فصل دوم قسمت چهارم: راه اندازی Telnet & SSH

در ادامه مباحث آموزش CCNA بعد از شناخت جزئی از سویچ و اجزای سخت افزاری آن از جمله Ram و Rom و … ، اکنون به بخش کانفیگ کردن سویچ میرسیم و برای کانفیگ کردن سویچ ابتدا باید به سویچ وصل شده و بعد روی آن کانفیگ بزنیم. برای اتصال به سویچ چند راه وجود دارد که در این مبحث به این موارد میپردازیم.

یادآوری : ما سه مدل کابل داریم ،

کابل کنسول : برای اولین بار که میخواهیم به سویچ وصل بشویم از کابل کنسول استفاده میکنیم.

کابل Cross : دیوایس ها اگه در یک لایه باشند از کابل Cross استفاده میکنیم ، مثلا برای اتصال سویچ به سویچ یا روتر به روتر.

کابل Straight : دیوایس ها اگه در یک لایه نباشند از کابل Straight استفاده میکنیم ، مثلا PC به Switch از کابل Straight استفاده میکنیم.

مثلا از PC به Router از Cross استفاده میکنیم چون PC لایه ۳ است زیرا IP میگیرد.

سوال : برای اینکه برای اولین بار به سویچ وصل بشیم چه چیزهایی نیاز دارم؟

کابل کنسول

سوال : برای دسترسی از طریق Line Vty به چه چیزهایی نیاز داریم ؟

IP Address و Enable Password

خب سوال بعدی : دوطریق دسترسی از طریق Line Vty داشتیم ، چیا بودن ؟

Telnet و SSH

حالا فرق Telnet و SSH در چیست ؟

SSH رمز نگاری میشود که به اصطلاح میگیم Encryption ولی Telnet رمز نگاری ندارد و به اصطلاح میگیم Clear Tex.

کانفیگ کردن Telnet روی دیوایس :

ما میدانیم که اینترفیس های سویچ لایه دو هستند زیرا سویچ یک دیوایس لایه دو است ، مفهوم IP نیز لایه سه است پس اینترفیس های سویچ IP نمیگیرد. اما برای اینکه به سویج IP بدهیم تا بتوانیم با استفاده از IP به آن متصل بشیم ، باید از اینترفیس های مجازی استفاده کنیم، که در سویچ به این اینترفیس ها ، Interface Vlan میگویند.

پس Interface Vlan یک اینترفیس مجازی لایه ۳ روی سویچ است. اینترفیس مجازی یعنی اینکه نیاز به پورت برای up up شدن ندارد و همیشه up up است.یک سری شرایط دارد برای اینکه up up باشد،

( up up یعنی چی؟ up اول یعنی فیزیکالش وصل است یا همان کابلش وصل است و up دوم یعنی Line Protocol هم وصل است.) اینترفیس های غیرمجازی تا کابلشان وصل نباشد ، Down Down هستند.

پس اینترفیس های مجازی نیازی به این ندارند که کابلشان وصل باشد یا نباشد و همیشه up up هستند. ما باری کانفیگ کردن Telnet و SSH فقط وارد Interface vlan 1 میشویم و سراغ  Interface vlan 2 , 3 و … نمیرویم. انشالله در بحث های بعدی جایی که vlanning را میخوانیم توضیح خواهم داد.

نکته : interface vlan 1 به صورت خودکار روی سویچ وجود دارد اما انترفیس های vlan بعدی را باید ایجاد کنیم.

در این روش set کردن telnet یک ایراد بزرگ وجود دارد ، اینکه همه ما ادمین شبکه هستیم و enable pass را داریم ، اگر به طور مثال من یک خرابکاری بکنم ، نمیشود اثبات کرد که کار من بوده. چرا؟ زیرا همه بایک password وارد میشویم. پس باید مشخص کنیم هرکس با username و pass خودش بتواند telnet بزند. حالا برای username دادن دوباره کانفیگ میکنیم.

نکته : privilege یعنی سطح دسترسی ، سطح دسترسی های ما از ۰ است تا ۱۵ ، اما در واقعیت یا ۰ است یا ۱۵ ، یعنی ۱ بذاری ۰ است ، ۲ بذاری ۰ است ، ۳ تا ۱۴ هم بذاری ۰ است و فقط ۱۵ است که میتواند همه کامندی بزند. سطح دستررسی ۰ یعنی فقط بتواند show بگیرد.

کانفیگ کردن Telnet با استفاده از username و privilege :

نکته : اگر در تعریف username ، بیایم privilege 15 رو بذاریم ، یه ضرب وارد مد enable میشود و دیگر نیاز به enable password ندارد. اگز privilege 15 رو نذاریم ، به صورت دیفالت privilege 15 سطح دسترسی خواهد بود ولی در مد user بالا میاد و در اینجا باید enable password داشته باشیم.

متاسفانه در روی packet tracer ، نمیتوانیم ssh را تست کنیم ، زیرا نیاز به یک نرم افزار terminal emulator دارد و حتی با ویندوز به صورت دیفالت نمیشود و میتوان از putty استفاده کرد.

کانفیگ کردن SSH روی دیوایس :

خب ما telnet را یاد گرفتیم و حالا میخواهیم ببینیم که چطور میتوان از طریق SSH به دیوایس متصل شد.

برای دسترسی SSH ما به IP نیاز داریم. در line vty هیچوقت password نمیدهیم و همیشه از username و password استفاده میکنیم. SSH روشی است که می آید ترافیک های بین ما و سویچ یا روتر را Encrypt یا رمز نگاری میکند ، که اگر یک نفر وسط راه شنود کرد متوجه نشود که چه خبر است.

SSH برای رمز نگاری یا همون Encryption از روشی استفاده میکند به نام الگوریتم rsa. الگوریتم rsa از روش رمز نگاری asymmetric اسفاده میکند. یعنی با یک کلید رمز میکند و با یک کلید باز میکند.اما rsa برای اینکه این کلیدها را تولید کند ، به دو تا چیز نیاز دارد: اولی Host name که همان اسم دیوایس است.(در بحث Device Configuration توضیح دادیم.) دومی ip domain name است. SSH با استفاده از این دوتا، دو کلید درست میکرد ، یکی برای Encryption و دیگری برای decryption .پس ما یک host name و یک ip domain name روی دیوایس هایمان تعریف میکنیم برای اینکه بتوانیم SSH بزنیم.

برای کانفیگ کردن SSH نیاز به چه چیزهایی داریم ؟

1. ip address
2. username & password
3. host name
4. ip domain name
5. کامندی که به SSH بگه با استفاده از username و host name برو یک کلید generate کن.

یک نکته بسیار کاربردی:

در تعریف username و password ما هم میتوانیم مثلا کامند user name hamid password 1234 را بزنیم و هم کامند user name hamid secret 1234 . فرق بین secret و password در این است که secret 1234 را Hash میکند . یعنی در هم میریزد و کاری میکند که اگر show running config گرفتیم معلوم نشود رمزمان ۱۲۳۴ است . ( Hash کاری میکند که data اصلی قابل شناسایی نباشد) ولی password ، روی data ، عمل Hash را انجام نمیدهد. و بعد از show running config گرفتن میتوان فهمید که رمزمان ۱۲۳۴ است.

پس خیلی از جاها password های ما قابل encrypt شدن با استفاده از Hash نیستند .مثلا line vty password ، با کامند service password-encryption در مد config ، همه password هایی که Hash نشده است را با یک الگوریتم Hash سبک ، Hash میکند.

مثال : در کانفیگ فیلم پایین نشان میدهیم که چطور میشود تمامی password ها را hash کرد.

نکته کلیدی :

1. گر در محیط واقعی یا در Packet Tracer در حین کامند زدن دیوایس وارد فاز Translating در اثر اشتباه تایپ کردن شد ، با زدن کامند no ip domain-lookup در مد Configuration دیگر دیوایس وارد فاز Translating نمیشود.
2. اگز در محیط واقعی یا در Packet Tracer در حین کامند زدن دیوایس شروع به log انداختن کرد و log انداختن دیوایس روی اعصاب بود، وارد مد Configuration بشوید سپس در مد line console 0  کامند logging synchronous را میزنیم و به همین ترتیب دیگر دیوایس log الکی نمی اندازذ.(این کامند را در line vty 0 15 هم میشود زد)

خب ما در این بحث نیز آموحتیم که چطور میشود  به دیوایس از طریق line vty با استفاده از telnet (نا امن) و SSH (امن) متصل بشویم.

در ادامه نیز مباحث سویچینگ را ادامه میدهیم.