Det finns fyra krav som routern måste uppfylla innan man konfigurerar SSH:

1. Router eller switch kör en Cisco IOS version som stödjer SSH
2. Router eller switch har ett unikt host-namn
3. Router är med i ett nätverk med domännamn
4. Router tillhandahåller AAA autentiseringstjänster

Exempel på SSH-konfiguration

• Router(config)# hostname R1
• R1(config)# ip domain-name diginto.se
• R1(config)# crypto key generate rsa general-keys modulus 1024
• R1(config)# ip ssh version 2
• R1(config)# username admin algorithm-type scrypt secret adminP@55
• R1(config)# line vty 0 4
• R1(config-line)# login local
• R1(config-line)# transport input ssh
• R1(config-line)# end
• R1#

Cisco IOS använder algoritmen Rivest, Shamir och Adleman (RSA) för att generera enkelriktade kryptonycklar. Dessa kryptonycklar är asymmetriska och genereras med kommandot crypto key general-keys modulus exekverat från det globala exekveringsläget. Modulen bestämmer storleken på RSA-kryptonyckeln i antal bitar från 360 till 4096. Ju större modul, desto säkrare är RSA-nyckeln. Emellertid tar nycklar med stora modulvärden något längre tid att generera, kryptera och dekryptera. Minsta rekommenderade antal bitar är 1 024 bitar.

Observera att SSH aktiveras automatiskt efter att RSA-kryptonycklarna har genererats.  Cisco IOS använder SSH version 2 som standard, annars kan den versionen aktiveras med kommandot ip ssh version 2.

Routern eller switchen ska ha minst ett användarkonto lagrade i den lokala databasen, annars skapar man det med kommando username xx algorithm-type scrypt secret.

För att verifiera och se de genererade kryptonycklarna, använd kommandot show crypto key mypubkey rsa i privilegierat EXEC-läge. Om det finns befintliga nyckelpar, rekommenderas att de skrivs över med kommandot crypto key zeroize rsa.

Ändra SSH-konfigurationen

För att verifiera SSH konfigurationer exekvera kommandot show ip ssh. Vid ändringar kan exekveras olika kommando exempelvis om man vill ändra standardintervallet för SSH-timeout och antalet autentiseringsförsök kan kommandot ip ssh time-out exekveras så att de standard 120 sekunder kan ökas eller minskas. Kommandot konfigurerar antalet sekunder som SSH kan använda för att autentisera en användare. Efter att den har autentiserats startar en EXEC-session och den konfigurerad tiden för vty terminaler gäller.

Som standard har en användare som loggar in tre försök att ange rätt lösenord innan den kopplas från. För att konfigurera ett annat antal försök exekvera kommandot ip ssh authentication-retries.

SSH-anslutning till en SSH-aktiverad router

Det finns två olika sätt att ansluta till en SSH-aktiverad router:

• Som standard, när SSH är aktiverat, kan en Cisco-router fungera som en SSH-server eller SSH-klient. Som server kan en router acceptera SSH-klientanslutningar. Som klient kan en router ansluta via SSH till en annan SSH-aktiverad router. Till exempel: R2# ssh -l admin 192.168.2.101
• Anslut med en SSH-klientapplikation så kallade terminalemuleringsprogram. Exempel på dessa klienter inkluderar PuTTY, OpenSSH och TeraTerm.

Proceduren för att ansluta till en Cisco-router varierar beroende på vilken SSH-klientapplikation som används. I allmänhet initierar SSH-klienten en SSH-anslutning till routern. Routerns SSH-tjänst frågar efter rätt kombination av användarnamn och lösenord. Efter att inloggningen har verifierats kan routern hanteras som om administratören var lokal inloggad.