9.1. Общие сведения об SSL
SSL (Secure Sockets Layer) - протокол, используемый для защищенной передачи информации в Интернет. На данном коммутаторе SSL может быть использован совместно с HTTP для доступа к WEB-интерфейсу управления коммутатором.
Протокол SSL использует протокол TCP для непосредственной передачи пакетов по сети. Поверх TCP инкапсулируется заголовок одного из SSL Record Protocol. Им может быть SSL Handshake Protocol, позволяющий согласовывать ключи и алгоритмы шифрования. SSL не зависит от протокола уровня приложений и является полностью прозрачным для них.
В общей модели SSL согласовывает алгоритм шифрования, ключ шифрования и аутентификацию сервера перед передачей данных, где используется SSL-сертификат доверенного центра. В настоящее время ключи, предоставляемые коммутатором, не являются официальными сертификационными ключами, а являются частными ключами сертификации, создаваемыми программным обеспечением SSL на коммутаторе, которые не могут быть распознаны браузером. Это не является обязательным условием работы HTTPS и достаточно для обеспечения безопасной связи между пользователем и коммутатором. Ключ шифрования и метод шифрования должны, которые будет использоваться для шифрования данных будут согласованы в момент установления соединения.
9.2. Конфигурация SSL
- Включить функцию SSL;
- Настроить номер порта для SSL;
- Настроить набор методов шифрования для SSL;
- Инструменты диагностики SSL;
- Включить функцию SSL:
Команда | Описание |
|---|---|
ip http secure-server no ip http secure-server ! В режиме глобальной конфигурации | Включить функцию SSL. Команда no отключает эту функцию. |
2. Настроить номер порта для SSL:
Команда | Описание |
|---|---|
ip http secure-port <port-number> no ip http secure-port ! В режиме глобальной конфигурации | Задать порт для использования SSL. Команда no возвращает значение по-умолчанию - 443. |
3. Настроить набор методов шифрования для SSL:
Команда | Описание |
|---|---|
ip http secure-ciphersuite {des-cbc3-sha|rc4-128-sha| des-cbc-sha} no ip http secure-ciphersuite ! В режиме глобальной конфигурации | Выбрать алгоритм шифрования. Команда no отменяет выбор. |
4. Инструменты диагностики SSL:
Команда | Описание |
|---|---|
show ip http secure-server status ! В привилегированном режиме | Отобразить информацию о конфигурации SSL. |
debug ssl no debug ssl ! В привилегированном режиме | Отобразить отладочную информацию о SSL. Команда no отключает эту функцию. |
9.3. Пример конфигурации SSL
После того, как WEB-интерфейс включен на коммутаторе, SSL может быть настроен для использования при получении более безопасного доступа пользователей к коммутатору.
Конфигурация коммутатора будет выглядеть следующим образом:
Switch(config)# ip http secure-server Switch(config)# ip http secure-port 1025 Switch(config)# ip http secure-ciphersuite rc4-128-sha
9.4. Решение проблем при конфигурации SSL
- Убедитесь в наличии физического соединения между коммутатором и пользователем, в том, что пользователь находится в нужной VLAN и L3-интерфейс на коммутаторе находится в состоянии UP;
- Убедитесь, что пользователь использует верный порт;
- Убедитесь, что WEB-интерфейс и SSL активированы на коммутаторе;
- После изменения метода шифрования или порта, перезапустите SSL;
- Для получения отладочной информации воспользуйтесь командой debug ssl.