Cấu Hình SSH Trên Thiết Bị Cisco: Hướng Dẫn Chi Tiết Và Khắc Phục Lỗi Thường Gặp

Bài viết này hướng dẫn cấu hình giao thức SSH để quản trị thiết bị Cisco một cách an toàn thay vì Telnet. Ngoài ra, bài viết còn tổng hợp các lỗi thường gặp khi triển khai SSH và hướng dẫn cách xử lý hiệu quả.

🔍 Giới thiệu về SSH trên Cisco

SSH (Secure Shell) là giao thức mã hóa giúp quản trị thiết bị mạng từ xa một cách bảo mật hơn so với Telnet – vốn truyền thông tin dưới dạng văn bản thuần (cleartext). Trên các thiết bị Cisco (Router/Switch), để sử dụng SSH, cần có mô-đun mã hóa RSA, tên miền cấu hình sẵn, và enable dòng VTY cho giao thức SSH.

---

⚙️ Cấu hình chi tiết SSH trên thiết bị Cisco

1. Cấu hình hostname và domain-name

bashCopyEditconf t
hostname MyRouter
ip domain-name mydomain.local

2. Kích hoạt RSA để dùng SSH

bashCopyEditcrypto key generate rsa modulus 2048

Yêu cầu: Router/switch phải có IOS hỗ trợ Crypto (chứa k9)

3. Tạo tài khoản đăng nhập

bashCopyEditusername admin privilege 15 secret Admin@123

4. Bật AAA local (khuyến nghị cho SSH)

bashCopyEditaaa new-model

5. Cấu hình dòng VTY sử dụng SSH

bashCopyEditline vty 0 4
 login local
 transport input ssh
 exec-timeout 5 0

6. Bật SSH version 2

bashCopyEditip ssh version 2

7. Kiểm tra lại SSH

bashCopyEditshow ip ssh

---

❗ Các lỗi thường gặp khi cấu hình SSH và cách khắc phục

⚠️ 1. Không dùng được lệnh crypto key generate rsa

Nguyên nhân:

• IOS không hỗ trợ crypto (không có k9)
• IOS quá cũ không có RSA
• Chưa cấu hình hostname hoặc domain-name

Khắc phục:

• Kiểm tra IOS bằng show version
• Nếu thiếu k9, cần nâng cấp IOS (ví dụ: từ ipbase → ipservicesk9)
• Đảm bảo có cấu hình hostname và ip domain-name

---

⚠️ 2. SSH bật nhưng không truy cập được

Nguyên nhân:

• Dòng VTY không cho phép SSH
• Tài khoản chưa đúng
• SSH client lỗi, hoặc cổng bị chặn

Khắc phục:

• Kiểm tra line vty có dòng transport input ssh
• Dùng lệnh debug ip ssh để xem chi tiết
• Kiểm tra ACL (nếu có)

---

⚠️ 3. Không thể tạo khóa RSA do lỗi “^”

Nguyên nhân:

• IOS không hỗ trợ hoặc dòng lệnh bị nhập sai

Khắc phục:

• Kiểm tra chính xác lệnh: bashCopyEditcrypto key generate rsa modulus 2048
• Đảm bảo đã có hostname và domain-name
• Nâng cấp IOS nếu cần

---

⚠️ 4. SSH bật nhưng bị báo lỗi xác thực

Khắc phục:

• Đảm bảo dùng login local thay vì login
• Xác minh lại tài khoản (username ... secret)

⚠️ 5. Lỗi minh họa: “% Invalid input detected at ‘^’ marker”

Câu lệnh crypto key generate rsa báo lỗi "% Invalid input detected at '^' marker" thường xảy ra do switch của bạn chưa bật chế độ aaa new-model, hoặc phiên bản IOS không hỗ trợ lệnh đó, nhất là trên các thiết bị Catalyst chạy IOS cũ (như phiên bản bạn đang dùng: 12.2).

🔧 Cách khắc phục chi tiết

✅ Bước 1: Bật AAA (Xác thực truy cập)

Lệnh SSH cần aaa new-model để hoạt động đầy đủ. Bạn hãy bật nó:

plaintextCopyEditconf t
aaa new-model

⚠️ Chú ý: Bật aaa new-model sẽ làm thay đổi cách xử lý xác thực của switch, nên cần cấu hình login local cho VTY để tránh bị “lock-out”.

✅ Bước 2: Tạo khóa RSA lại

Sau khi đã bật aaa new-model, thực hiện lại lệnh tạo khóa:

plaintextCopyEditcrypto key generate rsa modulus 2048

Bạn sẽ thấy thông báo như:

plaintextCopyEditThe name for the keys will be: PCNA.r3750.pcnghean.vn
% The key modulus size is 2048 bits
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK]

---

✅ Bước 3: Kiểm tra SSH có được bật chưa

plaintextCopyEditshow ip ssh

Nếu thấy:

plaintextCopyEdit% SSH disabled or not yet enabled

=> Bạn cần bật SSH:

plaintextCopyEditip ssh version 2

---

✅ Cấu hình tổng hợp lại sau khi sửa:

plaintextCopyEditconf t
aaa new-model
username pcnghean privilege 15 secret P@ssw0rdSsh!2025
ip domain-name r3750.pcnghean.vn
crypto key generate rsa modulus 2048
ip ssh version 2
line vty 0 15
 login local
 transport input ssh
end

Nếu sau khi bật aaa new-model mà vẫn bị lỗi tại lệnh:

plaintextCopyEditcrypto key generate rsa modulus 2048
               ^
% Invalid input detected at '^' marker.

👉 Khả năng cao là thiết bị bạn đang dùng (Cisco Catalyst 3750, IOS 12.2) không hỗ trợ tính năng SSH do thiếu mô-đun mã hóa RSA, hoặc chưa có IOS crypto image (ví dụ: k9 version).

---

🧠 Cách kiểm tra lý do chính xác:

🔎 1. Kiểm tra loại IOS đang chạy:

Chạy lệnh sau:

plaintextCopyEditshow version

Tìm dòng có dạng:

plaintextCopyEditSystem image file is "flash:c3750-ipbase-mz.122-XX.SE.bin"

Nếu bạn thấy:

• ipbase hoặc ipbase-mz → ❌ KHÔNG hỗ trợ SSH/RSA
• k9 (ví dụ: ipservicesk9, ipbasek9, advancedipservicesk9) → ✅ CÓ hỗ trợ SSH

---

✅ Cách khắc phục theo từng trường hợp

🅰️ Trường hợp 1: Không có chữ k9 trong IOS image

👉 Bạn cần nâng cấp IOS lên bản có hỗ trợ mã hóa (k9), ví dụ:

• c3750-ipservicesk9-mz.122-55.SE12.bin

➡️ Sau đó bạn mới dùng được lệnh crypto key generate rsa.

🅱️ Trường hợp 2: Đã là bản k9 mà vẫn lỗi

Có thể do firmware lỗi hoặc cấu hình bị chặn RSA, hãy thử các bước sau:

plaintextCopyEditconf t
no ip domain-lookup
ip domain-name r3750.pcnghean.vn
crypto key zeroize rsa
crypto key generate rsa

---

📌 Tạm thời giải pháp thay thế nếu chưa nâng được IOS

Nếu bạn chưa thể nâng cấp IOS, bạn chỉ có thể dùng Telnet hoặc Console để quản trị, và nên:

• Tắt hoàn toàn HTTP/HTTPS (đã làm rồi ✅)
• Không bật SSH
• Hạn chế truy cập VTY qua ACL nếu dùng Telnet

Ví dụ chặn Telnet từ ngoài:

plaintextCopyEditaccess-list 10 permit 192.168.100.0 0.0.0.255
line vty 0 4
 access-class 10 in
 login local
 transport input telnet

---

✅ Kết luận

Việc cấu hình SSH trên thiết bị Cisco là một bước quan trọng để tăng cường bảo mật mạng. Tuy nhiên, do sự đa dạng của dòng IOS và thiết bị, quá trình này có thể phát sinh lỗi. Hiểu được nguyên nhân và biết cách khắc phục sẽ giúp bạn triển khai thành công và an toàn hơn.

🎯 Hãy đảm bảo thiết bị bạn đang sử dụng có bản IOS hỗ trợ Crypto (k9) để tránh các lỗi phát sinh khi tạo khóa RSA và bật SSH.