![\"router\"](\"https:\/\/blog.iwen.de\/wp-content\/uploads\/2008\/12\/router.png\" "\\"router\\"")
Das Cisco IOS stellt schon seit geraumer Zeit einen SCP-Server zur Verf\u00fcgung. Trotzdem beobachte ich immer wieder, da\u00df IOS-Images standardm\u00e4\u00dfig per TFTP \u00fcbertragen werden. Und das selbst dann, wenn die Client-Plattform “nativ” scp unterst\u00fctzt.<\/p>\n
Auch wenn die SCP-Server-Implementierung in meinen Augen suboptimal ist (was die Berechtigungen angeht), ist die Benutzung des Servers recht einfach:<\/p>\n
SSH ben\u00f6tigt public\/private keys. F\u00fcr das Generieren der Keys muss man einen Host- und Domain-Namen konfigurieren. (Es gibt Tricks, ohne einen Domain-Namen auszukommen, aber der l\u00e4uft nicht auf allen Plattformen). Die Key-L\u00e4nge sollte mindestens 1024, besser 2048 Bit sein. Neuere IOS-Releases unterst\u00fctzen sogar bis 4096 Bit. Weiterhin sollte man die Verwendung der \u00e4lteren SSH-Version 1 verbieten:<\/p>\n
hostname MyDevice\nip domain-name example.org\ncrypto key generate rsa general-keys modulus 2048\nip ssh version 2\n<\/code><\/pre>\n- Den SCP-Server einschalten<\/strong><\/li>\n
ip scp server enable\n<\/code><\/pre>\n- Authentifizierung und Autorisierung konfigurieren<\/strong><\/li>\n
F\u00fcr SCP muss der Router so konfiguriert werden, dass der User direkt Lese- und Schreibrechte auf das Flash hat. Dies wird durch die Exec-Autorisierung gemacht:<\/p>\n
aaa new-model\naaa authentication login default local\naaa authorization exec default local\n<\/code><\/pre>\n- Useraccounts anlegen<\/strong><\/li>\n
Der Benutzer bekommt einen Privilege-Level von 15 per Exec-Autorisierung zugewiesen:<\/p>\n
username Admin privilege 15 secret 0 My0wnV3ryS3cur3Passw0rd\n<\/code><\/pre>\n- Kopieren der Daten vom Client<\/strong><\/li>\n
Hierbei muss die Syntax genau beachtet werden. Der Speicher- bzw. der Quellort im Router muss komplett angegeben werden (hier “flash:\/):<\/p>\n
scp Quelldatei User@MyDevice.example.org:flash:\/Zielname\n<\/code><\/pre>\n<\/ol>\nAuch wenn ich in diesem Beitrag immer Router geschrieben habe, so gilt dasselbe auch f\u00fcr die Switche. Voraussetzung ist nat\u00fcrlich jeweils ein Crypto-f\u00e4higes Image.
\nUnd nat\u00fcrlich gibt es auch bei Cisco eine SCP-Anleitung<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"Das Cisco IOS stellt schon seit geraumer Zeit einen SCP-Server zur Verf\u00fcgung. Trotzdem beobachte ich immer wieder, da\u00df IOS-Images standardm\u00e4\u00dfig per TFTP \u00fcbertragen werden. Und das selbst dann, wenn die Client-Plattform “nativ” scp unterst\u00fctzt. Auch wenn die SCP-Server-Implementierung in meinen Augen suboptimal ist (was die Berechtigungen angeht), ist die Benutzung des Servers recht einfach: SSH <\/p>\n