Cisco IOS در پنج قدم؛ قدم سوم

۳. پیكربندی‌های مدیریتی

مواردی که در بخش‌های زیر توضیح داده می‌شود بر روی نحوه کار روتر یا سوئیچ اثر زیادی ندارند، اما بسیار مهم هستند. من در اینجا قصد دارم شمارا با پیکربندی دستورات خاصی که برای مدیریت شبکۀ شما مفید است، آشنا کنم. می‌توان موارد مدیریتی زیر را روی روتر و سوئیچ پیکربندی نمود:

• نام روتر
• بنرها
• تنظیم پسورد
• افزودن توضیح برای اینترفیس‌ها

به یاد داشته باشید، هیچ‌یک از این موارد باعث کارکرد بهتر یا سریع‌تر روتر یا سوئیچ شما نمی‌شود، اما اگر فقط چند دقیقه برای تنظیم آن‌ها در هر یک از دستگاه‌های شبکه خود وقت بگذارید، خواهید دید که عیب‌یابی و نگهداری شبکه شما آسان‌تر می‌شود. در این بخش‌ دستورات در یک سوئیچ سیسکو نشان داده می‌شود، ولی به همین شیوه در روتر سیسکو هم قابل‌استفاده است.

۳.۱. نام روتر

از دستور hostname برای تعیین هویت روتر و سوئیچ استفاده می‌شود. این نام تنها در سطح محلی مهم است، به این معنی که روی کارکرد روتر/سوئیچ درزمینهٔ جستجوی نام سایت‌ها (DNS name lookup) و یا اینکه دستگاه درواقع چگونه بر روی اینترنت کار می‌کند، تأثیر نمی‌گذارد؛ اما نام میزبان ازاین‌جهت مهم است که اغلب برای احراز هویت در بسیاری از شبکه‌های گسترده (WAN) مورداستفاده قرار می‌گیرد.

در اینجا یک مثال از نحوه تغییر نام روتر/سوئیچ بیان نموده‌ایم:

Switch#config t

Switch(config)#hostname MainOffice

MainOffice (config)#hostname Tehran

Tehran (config)#hostname MainOffice

MainOffice (config)#

بسیار وسوسه‌آمیز است که روتر را به نام خود پیکربندی کنید، اما ایده بهتر این است که دستگاه را به نام محل نصب فیزیکی آن، نام‌گذاری نمود. نامی که محل استقرار دستگاه را نشان می‌دهد، کار را بسیار ساده‌تر می‌نماید و علاوه بر مزایای دیگر، تائید می‌کند که شما در حال تنظیم پیکربندی دستگاه صحیح هستید. در مثال بالا من تردید داشتم که نام روتر را به نام شهر محل استقرار آن نام‌گذاری کنم یا محل دقیق استقرار آن یعنی دفتر مرکزی، درنهایت تصمیم گرفتم نام دفتر مرکزی را بر آن بگذارم تا با آن‌هایی که در مراکز دیگر تهران کار می‌کنند اشتباه گرفته نشود!

۳.۲. بنرها

یک دلیل خوب برای داشتن بنر این است که به هر کس که می‌خواهد به شبکه telnet کند یا دزدکی وارد شبکه شود، یک پیام امنیتی نشان بدهد. این بنرها بسیار جالب هستند زیرا می‌توان آن‌ها را به نحوی ایجاد و سفارشی نمود تا هر کس، با هر روشی که وارد می‌شود، دقیقاً همان پیامی را ببیند که شما می‌خواهید!

مهم‌ترین بنرها سه نوع بنر زیر هستند که لازم است حتماً با آن‌ها آشنا شوید:

• بنر ایجاد فرآیند Exec
• بنر ورود
• بنر پیام روز

هر سه مورد در کد زیر توضیح داده‌شده است:

? MainOffice (config)#banner

• بنر پیام روز (MOTD: Message of the day) در بین بنرها بیشترین استفاده را دارد، چون برای همه‌کسانی که به روتر متصل شده‌اند، چه از طریق Telnet یا پورت Auxiliary و یا پورت کنسول، پیامی را نمایش می‌دهد.

به‌عنوان‌مثال در اینجا می‌بینید:

? MainOffice (config)#banner motd

LINE c banner-text c, where ‘c’ is a delimiting character

MainOffice (config)# banner motd #Welcome Authorized Users Unauthorized access prohibited!#

در اینجا با فشردن کلیدهای control key + z به مود privileged بازمی‌گردیم:

MainOffice (config)#^Z

MainOffice #exit

con0 is now available

Press RETURN to get started.

Welcome Authorized Users Unauthorized access prohibited!

MainOffice #

بنر MOTD به هرکسی که به دستگاه متصل می‌شود نشان داده می‌شود. مسئله مهم استفاده از کاراکتر “#” است که به روتر می‌گوید که پیام به پایان رسیده است. واضح است که می‌توانید هر کاراکتری را که می‌خواهید برای پیام استفاده نمایید به‌جز کاراکتر “#”. اگر بیش از یک پیام داشته باشید آن‌ها را نوشته و پس از تکمیل، دکمه Enter را فشار دهید، سپس کاراکتر “#” و پس‌ازآن دوباره دکمه  Enter. درصورتی‌که بیش از یک پیام داشته باشید، باید از روش گفته‌شده پیروی کنید در غیر این صورت آگهی‌های شما به یک پیام تبدیل می‌شوند و روی یک خط قرار می‌گیرند!

حال بپردازیم به دو نوع بنر دیگر که در بالا اشاره شد:

• Exec banner: می‌توان یک بنر برای فعال شدن خط (exec) تنظیم نمود تا با پروسه EXEC مثلاً به هنگام اتصال به خط VTY بنر نمایش داده شود. مثال دیگر از فعال شدن این بنر زمانی است که یک نشست user exec از طریق پورت کنسول فعال می‌شود.
• بنر ورودی: می‌توان بنر ورودی را برای نمایش در تمام پایانه‌های اتصال به روتر یا سوئیچ پیکربندی نمود. این بنر پس از بنر MOTD و قبل از پرومپت ورودی ظاهر خواهد شد. این بنر را نمی‌توان برای هر خط غیرفعال کرد و برای غیرفعال کردن آن به‌طورکلی از دستور no banner login استفاده می‌شود.

در اینجا نحوه نمایش بنر ورودی نشان داده‌شده است:

!

banner login ^C

——————————————————————————————————————————

.Cisco Router and Security Device Manager (SDM) is installed on this device

This feature requires the one-time use of the username “cisco” with the password “cisco”. The default username and password have a privilege level of 15

.Please change these publicly known initial credentials using SDM or the IOS CLI

.Here are the Cisco IOS commands

<username <myuser> privilege 15 secret 0 <mypassword

no username cisco

.Replace <myuser> and <mypassword> with the username and password you want to use

For more information about SDM please follow the instructions in the QUICK START GUIDE for your router or go to

www.cisco.com/go/sdm

——————————————————————————————————————————

C^

!

این بنر ورودی برای هرکسی که تابه‌حال به یک روتر ISR واردشده باشد بسیار آشنا به نظر خواهد رسید، زیرا بنر پیش‌فرض سیسکو برای روترهای ISR است.

توجه داشته باشید که بنر ورود به سیستم قبل از اعلان ورود و بعد از بنر MOTD نمایش داده می‌شود.

۳.۳. تنظیم پسورد

پنج رمز عبور برای روترهای سیسکو لازم است: رمز عبور برای پورت کنسول، پورت auxiliary، telnet / SSH (VTY)، enable password  وenable secret   که enable password  وenable secret  برای تنظیم پسورد روی مود privileged استفاده می‌شود. اگر این دو دستور استفاده‌شده باشند، پس از دستور enable، از کاربران رمز عبور درخواست خواهد شد. سه مورد دیگر برای پیکربندی رمز عبور درزمانی است که کاربر از طریق پورت کنسول، یا از طریق پورت auxiliary و یا از طریق شبکه و Telnet به روتر وارد می‌شود. بیایید به هرکدام از این موارد نگاهی بی اندازیم.

• Enable Password ها

enable password را در مود پیکربندی global تنظیم می‌کنیم:

 ? MainOffice (config)#enable

last-resort              Define enable action if no TACACS servers respond

password               Assign the privileged level password

secret                     Assign the privileged level secret

use-tacacs              Use TACACS to check enable passwords

last-resort: این مورد به شما اجازه می‌دهد تا در حالتی که احراز هویت را با استفاده از سرور TACACS انجام داده‌اید و این سرور، به‌طور موقت، در دسترس نیست، وارد دستگاه شوید. اگر سرور TACACS قابل‌دسترس باشد، از این پسورد استفاده نمی‌شود.

password: این مورد برای تنظیم enable password روی نسخه‌های قبل از 10.3 بکار می‌رود و اگر enable secret تنظیم‌شده باشد، هیچ‌گاه مورداستفاده قرار نمی‌گیرد.

secret: برای تنظیم پسورد رمزنگاری‌شده به کار می‌رود و مقدم بر enable password است.

use-tacacs: این مورد به روتر یا سوئیچ می‌گوید که رمزنگاری را با استفاده از سرور TACACS انجام دهد. استفاده از سرور TACACS به‌خصوص وقتی تعداد روترها و سوئیچ‌ها زیاد است می‌تواند از بار کاری مدیر شبکه بکاهد، چراکه به‌جای تغییر پسورد روی تک‌تک روتر/سوئیچ‌ها کافی است تنها یک‌بار آن را روی سرور TACACS عوض کنیم.

در مثال زیر نشان می‌دهم که پسورد enable را چگونه تنظیم کنیم:

MainOffice (config)#enable secret cisco

MainOffice (config)#enable password cisco

The enable password you have chosen is the same as your enable secret. This is not recommended

.Re-enter the enable password

اگر سعی کنید پسورد enable و enable secret را یکسان تنظیم کنید، دستگاه مؤدبانه هشدار می‌دهد که رمز دوم را تغییر دهید. به یاد داشته باشید که اگر هیچ روتر قدیمی در بین دستگاه‌های شما وجود نداشته باشد، اصلاً لازم نیست که از enable password استفاده کنید!

پسورد User-mode را به وسیله دستور line و به شکل زیر تنظیم می‌نمائیم:

?MainOffice (config)#line

<0-16>          First Line number

console                         Primary terminal line

vty                                Virtual terminal

console : برای User-mode پورت کنسول پسورد تعیین می‌کند.

vty: پسورد telnet را مشخص می‌نماید. اگر این پسورد تعیین نشود به طور پیش فرض نمی‌توان از طریق telnet به روتر یا سوئیچ متصل شد.

در ادامه روش پیکربندی پسورد روی لاین‌های مختلف آمده است. برای پیکربندی پسورد، ابتدا لاین مورد نظر خود را انتخاب کنید و آن را با استفاده از دستور login پیکربندی کنید تا سوئیچ یا روتر را برای انجام فرآیند احراز هویت آماده کنید.

• پسورد کنسول:

رمز عبور برای خط كنسول با دستور line console 0 و به این صورت اختصاص داده می‌شود:

? MainOffice (config-line)#line console

% Unrecognized command

MainOffice (config-line)#exit

MainOffice (config)#line console ?

<0-0> First Line number

MainOffice (config)#line console 0

MainOffice (config-line)#password cisco

MainOffice (config-line)#login

در مثال فوق می‌بینیم كه دستور line console  در این پرومپت شناخته شده نیست. البته باید متذكر شد كه اگر این دستور را كامل بنویسید و كلید enter را بزنید پذیرفته خواهد شد و فقط Help در این پرومپت كار نمی كند. برای استفاده از Help باید دستور Exit را تایپ نمایید تا یك مرحله به قبل بازگردید و خواهید دید كه line console ? در این پرومپت نتیجه می‌دهد. (به این ویژگی توجه نمایید.)

تنها یک پورت کنسول وجود دارد و فقط می توان line console 0 را انتخاب كرد و نیز می‌توان روی تمام خطوط وروردی به روتر/سوئیچ از یك رمزعبور یكسان بهره برد ولی این روش از نظر امنیتی چندان مناسب نیست.

اگر بعد از ورود دستور password از فرمان login استفاده ننمائید، پورت كنسول پروسه احراز هویت را اجرا نخواهد كرد. در ضمن اگر از دستور login استفاده كنید ولی پسورد را وارد ننمائید، آن خط قابل استفاده نخواهد بود، چراكه درخواست استفاده از دستوری را وارد می‌نمائید كه در واقع وجود ندارد و روتر/سوئیچ سیسكو این مسئله را درك می‌نماید. به یاد داشته باشید که این ویژگی “رمز عبور” در روترهای سیسکو از IOS 12.2 و بالاتر شروع شده است و در IOS های قدیمی‌تر وجود ندارد.

چند دستور مهم دیگر وجود دارد که باید در مورد پورت کنسول بدانید. اولین مورد دستور exec-timeout 0 0 است كه زمان time-out را برای نشستEXEC  پورت كنسول برابر صفر تنظیم می‌نماید. با استفاده از این دستور این نشست هیچ‌گاه منقضی نخواهد شد. مدت زمان پیش فرض آن 10 دقیقه است.

Logging synchronous دستور جالبي است و بهتر بود كه به صورت پيش فرض فعال باشد. با فعال نمودن اين دستور، ديگر  پیام های کنسول مزاحم، که باعث خراب کردن ورودی شما می شود، ظاهر نخواهد شد.

پیام ها هنوز هم پاپ آپ هستند، اما حداقل شما به فورمت دستگاه خود بازگردید بدون اینکه ورودی شما قطع شود! این باعث می شود پیام های ورودی شما به راحتی قابل خواندن باشد!

در ادامه مثالی از هر دو دستور می‌بینیم:

Todd(config-line)#line con 0

 ? Todd(config-line)#exec-timeout

<0-35791> Timeout in minutes

? Todd(config-line)#exec-timeout 0

<0-2147483> Timeout in seconds

<cr>

Todd(config-line)#exec-timeout 0 0

Todd(config-line)#logging synchronous

شما می توانید کنسول را از هر زمان دیگری (0 0) به مدت زمان 35791 دقیقه و 2،147،483 ثانیه منتقل کنید. به یاد داشته باشید که پیش فرض 10 دقیقه است.