برای دسترسی به دستگاه های سیسکو چندین روش وجود دارد که هرکدام را مورد بررسی قرار میدهیم:
پورت console
این همان پورتی است که از طریق کابلConsole به روتر متصل شدیم و برای متصل شدن به یک روتر خام است که هیچگونه تنظیماتی روی آن انجام نشده است، برای رمزنگاری این پورت، باید کارهای زیر را انجام دهیم.
وارد مدglobal شوید و با دستور Line console 0، وارد پورت کنسول شوید. مانند زیر عمل کنید:
Router(config)#line consol 0
Router(config-line)#
اصولاً روی روترها، یک پورت کنسول وجود دارد که شمارهی آن صفر است.
در این قسمت میخواهیم روی این پورت رمز قرار دهیم، باید کارهای زیر را انجام دهیم:
Router(config-line)# password 123
برای این کار، از دستور Password و بعدازآن، از یک کلمهی عبور، مانند ۱۲۳ استفاده میکنیم که شما میتوانید به جای این کلمهی عبور (۱۲۳)، کلمهی عبور دلخواهی را وارد کنید.
بعدازاین که رمز را وارد و enter کردیم باید از دستور login استفاده کنیم تا زمانی که میخواهیم وارد تنظیمات روتر شویم از ما رمز عبور پرسیده شود، پس به این صورت این دستور را وارد میکنیم:
Router(config-line)# Login
اگر شما دستور Login را وارد نکنید، هر رمزی را هم روی روتر فعال کنید، باز برای ورود از شما رمز عبور درخواست نمیشود، پس به این نکته توجه کنید.
در حال حاضر با واردکردن این دستورات، روی روتر رمز قرار دادیم و زمانیکه میخواهیم از طریق کابل Console وارد User Mode شویم، از شما رمز درخواست میشود که در ادامه، نحوهی رمزنگاری پیشرفتهتر را باهم فرامیگیریم، به دلیل اینکه این نوع رمزها، TEXT Base بوده و قابلشناسایی و هک شدن میباشند.
دستورات دیگری در این پورت وجود دارد که باهم مورد بررسی قرار میدهیم:
دستور :exec-timeout
زمانیکه وارد یک مد میشوید، اگر مدتزمانی با روتر کار نکنید، در هر مدی که هستید، خارج شده و به مد اول، یعنی UserMode برگشت میکند، برای جلوگیری از این کار، باید از دستور زیر در پورت consol استفاده کنید:
Router(config-line)#exec-timeout 0 0
همانطور که مشاهده میکنید، در این دستور از دو صفر استفاده شده است که اولی برای دقیقه و دومی برای ثانیه است، با صفر کردن هر دو اگر در هر مدی باشید در همان مد ثابت خواهد ماند و خارج نمیشود، البته میتوانید هر زمان که خودتان دوست دارید وارد کنید.
دستور :logging synchronous
زمانی در حال تایپ کردن دستورات هستید، روتر به صورت خودکار یک سری اطلاعات را به شما نمایش میدهد، مانند فعال شدن یک پورت و یا اجرا شدن یک پروتکل و… که این کار باعث میشود دستوراتی که در حال نوشتن هستیم برای آنها مشکلی ایجاد شود و جا به جا شوند. برای جلوگیری از این کار در پورت Console از دستور زیر استفاده کنید:
Router(config-line)#logging synchronous
Enable Password
این رمز برای Privileged Mode است. اگر کاربری بخواهد وارد این مد شود از وی پسورد درخواست میشود. برای فعال کردن آن، وارد مد Global میشویم و دستور زیر را تایپ و بعد enter میکنیم.
Router(config)#enable password 123
با این دستور، رمز عبور بر روی مد Privileged فعال میشود و زمانی که بخواهیم وارد این مد شویم از شما رمز عبور درخواست میشود که در زیر مشاهده میکنید.
User Access Verification
password:
Router>enable
Password:
Router#
توجه داشته باشید در موقع واردکردن رمز عبور، رمز عبور به شما نمایش داده نمیشود.
رمزهای عبوری که با دستورEnable Password فعال میشوند، زیاد نمیتوانند امن باشند، چون این رمزها به صورت Text Base بوده و با یک فرمان میتوانید رمز عبور را به دست آورید. برای دیدن رمز عبور از دستور Show Runing-config استفاده کنید، دستورshow برای نمایش اطلاعات به کار برده میشود، که با این دستور در درسهای آینده زیاد کار خواهیم کرد، این دستور در مدهای UserMode و Priviliged Mode کار میکند، البته در مد Global هم کار میکند که در درسهای بعدی به آن میپردازیم، دستور بعدی که بعد از دستور show به کار بردیم Running-Config است. این دستور اطلاعات حاضر در Ram را به ما نشان میدهد، یعنی اینکه هر تنظیماتی که روی روتر انجام شده، در این قسمت قرار دارد. میخواهیم با این دستور به شما نشان دهیم که دستور Enable Password زیاد هم امن نیست، این دستور را در مد Privileged وارد کنید.
Router#show running-config
Building configuration…
Current configuration : 648 bytes
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Router
!
!
!
enable password 123
!
!
!
!
!
!
!
!
–More–
همانطور که مشاهده میکنید با واردکردن دستور Show Running-config، رمز عبور واردشده، نمایش داده شد، پس باید کاری کرد که این رمز به صورت Hashing یا کد شده در این قسمت نمایش داده شود تا کسی نتواند این رمز را مشاهده کند، مانند قبل وارد مدglobal شوید و کارهای زیر را انجام دهید:
اول از همه، رمز قبلی را که وارد کردیم، حذف میکنیم. برای حذف هر دستوری که وارد کردیم، باید قبل از آن دستور، از کلمهی No استفاده کنیم تا دستور مورد نظر حذف شود، برای این کار از دستور
No enable password استفاده میکنیم، بعد از این کار، از دستور enable Secret 123 استفاده میکنیم که رمز عبور را به صورت کد شده درمیآورد و برای شما نمایش میدهد، بعد از این کار در مد Privileged دستور show Running-config را اجرا کنید، متوجه میشوید که رمز عبور ۱۲۳ به صورت کد شده درآمده، مانند رمز زیر:
enable secret 5 $1$mERr$3HhIgMGBA/9qNmgzccuxv0
زمانیکهEnable Secret فعال است، Enabel Password روی روتر کاربردی ندارد و اگر هر دو دستور را در یکزمان فعال کنید، فقط رمز عبوری که با دستور Enable Secret فعال کردیم، جواب میدهد .
پورت AUX
این پورت برای ارتباط از راه دور از طریق خط تلفن با روتر استفاده میشود که میتوانیم به روش زیر فعال کنیم:
Router(config)#Line aux 0
Router(config-line)#password 123
Router(config-line)#login
این رمز عبور قبل از وارد شدن به User Mode پرسیده میشود.
Telnet (تل نت)
Telnet یکی از راههای محبوب برای ورود به روتر از راه دور است، که برای فعال کردن آن باید کارهای مختلفی انجام بگیرد، این کار را با مثالی کامل انجام میدهیم تا متوجه کار آن شویم.
یک روتر ۲۹۱۱ و یک pc به صفحه اضافه کنید و بعد با کابل Cross پورتFast Ethernet 0 کامپیوتر را به پورت GigaEthernet0/0 متصل کنید، مانند شکل زیر:
خوب، بعد از این کار بر روی روتر کلیک کنید تا صفحهی موردنظر باز شود وارد مد Global شوید و بعدازآن با دستور زیر پورت GigaEthernet را آدرسدهی میکنیم.
Router(config)#interface gigabitEthernet 0/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
با دستور interface gigabitEthernet 0/0 وارد interface مورد نظر شدهایم، بعد یک ip آدرس به این پورت نسبت دادهایم و بعد از این کار پورت موردنظر را با دستور no shutdown روشن کردهایم.
پورت موردنظر را آدرسدهی و روشن کردهایم، بعد از این کار باید Telnet را فعال کنیم تا بتوانیم از راه دور با استفاده از آدرسی که دادیم به روتر متصل شویم.
برای فعال کردن Telnet باید پورتهای مجازی Vty را فعال کنیم. Vty مخفف Virtual terminal که از چندین پورت مجازی برای ورود به روتر استفاده میکند، مثلاً در روتر ۲۹۱۱ که ما در حال کار با آن هستیم از ۱۵ پورت تشکیل شده است. برای مشاهده این پورتها در مد Global دستور زیر را وارد کنید:
Router(config)#line vty ?
<0-15> First Line number
با واردکردن دستور Line Vty و بعدازآن، علامت سؤال به ما تعداد پورتهای مجازی برای این روتر را نشان میدهد که ۱۵ عدد است. شما میتوانید تمام این ۱۵ پورت را فعال کنید که با این کار ۱۵ نفر در یکزمان میتوانند وارد روتر یا سوئیچ شوند.
در اینجا تمام این ۱۵ پورت را انتخاب و همهی آنها را فعال میکنیم، و روی همه آنها رمز قرار میدهیم:
Router(config)#line vty 0 ۱۵
Router(config-line)#pass 123
Router(config-line)#login
Router(config-line)#
تعجب نکنید که به جای نوشتن Password از pass استفاده کردیم، چون همانطور که گفتیم در IOS میتوانیم فرمانها را به صورت کوتاه شده بنویسیم.
در قسمت سوم از دستور Login استفاده کردیم که با این دستور به روتر اعلام میکنیم که در زمانTelnet رمز عبور را درخواست کن. اگر به جای Login از دستور No Login استفاده کنید، روتر هیچگونه رمزی درخواست نخواهد کرد، پس مواظب این دستور باشید. شما میتوانید به چند پورت اجازه دسترسی بدهید و به بقیهی پورتها اجازه دسترسی ندهید.
همهچیز آماده است برایTelnet کردن، بر روی Pc کلیک کنید و وارد Ip configuration شوید و یک IP در رنج ip که در روتر وارد کردیم را وارد کنید که ۱۹۲.۱۶۸.۱.۲ را وارد میکنیم، مانند شکل زیر:
خوب، بعد بر روی Command Promt کلیک کنید و دستور زیر را وارد کنید.
Telnet 192.168.1.1
Telnet که نام دستور است و این IP هم، آدرس روتری است که ما میخواهیم به آن متصل شویم.
بعد از enter، به روتر موردنظر متصل شده و از شما درخواست رمز عبور میشود.
میتوانیم در روتر با دستور show Session، تمام ارتباطات انجامگرفته و در حال انجام را مشاهده کنید.
شما اگر یک بار دیگر دستور show Running-configرا اجرا کنید، متوجه میشوید که تمام رمزهایی را که برای پورتهای console، AUX و VTY وارد کردهایم در این دستور قابل مشاهده است. به شکل زیر توجه کنید:
برای اینکه این رمزها یا هر رمزی که داخل IOS وارد میکنید، به صورت کد شده (Hash) تبدیل شود از دستور زیر در مد Global استفاده میکنیم.
Router(config)# service password-encryption
بعد از واردکردن این دستورف تمام رمزها به صورت Hash شده یا کد شده درمیآید. به شکل زیر توجه کنید:
همانطور که در شکل مشاهده میکنید، تمام رمزها به صورت Hash شده درآمده، البته این روش به صورت کامل، روتر را در برابر نفوذ امن نگه نمیدارد، اما از قدیم گفتهاند: «لنگهکفشی در بیابان نعمت است».
نکته: شما شاید دیده باشید که زمانی در روتر یک دستور را اشتباه وارد میکنید روتر به جستجوی آن دستور میپردازد، در زیر جمله rn را که کاربردی در روتر ندارد وارد کردیم، اما روتر چنین دستوری ندارد و برای پیدا کردن آن به جستجو میپردازد و همین باعث اتلاف وقت میشود.
Router>rn
Translating “rn”…domain server (255.255.255.255(
% Unknown command or computer name, or unable to find computer address
برای جلوگیری از این موضوع وارد مد Global شده و دستور زیر را وارد کنید:
Router(config)#no ip domain-lookup
با این دستور، روتر دیگر به جستجوی دستورات نمیپردازد.
تا اینجا رمز عبور را برای پورتها و مسیرهای مختلف فعال کردیم و نحوهی کد (Hash)کردن آنها را هم یاد گرفتیم، حالا اگر روتر را خاموش کنیم، آیا این تنظیمات روی روتر باقی خواهد ماند؟
بههیچوجه این تنظیمات روی روتر باقی نمیماند، چون تمام این اطلاعات در فایلی به نام Running-Config روی Ram قرار دارد و چون Ram حافظهای فرار است، این اطلاعات بعد از خاموش کردن از بین میرود، برای حل این مشکل باید این اطلاعات را به یک حافظه غیرموقت ارسال کنیم تا اطلاعات از بین نرود.
برای ذخیره کردن اطلاعات دو راه وجود دارد:
- Nvram
- TFTP Server
- برای ذخیره اطلاعات به حافظهی Nvram، از دستور زیر در مد Privileged استفاده میکنیم.
Router#copy running-config startup-config
Destination filename [startup-config]?
Building configuration…
[OK]
Router#
همانطور که گفتیم running-config، فایلی است که روی Ram قرار دارد و Startup-config فایل است که بر روی nvram قرار دارد و با این دستور اطلاعاتی که درون فایل running-config است وارد startup-config میشود.
در قسمت بعدی از شما نام فایل مقصد را میپرسد که چیزی وارد نکنید و بعد Enter را زده تا اطلاعات ذخیره شود و حالا اگر روتر را خاموش و بعد روشن کنید اطلاعات آن از بین نمیرود.
حذف کردن اطلاعات Nvram
برای حذف اطلاعات موجود در حافظهی Nvram، باید دستور زیر را در مد Privileged وارد کنید:
Router# erase startup-config
بعد از Enter کردن به شما اخطار میدهد که آیا مطمئن به پاک کردن اطلاعات موجود در Nvram هستید؟
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
اگر enter کنید، کل اطلاعات موجود در Nvram از بین خواهد رفت. فایل startup-config مربوط به حافظه ی Nvram است.
TFTP Server
در روش دوم اطلاعات از روتر به یک سرور خارجی منتقل میشود و دوباره میتوان این اطلاعات را از سرور وارد روتر کرد، این کار را باهم انجام میدهیم، یک روتر و یک سرور را به لیست اضافه کنید و بعد با کابل Cross این دو را به هم متصل کنید، مانند شکل زیر:
بعد مانند روشهای قبلی به Interface های روتر و سرور آدرس ۱۹۲.۱۶۸.۱.۱برای روتر و آدرس ۱۹۲.۱۶۸.۱.۲ برای سرور نسبت دهید، بعد وارد روتر شوید و در مد Privileged دستور زیر را وارد کنید:
Router#copy running-config tftp:
بعد از واردکردن این دستور از شما آدرس سرور درخواست میشود که شما باید آدرس سرور که ۱۹۲.۱۶۸.۱.۲ است را وارد کنید و بعد از Enter، باید نام فایل مقصد را وارد کنید، مانند دستور زیر:
Address or name of remote host []? 192.168.1.2
Destination filename [Router-confg]? Babajani_Router
با انجام این دستورات اطلاعات از روتر به یک سرور خارجی انتقال داده میشود.
کار با Setup Mode:
همانطور که قبلاً گفتیم وقتی روتر را برای اولین بار روشن میکنیم، هیچگونه تنظیماتی روی آن قرار ندارد، وارد Setup Mode میشویم که با واردکردن YES وارد این مد میشویم و از شما سؤالاتی میپرسد. خوب میخواهیم سؤالات این بخش را باهم مورد بررسی قرار دهیم.
برای ورود به این مد، میتوانید در مد Privileged از دستور Setup استفاده کنیدکه بعد از وارد شدن به این مد از شما سؤالاتی پرسیده میشود که باهم مورد بررسی قرار میدهیم:
Router# setup
Continue with configuration Dialog? [Yes/No] Yes
در این قسمت از شما پرسیده میشود، آیا میخواهید تنظیمات روتر را با استفاده از سؤالات مختلف انجام دهید، که Yes را وارد میکنیم.
Would you like to enter basic management setup? [yes/no]: yes
در این سؤال از شما پرسیده میشود، آیا میخواهید وارد تنظیمات جزئیتر شوید مانند تنظیم اینترفیسها و …. که با YES وارد آن میشویم.
Enter host name [Router]: R1
در سؤال اول از شما نام دستگاه پرسیده میشود که شما میتوانید یک اسم دلخواه وارد کنید.
Enter enable secret: cisco
در سؤال بعدی از شما رمز عبور درخواست میشود، این رمز به صورت Secret است و قابلشناسایی برای هرکسی نیست و Hash شده است.
Enter enable password: ciscoR1
در این قسمت رمز عبور دیگری از شما پرسیده میشود که برتری آن کمتر از رمز عبور قبلی است و تا زمانی که رمز عبور قبلی فعال است این رمز کاربردی ندارد.
Enter virtual terminal password: FR122
در این قسمت از شما رمز عبور مربوط به پورت ترمینال پرسیده میشود که آن را وارد کنید.
Configure SNMP Network Management? [no]:
این قسمت مربوط به تنظیمات SNMP است که فقط بر روی enter کلیک کنید تا از این قسمت خارج شویم، بعدازآن لیست Interface های روتر را به شما نشان میدهد.
Current interface summary
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0 unassigned YES manual administratively down down
GigabitEthernet0/1 unassigned YES manual administratively down down
GigabitEthernet0/2 unassigned YES manual administratively down down
Vlan1 unassigned YES manual administratively down down
Enter interface name used to connect to the
management network from the above interface summary:GigabitEthernet0/2
در این قسمت نام یکی از اینترفیسها را نوشته و بر روی enter کلیک کنید.
Configure IP on this interface? [yes]: yes
اگر میخواهید این Interface را آدرسدهی کنید yes را وارد و enter کنید.
IP address for this interface: 192.168.1.1
در این قسمت ip address را وارد و Enter کنید.
Subnet mask for this interface [255.255.255.0] : 255.255.255.0
در این قسمت از شما subnet Mask مربوط به IP بالا درخواست میشود، وارد کنید و بعد enter.
The following configuration command script was created:
!
hostname r1
enable secret 5 $1$mERr$Wmdu8FSDG1wNa1xa4SQGi.
enable password 21
line vty 0 4
password 2
!
interface Vlan1
shutdown
no ip address
!
interface GigabitEthernet0/0
no shutdown
ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet0/1
shutdown
no ip address
!
interface GigabitEthernet0/2
shutdown
no ip address
!
end
[۰] Go to the IOS command prompt without saving this config.
[۱] Return back to the setup without saving this config.
[۲] Save this configuration to nvram and exit.
Enter your selection [2]:
در آخر کار به شما تمام تنظیمات را که انجام دادهاید، نمایش میدهد. به شما اعلام میکند که آیا میخواهید تنظیمات را در Nvram ذخیره کنید که با انتخاب گزینهی ۲ این اطلاعات در Nvram ذخیره میشود و بعد از خاموش و روشن شدن روتر اطلاعات در حافظه باقی میماند.
کلیدهای ترکیبی:
کلید ترکیبی Ctrl_A باعث میشود مکاننما به خط آغازین انتقال پیدا کند.
کلید ترکیبی Ctrl_E باعث میشود مکاننما به انتهای خط برود.
کلید ترکیبی Ctrl_B به اندازهی یک حروف به عقب برگشت میکند.
کلید ترکیبی Ctrl_F به اندازهی یک حروف به جلو انتقال داده میشود.
کلید ترکیبی Ctrl_D کاراکترهای جلوی مکاننما را حذف میکند.
کلید ترکیبی Ctrl_U کل خط موردنظر را پاک میکند.
کلید ترکیبی Ctrl_W یک کلمه را پاک میکند.
کلید ترکیبی Ctrl_Z باعث میشود که مکاننما در هر مدی که قرار داشته باشد به مد Privileged انتقال پیدا کند.
- اگر بر روی کلیدهای جهت بالا و پایین فشار دهید ، آخرین دستوراتی را که وارد کرده اید را میتوانید مشاهده کنید.
- با استفاده از دستورshow history میتوانید ۱۰ دستور آخر واردشده را مشاهده کنید.
Router#show history
en
conf t
show history
تغییر نام روتر (HostName)
میتوانید نام روتر را تغییر دهید تا استفاده از آن برای شما آسانتر شود. سعی کنید نام روتر را طبق محلی که قرار دارید تغییر دهید، مثلاً اگر روتر در شهر بابل قرار دارد، نام آن را به بابل تغییر دهید. برای انجام این کار در مد Global، دستور زیر را وارد کنید:
Router(config)#hostname babol
babol(config)#
همانطور که مشاهده میکنید، نام روتر به babol تغییر کرده است.
نمایش پیام در زمان ورود به روتر (Banner):
این دستور زمانی به کار میرود که بخواهیم برای کسی که وارد روتر میشود پیام نمایش بدهیم که برای انجام این کار وارد مد Global میشویم و از دستور زیر استفاده میکنیم.
Router1(config)#banner ?
loginSet login banner
motdSet Message of the Day banner
با واردکردن دستور Banner و بعد آن علامت سؤال دو حالت را نمایش میدهد که Login برای کاربرانی است که از طریق Telnet وارد روتر میشوند و Motd برای کاربرانی است که به صورت مستقیم وارد روتر میشوند. در این قسمت از Motdاستفاده میکنیم:
Router1(config)#banner motd @
در دستور بالا از کلمهی @ استفاده کردیم که به جای آن هر کلمهای میتوانید قرار دهید. این کلمه، به این معنا است که پیامی که مینویسیم، بعد از اتمام پیام اگر این کلمه را در انتهای آن قرار دهید، یعنی اتمام کار و enter کنید، پیام ثبت میشود.
Router1(config)#banner motd @
Enter TEXT message. End with the character ‘@’.
in the name of god @
Router1(config)#
banner motd را باهم انجام دادیم، وارد UserMode شوید و قبل از اینکه بخواهیم کاری انجام دهیم این پیام نمایش داده میشود.
in the name of god
Router1>
نوع دیگری از banner وجود دارد که به آن Banner Login میگویند. این روش در موقع ورود از طریق Telnet کاربرد دارد. برای فعال کردن آن دستور زیر را وارد کنید.
Router1(config)#banner login @
Enter TEXT message. End with the character ‘@’.
Welcom @
مانند روش قبلی است، فقط به جای Motd، Login قرار میدهیم و پیام موردنظر را وارد میکنیم.
در زمان Telnet کردن این پیام نمایش داده خواهد شد.
نوشتن توضیحات برای یک Interface:
در IOS این امکان وجود دارد که بر روی interface میتوانید توضیحاتی قرار دهید، برای این کار وارد interface موردنظر میشویم و دستور زیر را وارد میکنیم:
Router(config-if)#description connection iran to usa
بعد از دستور description پیام خود را وارد کنید، مانند مثال بالا.
بعد از انجام این کار برای نمایش این پیام دستور show Running-config را در مد privileged وارد کرده و این توضیحات زیر Interface موردنظر نمایش داده میشود، مانند دستور زیر:
interface GigabitEthernet0/0
description connection iran to usa
تنظیم ساعت و تاریخ روتر:
برای اینکه ساعت روتر خود را تنظیم کنید از دستور زیر استفاده کنید:
Router# Clock Set ۱۰:۰۵:۰۵ ۱۹ Nov 2013
با دستور Clock Set این کار انجام میشود و بعد از این دستور ساعت، دقیقه و ثانیه را وارد کنید مانند ۱۰:۰۵:۰۵ و بعدازآن، روز، ماه، سال را وارد کنید مانند ۱۹ Nov 2013، بدینترتیب ساعت و تاریخ روتر تنظیم میشود.