаторе, к которому подключен абонент.

show vlan id IVLAN

вместо IVLAN нужно ввести номер VLAN, состояние которой необходимо просмотреть.

vlan IVLAN media ethernet state active

copy running-config startup-config

На данном коммутаторе можно просмотреть MAC-адреса, пришедшие на определенный интерфейс коммутатора, либо пришедшие в одной VLAN с разных интерфейсов. В первом случае необходимо использовать следующую команду:

show mac-address-table interface ethernet 1/PORT

Во втором случае необходимо использовать следующую команду:

show mac-address-table vlan IVLAN

вместо PORT нужно ввести номер порта на коммутаторе;

вместо IVLAN нужно ввести номер VLAN, MAC-адреса в которой необходимо отобразить.

Изменение максимального количества IGMP-групп

В зависимости от наличия у абонента услуги IPTV и количества приставок STB в конфигурации порта доступа необходимо указывать определенное количество IGMP-групп, которое рассчитывается следующим образом: (количество STB) * 2 + 1

interface ethernet 1/PORT

ip igmp max-groups VALUE

вместо PORT подставить номер порта на коммутаторе, к которому подключен абонент;

вместо VALUE нужно ввести максимально допустимую скорость для пакетов заданного типа.

С помощью следующей команды можно просмотреть полную конфигурацию устройства:

С помощью следующих параметров можно просмотреть конфигурацию отдельного интерфейса:

show running-config interface ethernet 1/PORT

вместо PORT подставить номер интерфейса коммутатора.

copy running-config startup-config

Перезагрузку коммутатора можно производить только после сохранения конфигурации по согласованию с группой управления (МРЦУСС)!

Просмотр статистики STP

show spanning-tree stp-enabled-only

Также будут выведены следующие данные:

• Forward Transitions: количество изменений логической топологии кольца с момента последней перезагрузки коммутатора;

• Last Topology Change Time: время в секундах, прошедшее с момента последнего изменения логической топологии кольца.

Если количество изменений логической топологии кольца велико (несколько тысяч), а времени с момента последнего изменения логической топологии прошло немного (до 48 часов), необходимо передать проблему специалистам

Secure Shell (SSH) позволяет удаленно администрировать и настраивать Windows устройства IoT Core.

использование клиента Windows 10 OpenSSH

клиент Windows OpenSSH требует, чтобы ос узла клиента SSH была Windows 10 версии 1803 (17134). кроме того, устройство Windows 10 IoT Базовая должно работать под RS5 Windows Insider Preview выпуска 17723 или более поздней версии.

клиент OpenSSH был добавлен в Windows 10 в 1803 (сборка 17134) как дополнительный компонент. чтобы установить клиент, можно выполнить поиск по запросу управление дополнительными компонентами в параметрах Windows 10. Если клиент OpenSSH не указан в списке установленных компонентов, выберите Добавить компонент.

Затем выберите в списке клиент OpenSSH и нажмите кнопку установить.

Чтобы войти с помощью имени пользователя и пароля, используйте следующую команду:

где host — это IP-адрес Windows устройства IoT Core или имя устройства.

Введите Да и нажмите клавишу Ввод.

Если необходимо войти как Дефаултаккаунт, а не как администратор, потребуется создать ключ и использовать его для входа. На рабочем столе, с которого планируется подключиться к устройству IoT, откройте окно PowerShell и перейдите в папку личных данных (например, CD

Зарегистрируйте ключ с помощью ssh-агента (необязательно, для интерфейса единого входа). Обратите внимание, что SSH-Add необходимо выполнять из папки, которая является ACL, в качестве пользователя, выполнившего вход в систему (Builtin \ администраторы NT_AUTHORITY \system также ОК). По умолчанию компакт-диск

из PowerShell должен быть достаточно, как показано ниже.

чтобы включить единый вход, добавьте открытый ключ в файл authorized_keys устройства Windows IoT Core. Если у вас есть только один ключ, скопируйте файл открытого ключа в файл удаленного authorized_keys .

Введите Да и нажмите клавишу Ввод.

Теперь вы должны подключиться как дефаултаккаунт

чтобы использовать единый вход с учетной записью администратора , добавьте открытый ключ в к:\дата\програмдата\сш\ administrators_authorized_keys на устройстве Windows IoT Core.

Кроме того, необходимо задать список ACL для administrators_authorized_keys в соответствии с ACL ssh_host_dsa_key в том же каталоге.

Настройка ACL с помощью PowerShell

Использование PuTTY

Скачивание SSH-клиента

Чтобы подключиться к устройству с помощью SSH, сначала необходимо скачать клиент SSH, например, выполнив.

Подключение к устройству

Чтобы подключиться к устройству, сначала необходимо получить IP-адрес устройства. после загрузки устройства Windows IoT Core на экране, подключенном к устройству, будет отображаться IP-адрес:

Теперь запустите выводимый текст и введите IP-адрес в Host Name текстовое поле и убедитесь, что SSH выбран переключатель. Затем нажмите кнопку Open .

Если вы подключаетесь к устройству в первый раз с компьютера, вы можете увидеть следующее оповещение системы безопасности. Просто щелкните Yes , чтобы продолжить.

Если соединение прошло успешно, login as: на экране появится запрос на вход.
Введите Administrator и нажмите клавишу ВВОД. Затем введите пароль по умолчанию в p@ssw0rd качестве пароля и нажмите клавишу ВВОД.

Если вы смогли успешно войти в систему, вы увидите нечто вроде:

Обновление пароля учетной записи

Настоятельно рекомендуется обновить пароль по умолчанию для учетной записи администратора.

Для этого введите следующую команду в консоли выводимых команд, заменив [new password] строгим паролем:

настройка устройства Windows IoT Core

чтобы иметь возможность развертывать приложения из Visual Studio 2017, необходимо убедиться, что Удаленный отладчик Visual Studio запущена на устройстве Windows IoT Core. Удаленный отладчик должен запускаться автоматически во время загрузки компьютера. Чтобы дважды проверить, используйте команду TList, чтобы вывести список всех запущенных процессов из PowerShell. На устройстве должно быть открыто два экземпляра msvsmon.exe.

время ожидания Удаленный отладчик Visual Studio может истекает после длительных периодов бездействия. если Visual Studio не удается подключиться к устройству Windows IoT Core, попробуйте перезагрузить устройство.

При необходимости можно также переименовать устройство. Чтобы изменить имя компьютера, используйте setcomputername программу:

Чтобы изменения вступили в силу, необходимо перезагрузить устройство. Команду можно использовать shutdown следующим образом:

Часто используемые служебные программы

Список команд и служебных программ, которые можно использовать с SSH, см. на странице служебной программы командной строки .

Читайте также:

  
• Как сделать текстовый файл бинарным
  
• Как исправить ошибку приложения в скайпе
  
• Как разместить компьютер на кухне
  
• Nikon z6 какие карты памяти
  
• Как поставить hdri карту в 3д макс