Cisco IOS در پنج قدم؛ قدم سوم
۳. پیكربندیهای مدیریتی
مواردی که در بخشهای زیر توضیح داده میشود بر روی نحوه کار روتر یا سوئیچ اثر زیادی ندارند، اما بسیار مهم هستند. من در اینجا قصد دارم شمارا با پیکربندی دستورات خاصی که برای مدیریت شبکۀ شما مفید است، آشنا کنم. میتوان موارد مدیریتی زیر را روی روتر و سوئیچ پیکربندی نمود:
- نام روتر
- بنرها
- تنظیم پسورد
- افزودن توضیح برای اینترفیسها
به یاد داشته باشید، هیچیک از این موارد باعث کارکرد بهتر یا سریعتر روتر یا سوئیچ شما نمیشود، اما اگر فقط چند دقیقه برای تنظیم آنها در هر یک از دستگاههای شبکه خود وقت بگذارید، خواهید دید که عیبیابی و نگهداری شبکه شما آسانتر میشود. در این بخش دستورات در یک سوئیچ سیسکو نشان داده میشود، ولی به همین شیوه در روتر سیسکو هم قابلاستفاده است.
۳.۱. نام روتر
از دستور hostname برای تعیین هویت روتر و سوئیچ استفاده میشود. این نام تنها در سطح محلی مهم است، به این معنی که روی کارکرد روتر/سوئیچ درزمینهٔ جستجوی نام سایتها (DNS name lookup) و یا اینکه دستگاه درواقع چگونه بر روی اینترنت کار میکند، تأثیر نمیگذارد؛ اما نام میزبان ازاینجهت مهم است که اغلب برای احراز هویت در بسیاری از شبکههای گسترده (WAN) مورداستفاده قرار میگیرد.
در اینجا یک مثال از نحوه تغییر نام روتر/سوئیچ بیان نمودهایم:
Switch#config t
Switch(config)#hostname MainOffice
MainOffice (config)#hostname Tehran
Tehran (config)#hostname MainOffice
MainOffice (config)#
بسیار وسوسهآمیز است که روتر را به نام خود پیکربندی کنید، اما ایده بهتر این است که دستگاه را به نام محل نصب فیزیکی آن، نامگذاری نمود. نامی که محل استقرار دستگاه را نشان میدهد، کار را بسیار سادهتر مینماید و علاوه بر مزایای دیگر، تائید میکند که شما در حال تنظیم پیکربندی دستگاه صحیح هستید. در مثال بالا من تردید داشتم که نام روتر را به نام شهر محل استقرار آن نامگذاری کنم یا محل دقیق استقرار آن یعنی دفتر مرکزی، درنهایت تصمیم گرفتم نام دفتر مرکزی را بر آن بگذارم تا با آنهایی که در مراکز دیگر تهران کار میکنند اشتباه گرفته نشود!
۳.۲. بنرها
یک دلیل خوب برای داشتن بنر این است که به هر کس که میخواهد به شبکه telnet کند یا دزدکی وارد شبکه شود، یک پیام امنیتی نشان بدهد. این بنرها بسیار جالب هستند زیرا میتوان آنها را به نحوی ایجاد و سفارشی نمود تا هر کس، با هر روشی که وارد میشود، دقیقاً همان پیامی را ببیند که شما میخواهید!
مهمترین بنرها سه نوع بنر زیر هستند که لازم است حتماً با آنها آشنا شوید:
- بنر ایجاد فرآیند Exec
- بنر ورود
- بنر پیام روز
هر سه مورد در کد زیر توضیح دادهشده است:
? MainOffice (config)#banner
c banner-text c, where ‘c’ is a delimiting character | LINE |
---|---|
Set EXEC process creation banner | exec |
Set incoming terminal line banner | incoming |
Set login banner | login |
Set Message of the Day banner | motd |
Set Message for login authentication timeout | prompt-timeout |
Set Message for SLIP/PPP | slip-ppp |
- بنر پیام روز (MOTD: Message of the day) در بین بنرها بیشترین استفاده را دارد، چون برای همهکسانی که به روتر متصل شدهاند، چه از طریق Telnet یا پورت Auxiliary و یا پورت کنسول، پیامی را نمایش میدهد.
بهعنوانمثال در اینجا میبینید:
? MainOffice (config)#banner motd
LINE c banner-text c, where ‘c’ is a delimiting character
MainOffice (config)# banner motd #Welcome Authorized Users Unauthorized access prohibited!#
در اینجا با فشردن کلیدهای control key + z به مود privileged بازمیگردیم:
MainOffice (config)#^Z
MainOffice #exit
con0 is now available
Press RETURN to get started.
Welcome Authorized Users Unauthorized access prohibited!
MainOffice #
بنر MOTD به هرکسی که به دستگاه متصل میشود نشان داده میشود. مسئله مهم استفاده از کاراکتر “#” است که به روتر میگوید که پیام به پایان رسیده است. واضح است که میتوانید هر کاراکتری را که میخواهید برای پیام استفاده نمایید بهجز کاراکتر “#”. اگر بیش از یک پیام داشته باشید آنها را نوشته و پس از تکمیل، دکمه Enter را فشار دهید، سپس کاراکتر “#” و پسازآن دوباره دکمه Enter. درصورتیکه بیش از یک پیام داشته باشید، باید از روش گفتهشده پیروی کنید در غیر این صورت آگهیهای شما به یک پیام تبدیل میشوند و روی یک خط قرار میگیرند!
حال بپردازیم به دو نوع بنر دیگر که در بالا اشاره شد:
- Exec banner: میتوان یک بنر برای فعال شدن خط (exec) تنظیم نمود تا با پروسه EXEC مثلاً به هنگام اتصال به خط VTY بنر نمایش داده شود. مثال دیگر از فعال شدن این بنر زمانی است که یک نشست user exec از طریق پورت کنسول فعال میشود.
- بنر ورودی: میتوان بنر ورودی را برای نمایش در تمام پایانههای اتصال به روتر یا سوئیچ پیکربندی نمود. این بنر پس از بنر MOTD و قبل از پرومپت ورودی ظاهر خواهد شد. این بنر را نمیتوان برای هر خط غیرفعال کرد و برای غیرفعال کردن آن بهطورکلی از دستور no banner login استفاده میشود.
در اینجا نحوه نمایش بنر ورودی نشان دادهشده است:
!
banner login ^C
——————————————————————————————————————————
.Cisco Router and Security Device Manager (SDM) is installed on this device
This feature requires the one-time use of the username “cisco” with the password “cisco”. The default username and password have a privilege level of 15
.Please change these publicly known initial credentials using SDM or the IOS CLI
.Here are the Cisco IOS commands
<username <myuser> privilege 15 secret 0 <mypassword
no username cisco
.Replace <myuser> and <mypassword> with the username and password you want to use
For more information about SDM please follow the instructions in the QUICK START GUIDE for your router or go to
www.cisco.com/go/sdm
——————————————————————————————————————————
C^
!
این بنر ورودی برای هرکسی که تابهحال به یک روتر ISR واردشده باشد بسیار آشنا به نظر خواهد رسید، زیرا بنر پیشفرض سیسکو برای روترهای ISR است.
توجه داشته باشید که بنر ورود به سیستم قبل از اعلان ورود و بعد از بنر MOTD نمایش داده میشود.
۳.۳. تنظیم پسورد
پنج رمز عبور برای روترهای سیسکو لازم است: رمز عبور برای پورت کنسول، پورت auxiliary، telnet / SSH (VTY)، enable password وenable secret که enable password وenable secret برای تنظیم پسورد روی مود privileged استفاده میشود. اگر این دو دستور استفادهشده باشند، پس از دستور enable، از کاربران رمز عبور درخواست خواهد شد. سه مورد دیگر برای پیکربندی رمز عبور درزمانی است که کاربر از طریق پورت کنسول، یا از طریق پورت auxiliary و یا از طریق شبکه و Telnet به روتر وارد میشود. بیایید به هرکدام از این موارد نگاهی بی اندازیم.
- Enable Password ها
enable password را در مود پیکربندی global تنظیم میکنیم:
? MainOffice (config)#enable
last-resort Define enable action if no TACACS servers respond
password Assign the privileged level password
secret Assign the privileged level secret
use-tacacs Use TACACS to check enable passwords
last-resort: این مورد به شما اجازه میدهد تا در حالتی که احراز هویت را با استفاده از سرور TACACS انجام دادهاید و این سرور، بهطور موقت، در دسترس نیست، وارد دستگاه شوید. اگر سرور TACACS قابلدسترس باشد، از این پسورد استفاده نمیشود.
password: این مورد برای تنظیم enable password روی نسخههای قبل از 10.3 بکار میرود و اگر enable secret تنظیمشده باشد، هیچگاه مورداستفاده قرار نمیگیرد.
secret: برای تنظیم پسورد رمزنگاریشده به کار میرود و مقدم بر enable password است.
use-tacacs: این مورد به روتر یا سوئیچ میگوید که رمزنگاری را با استفاده از سرور TACACS انجام دهد. استفاده از سرور TACACS بهخصوص وقتی تعداد روترها و سوئیچها زیاد است میتواند از بار کاری مدیر شبکه بکاهد، چراکه بهجای تغییر پسورد روی تکتک روتر/سوئیچها کافی است تنها یکبار آن را روی سرور TACACS عوض کنیم.
در مثال زیر نشان میدهم که پسورد enable را چگونه تنظیم کنیم:
MainOffice (config)#enable secret cisco
MainOffice (config)#enable password cisco
The enable password you have chosen is the same as your enable secret. This is not recommended
.Re-enter the enable password
اگر سعی کنید پسورد enable و enable secret را یکسان تنظیم کنید، دستگاه مؤدبانه هشدار میدهد که رمز دوم را تغییر دهید. به یاد داشته باشید که اگر هیچ روتر قدیمی در بین دستگاههای شما وجود نداشته باشد، اصلاً لازم نیست که از enable password استفاده کنید!
پسورد User-mode را به وسیله دستور line و به شکل زیر تنظیم مینمائیم:
?MainOffice (config)#line
<0-16> First Line number
console Primary terminal line
vty Virtual terminal
console : برای User-mode پورت کنسول پسورد تعیین میکند.
vty: پسورد telnet را مشخص مینماید. اگر این پسورد تعیین نشود به طور پیش فرض نمیتوان از طریق telnet به روتر یا سوئیچ متصل شد.
در ادامه روش پیکربندی پسورد روی لاینهای مختلف آمده است. برای پیکربندی پسورد، ابتدا لاین مورد نظر خود را انتخاب کنید و آن را با استفاده از دستور login پیکربندی کنید تا سوئیچ یا روتر را برای انجام فرآیند احراز هویت آماده کنید.
- پسورد کنسول:
رمز عبور برای خط كنسول با دستور line console 0 و به این صورت اختصاص داده میشود:
? MainOffice (config-line)#line console
% Unrecognized command
MainOffice (config-line)#exit
MainOffice (config)#line console ?
<0-0> First Line number
MainOffice (config)#line console 0
MainOffice (config-line)#password cisco
MainOffice (config-line)#login
در مثال فوق میبینیم كه دستور line console در این پرومپت شناخته شده نیست. البته باید متذكر شد كه اگر این دستور را كامل بنویسید و كلید enter را بزنید پذیرفته خواهد شد و فقط Help در این پرومپت كار نمی كند. برای استفاده از Help باید دستور Exit را تایپ نمایید تا یك مرحله به قبل بازگردید و خواهید دید كه line console ? در این پرومپت نتیجه میدهد. (به این ویژگی توجه نمایید.)
تنها یک پورت کنسول وجود دارد و فقط می توان line console 0 را انتخاب كرد و نیز میتوان روی تمام خطوط وروردی به روتر/سوئیچ از یك رمزعبور یكسان بهره برد ولی این روش از نظر امنیتی چندان مناسب نیست.
اگر بعد از ورود دستور password از فرمان login استفاده ننمائید، پورت كنسول پروسه احراز هویت را اجرا نخواهد كرد. در ضمن اگر از دستور login استفاده كنید ولی پسورد را وارد ننمائید، آن خط قابل استفاده نخواهد بود، چراكه درخواست استفاده از دستوری را وارد مینمائید كه در واقع وجود ندارد و روتر/سوئیچ سیسكو این مسئله را درك مینماید. به یاد داشته باشید که این ویژگی “رمز عبور” در روترهای سیسکو از IOS 12.2 و بالاتر شروع شده است و در IOS های قدیمیتر وجود ندارد.
چند دستور مهم دیگر وجود دارد که باید در مورد پورت کنسول بدانید. اولین مورد دستور exec-timeout 0 0 است كه زمان time-out را برای نشستEXEC پورت كنسول برابر صفر تنظیم مینماید. با استفاده از این دستور این نشست هیچگاه منقضی نخواهد شد. مدت زمان پیش فرض آن 10 دقیقه است.
Logging synchronous دستور جالبي است و بهتر بود كه به صورت پيش فرض فعال باشد. با فعال نمودن اين دستور، ديگر پیام های کنسول مزاحم، که باعث خراب کردن ورودی شما می شود، ظاهر نخواهد شد.
پیام ها هنوز هم پاپ آپ هستند، اما حداقل شما به فورمت دستگاه خود بازگردید بدون اینکه ورودی شما قطع شود! این باعث می شود پیام های ورودی شما به راحتی قابل خواندن باشد!
در ادامه مثالی از هر دو دستور میبینیم:
Todd(config-line)#line con 0
? Todd(config-line)#exec-timeout
<0-35791> Timeout in minutes
? Todd(config-line)#exec-timeout 0
<0-2147483> Timeout in seconds
<cr>
Todd(config-line)#exec-timeout 0 0
Todd(config-line)#logging synchronous
شما می توانید کنسول را از هر زمان دیگری (0 0) به مدت زمان 35791 دقیقه و 2،147،483 ثانیه منتقل کنید. به یاد داشته باشید که پیش فرض 10 دقیقه است.