راه اندازی SSH

0
1166

پیشتر توضیحات مقدماتی در خصوص SSH را ارائه کردیم. حال قصد راه اندازی SSH را بروی دستگاه های سیسکویی داریم.

راه اندازی زیرساخت و اساس نرم افزارهای ترمینال

پیش از هر کاری باید امکان ارتباط با دستگاه برقرار باشد. به همین دلیل ابتدا برای دستگاه IP تعریف می‌کنیم. در ادامه همانگونه که توضیح دادیم، بایستی بروی دستگاه سرویس احرازهویت (یا به صورت داخلی یا به صورت متمرکز) را با تعریف نام کاربری و کلمه عبور راه اندازی می‌کنیم، زیرا دستگاهی که بروی آن کلمه عبور تنظیم نشده باشد، اجازه ورود به صورت ناشناس (anonymous) را نخواهد داد.

راه اندازی سرویس تولید کلید در دستگاه

حال بایستی سوئیچ را به CA Server تبدیل کنیم. برای ساخت کلید از دستور crypto استفاده میکنیم. دستور Generate هم private key و هم public key را می‌سازد، اما باید مشخص میکنیم با چه الگوریتمی کلیدها ساخته شوند که در اینجا فقط RSA را داریم.

در ابتدا برایمان مشخص میکند که حتما اسم سوئیچمان را باید از حالت پیش فرض تغییر دهیم.

 

 

با زدن دستور crypto key generate RSA با پیغام خطایی مواجه میشویم. این خطا این موضوع را میرساند که اگر بخواهیم یک certificate server داشته باشیم حتما نیازمند یک سازمان نام میباشیم. دستگاه باید یک دامین را که سازمان نامش است را داشته باشد و بر اساس سازمان نام کلید را تولید کند. بخاطر اینکه کلید را بر اساس اسمی که برایش تعریف میکنیم میسازد.

تعریف سازمان نام با استفاده از دستور IP domain-name

مجددا دستور crypto key generate rsa را وارد می‌کنیم. اینبار با پیغام دیگری مواجه میشویم که میگوید: میخواهید ماژول شما کلید چند بیتی برایتان بسازد

پیش فرض دستگاه 512 میباشد اما پیشنهاد خود سیسکو این است که حداقل از 1024 شروع کنیم. همانطور هم که در تصویر بالا مشخص است این عدد میتواند بین 360 تا 2048 باشد.

برای بررسی دقیق این که آیا کلید ساخته شده و فعال هست یا خیر می توانیم از دستور show IP ssh و show crypto key mypubkey RSA استفاده کنیم.

نکته: certificate ها lift time دارند. یعنی پس از زمانی اعتبار ندارند و قابل استفاده نیستند.

با استفاده از دستور certmgr.msc در run در محیط ویندوز می‌توان به قسمت certificate ها رفت و یکی از آنها را باز کرد تا بررسی کنیم از چه تاریخی صادر شده و تا چه تاریخی اعتبار دارد.

یا می‌توانیم certificate وب سایت هایی که با پورت SSL کار می‌کنند (مانند google) را برسی کنیم. برای اینکار کافی است بروی آیکون کلید در قسمت address bar کلیک کنید و certificate را انتخاب کنید. نتیجه مشابه تصویر زیر است.

تست ارتباط از روی PC

با استفاده از دستور ssh –l “username” IP می‌توان در محیط command prompt از طرق ارتباط SSH به دستگاه وصل شد.

در این دستور نیز همانند دستور telnet در صورتیکه secret و یا password جهت دسترسی به محیط configure terminal تنظیم نکرده باشیم نمیتوانیم متصل شویم مگر اینکه کاربر تعریف شده privilege کافی را جهت ورود به محیط configure داشته باشد.

با توجه به اینکه telnet یعنی امنیت پایین، پس بایستی telnet را غیرفعال کنیم. با دستور transport در محیط line vty قابلیت telnet را غیرفعال میکنیم.

 

ارسال یک پاسخ

لطفا دیدگاه خود را وارد کنید!
لطفا نام خود را در اینجا وارد کنید