- اگه یه مدیر شبکه باشی یا با تجهیزات سیسکو کار کرده باشی، حتماً میدونی که دسترسی از راه دور به روتر و سوئیچ چقدر مهمه. تا چند سال پیش، بیشتر افراد از Telnet برای این کار استفاده میکردن، ولی مشکلش اینه که اطلاعات رو بدون رمزگذاری میفرسته، یعنی هر کسی توی شبکه میتونه یوزرنیم و پسوردتو ببینه! برای همین SSH (Secure Shell) بهترین جایگزینه، چون تمام اطلاعات رو رمزنگاری میکنه و امنیت بالاتری داره. توی این آموزش، بهت یاد میدم چطور روی یه روتر یا سوئیچ سیسکو SSH رو فعال کنی و از راه دور و ایمن بهش وصل بشی.
سناریو : اتصال امن از راه دور به روتر و سوئیچ سیسکو
فرض کن یه روتر سیسکو داری که آدرس IP داخلیش 192.168.1.1 هست و میخوای از طریق SSH بهش وصل بشی. حالا میخوایم مرحلهبهمرحله تنظیمات لازم رو انجام بدیم.
۱. بررسی پیشنیازها برای راهاندازی SSH روی روتر و سوئیچ سیسکو
قبل از اینکه تنظیمات رو انجام بدی، این موارد رو چک کن:
نسخهی IOS سیسکو: بعضی نسخههای خیلی قدیمی از SSH پشتیبانی نمیکنن. برای بررسی:
Router# show version
فعال بودن قابلیت رمزنگاری (Crypto):
Router# show ip ssh
نام و دامنهی دستگاه: لازمه که hostname و domain name رو تنظیم کنیم.
دسترسی به محیط CLI: باید از طریق کنسول یا Telnet به دستگاه وصل باشی تا SSH رو فعال کنی.
۲. مراحل راهاندازی SSH روی روتر و سوئیچ سیسکو
- مرحله ۱: تنظیم نام و دامنهی دستگاه
Router(config)# hostname MyRouter
Router(config)# ip domain-name example.com
- مرحله ۲: ایجاد کلیدهای رمزگذاری برای SSH
Router(config)# crypto key generate rsa
وقتی این دستور رو اجرا کنی، ازت میپرسه که کلید چقدر بزرگ باشه. پیشنهاد میکنم ۲۰۴۸ بیت یا بالاتر انتخاب کنی:
How many bits in the modulus [512-4096]? 2048
- مرحله ۳: فعال کردن SSH نسخه ۲
Router(config)# ip ssh version 2
- مرحله ۴: ایجاد کاربر و تعیین سطح دسترسی
Router(config)# username admin privilege 15 secret StrongP@ssw0rd
- مرحله ۵: تنظیم خطوط VTY برای پذیرش اتصال SSH
Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# transport input ssh
Router(config-line)# exit
- نکته: با این کار، Telnet غیرفعال میشه و فقط SSH فعال میمونه.
۳. تست اتصال SSH به روتر و سوئیچ سیسکو
حالا وقتشه که SSH رو تست کنیم. اگه از ویندوز استفاده میکنی، میتونی از Putty یا PowerShell استفاده کنی. اگه روی لینوکس یا مک هستی، کافیه این دستور رو اجرا کنی:
ssh -l admin 192.168.1.1
اگه همهچی درست باشه، سیستم ازت رمز عبور میخواد و بعدش وارد دستگاه میشی.
برای بررسی وضعیت SSH هم میتونی این دستور رو اجرا کنی:
Router# show ip ssh
۴. افزایش امنیت SSH روی روتر و سوئیچ سیسکو
- محدود کردن دسترسی SSH به یک شبکه خاص (مثلاً فقط کاربرانی که توی رنج 192.168.1.0/24 هستن بتونن وصل بشن):
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# line vty 0 4
Router(config-line)# access-class 10 in
- تغییر پورت پیشفرض SSH (۲۲ به ۲۲۲۲)
Router(config)# ip ssh port 2222 rotary 1
- تنظیم محدودیتهای امنیتی بیشتر
Router(config)# ip ssh authentication-retries 3
Router(config)# ip ssh time-out 60
۵. عیبیابی مشکلات متداول در راهاندازی SSH روی سیسکو
مشکل: نمیتونم از طریق SSH به دستگاه وصل بشم
- بررسی کن که دستور
transport input sshتوی خطوط VTY تنظیم شده باشه.
مشکل: خطای RSA key too small
- اگه از نسخههای جدید OpenSSH استفاده میکنی، باید کلید ۲۰۴۸ بیت یا بیشتر باشه.
مشکل: دسترسی من رد میشه (Access Denied)
- نام کاربری و رمز عبورت رو بررسی کن.
- مطمئن شو که یوزرت privilege 15 داره.
۶. جمعبندی و نکات مهم
- حالا یه SSH امن روی روتر یا سوئیچ سیسکو داری!
- همیشه از SSH نسخه ۲ استفاده کن.
- برای امنیت بیشتر، پورت پیشفرض رو تغییر بده.
- Telnet رو غیرفعال کن تا کسی نتونه به راحتی شنود کنه.
- حتماً رمز عبور قوی بذار.
- برای افزایش امنیت، دسترسی SSH را با ACL برای IP های خاص باز بذار