پیکربندی امنیتی روتر سیسکو ؛ راهنمای عملی و مرحله به مرحله

پیکربندی صحیح روترهای سیسکو نه تنها عملکرد بهینه شبکه را تضمین می‌کند، بلکه اولین گام مهم در تأمین امنیت زیرساخت شبکه است. در این مقاله فالنیک، ابتدا نحوه پیکربندی پایه‌ روتر سیسکو را به صورت گام‌به‌گام بیان می‌کنیم و سپس وارد مباحث مربوط به  پیکربندی امنیتی روتر سیسکو می‌شویم. این راهنما برای علاقه‌مندان و داوطلبان آزمون CCNA بسیار مفید است.

خدمات اکتیو شبکه را از متخصصان دریافت کنید

با دریافت خدمات اکتیو شبکه از متخصصان خبره شبکه، مطمئن خواهید بود که تمامی سرویس‌ها و نرم‌افزارها به درستی و بدون وقفه کار می‌کنند. روی لینک کلیک کنید و با شبکه‌ای پایدار به پتانسیل کامل خود در کسب و کارتان برسید.

خدمات اکتیو شبکهمشاوره فوری

پیکربندی پایه روتر سیسکو

برای شروع پیکربندی روتر cosco نیاز است تجهیزات رو به همراه داشته باشید که در ادامه این تجهیزات و مراحل انجام کار را گام به گام توضیح می‌دهیم:

تجهیزات مورد نیاز

برای شروع به دو روتر سیسکو و دو سوئیچ سیسکو یا یک شبیه‌ساز شبکه نیاز دارید که به شما اجازه می‌دهد یک نمودار با دو روتر و دو سوئیچ ایجاد کنید. شکل زیر شبکه‌ای را نشان می‌دهد که در این روش بر مبنای آن کار خواهیم کرد. این آموزش بر پیکربندی دو روتر متمرکز است.

• دو روتر سیسکو
• دو سوئیچ سیسکو یا شبیه‌ساز شبکه مانند (Cisco Packet Tracer)
• کابل کنسول و دسترسی به  PuTTY

مراحل پیکربندی اولیه

1. مطمئن شوید که تمام مولفه‌های فیزیکی مانند روترها و سوئیچ‌ها را مطابق شکل بالا به یکدیگر متصل کرده‌اید و تجهیزات روشن هستند.
2. کامپیوتر را از طریق کابل کنسول به روتر VAN-R1 متصل کنید.
3. نرم‌افزار PuTTY را باز کرده و اتصال سریال را با COM مناسب تنظیم و گزینه Open را انتخاب کنید.
4. کلید Enter را بزنید تا وارد محیط CLI شوید.

تنظیمات روی  VAN-R1

4. نام روتر سیسکو را با دستور زیر به VAN-R1 تنظیم کنید:

5.  آدرس IP را در رابط Gigabit Ethernet 0/0 با دستورات زیر پیکربندی کنید:

توجه داشته باشید که رابط g0/0 به حالت up تغییر می‌کند (این رابط فعال نیست.)

6.  رابط سریال 0/3/0 را روی روتر با دستورات زیر پیکربندی کنید:

دقت کنید که پیام وضعیت رابط سریال نشان می‌دهد که هنوز خاموش است، حتی اگر به طور کامل پیکربندی شده باشد. این اتفاق، به این دلیل است که انتهای دیگر لینک سریال (روتر LA-R1) باید قبل از بالا آمدن لینک پیکربندی شود.

7.  به یاد داشته باشید که باید تغییرات فوق را با وارد کردن دستورات زیر در NVRAM ذخیره کنید:

8.  به پورت کنسول روتر که LA-R1 است، وصل شوید و سپس کلید اینتر در صفحه PuTTY را فشار دهید تا نوسازی شود. اکنون باید به روتر دوم متصل شوید.

9. نام میزبان روی روتر دوم s را به LA-R1 تنظیم کنید.

10.  آدرس IP را در رابط Gigabit Ethernet 0/0 روی 14.0.0.1 پیکربندی کنید و مطمئن شوید که رابط فعال است.

11.  رابط سریال 0/3/0 را روی روتر برای آدرس IP 13.0.0.2 پیکربندی کنید و پروتکل کپسوله‌سازی را تنظیم کنید. توجه داشته باشید که اگر یک اتصال DTE است، نیازی به تنظیم نرخ ساعت ندارید.

12. تغییرات جدید را در NVRAM ذخیره کنید.

13.  برای تأیید اینکه LA-R1 قادر به پینگ به آدرس IP VAN-R1 است، دستورات زیر را تایپ کنید:

14.  در LA-R1، از دستورات زیر برای بررسی پیکربندی خود استفاده کنید (کمی تامل کنید و اطلاعات نشان داده شده را به دقت نگاه کنید):

15.  در VAN-R1، از دستورات زیر برای بررسی پیکربندی استفاده کنید (خروجی را به دقت نگاه کنید):

16. مسیریاب‌ها را همچنان در وضعیت فعال نگاه دارید تا بتوانید تنظیمات پیکربندی موارد امنیتی روترها را که در ادامه توضیح می‌دهیم را نیز بررسی کنید.

اهمیت امنیت در تجهیزات Cisco IOS

مؤسسه امنیت رایانه (CSI) سازمانی است که مباحث مرتبط با اصول امنیت شبکه را آموزش می‌دهد و تحقیقات مربوط به مسائل امنیتی موردنیاز شرکت‌ها را انجام می‌دهد. در مطالعه‌ای که موسسه فوق انجام داد، مشخص شد بیش از 70 درصد از شرکت‌های حاضر در نظرسنجی اعلام کرده‌اند که نوعی نقض امنیتی را تجربه کرده‌اند. با دانستن این اطلاعات، به عنوان یک مدیر شبکه، یکی از وظایف شما اطمینان از کنترل دقیق سطح دسترسی به دستگاه‌های شبکه است.

تهدیدات فیزیکی و محیطی

بسیاری از مدیران شبکه این نکته را فراموش می‌کنند که اولین خط دفاعی در ایمن‌سازی دستگاه‌های شبکه محافظت در برابر تهدیدات فیزیکی و محیطی از جمله موارد زیر است:

•   سخت‌افزار: محدود کردن دسترسی فیزیکی به روتر از طریق اقدامات فیزیکی، مانند درهای قفل شده، کارت‌های کلید، دوربین‌های ویدیویی و… انجام می‌شود.

•   الکتریسیته: اطمینان حاصل کنید که با استفاده یو‌پی‌اس و ژنراتور، از تجهیزات در برابر نوسانات/ قطعی‌های ناگهانی محافظت کرده‌اید.

•    دمای محیطی: درجه حرارت محیطی که تجهیزات در آن قرار ندارد نباید خیلی زیاد یا خیلی کم باشد و مهم‌تر آن‌که رطوبت محیطی نباید بیش از اندازه باشد.

•   تعمیر و نگهداری: هنگام کار با قطعات الکترونیکی حساس، از روش‌های تخلیه الکترواستاتیک استفاده کنید، در محل سازمان، لوازم یدکی لازم را داشته باشید و تجهیزات و کابل‌ها را به درستی برچسب‌گذاری می‌کنید. این موارد اهمیت زیادی دارد.

پیکربندی رمزهای عبور در روتر سیسکو

رایج‌ترین راه برای محدود کردن دسترسی فیزیکی به دستگاه‌های IOS استفاده از نوعی احراز هویت کاربر است. برای مثال، می‌توانید رمزهای عبور را برای محدود کردن دسترسی به خطوط دستگاه‌های IOS (حالت EXEC کاربری) و همچنین دسترسی به حالت EXEC ممتاز پیکربندی کنید. پیکربندی رمزهای عبور در سوئیچ‌های Catalyst IOS، مانند 2950s و 2960s، مانند پیکربندی رمز عبور در روترهای IOS است.

حفاظت از رمز عبور EXEC کاربری

کنترل دسترسی به حالت EXEC کاربری در دستگاه IOS به صورت خط به خط انجام می‌شود: console، auxiliary، TTYs و VTYs. به یاد داشته باشید که همه دستگاه‌ها از پورت‌های auxiliary پشتیبانی نمی‌کنند، تنها روترها از TTY پشتیبانی می‌کنند و تعداد VTY‌هایی که یک دستگاه IOS پشتیبانی می‌کند به محصولی که از آن استفاده می‌کنید بستگی دارد. از پنج VTY (0-4) تا تقریباً هزار.

پیکربندی رمز عبور کنسول

برای ایمن کردن پورت کنسول، ابتدا باید با دستور line console 0 به حالت subconfiguration line کنسول بروید تا بتوانید رمز عبور خط را پیکربندی کنید:

در دستور اول پورت کنسول را مشخص می‌کند، زیرا خطوط و رابط‌ها از 0 به بالا شماره‌گذاری می‌شوند. حتی اگر دستگاه‌های IOS تنها یک پورت کنسول داشته باشند، بازهم با مقدار 0 تعیین می‌شوند؛ این موضوع در مورد بیشتر محصولات سیسکو صادق است (اما نه همه محصولات سیسکو).

هنگامی که در حالت زیرپیکربندی خط قرار دارید، می‌توانید از دستور password برای اختصاص رمز عبور کنسول استفاده کنید. فرمان آخر login نشان می‌دهد در نظر دارید افراد برای اتصال به پورت کنسول 0، با استفاده از رمز عبوری که تعیین کرده‌اید احراز هویت شوند. رمزهای عبور در دستگاه‌های IOS به حروف بزرگ و کوچک حساس هستند. به یاد داشته باشید که دستور password، زمانی که در line console 0 اجرا می‌شود، رمز عبور EXEC کاربری را برای شخصی که سعی می‌کند از پورت کنسول به دستگاه IOS دسترسی داشته باشد، درخواست می‌کند.

پیکربندی رمز عبور در پورت کمکی  (Auxiliary)

پورت کمکی (auxiliary) اغلب به عنوان یک پورت دسترسی از راه دور با یک مودم متصل به آن استفاده می‌شود که به شما امکان می‌دهد در صورتی که مشکلی برای اتصال اینترنت اتفاق افتاده است و نمی‌توانید از طریق telnet یا SSH از راه دور وارد شوید، به روتر شماره‌گیری کنید. کد زیر ترکیب نحوی برای تنظیم مکانیزم احراز هویت رمز عبور در پورت کمکی را نشان می‌دهد:

پیکربندی رمز عبور برای دسترسی  Telnet (VTY)

باز هم، دستور login موردنیاز است. اگر فراموش کنید که دستور فوق را فراخوانی کنید، یک رمز عبور روی پورت تنظیم کرده‌اید، اما هنگامی که فردی قصد اتصال به پورت فوق را دارد، دستگاه سیسکو هیچ سوالی نخواهد کرد. برای تنظیم رمز عبور telnet برای VTYهای خود، از پیکربندی زیر استفاده کنید:

پارامتر vty در این دستور به ترمینال مجازی و دسترسی به telnet یا SSH اشاره دارد. دستگاه‌های سیسکو می‌توانند از چندین جلسه VTY (تلنت) همزمان پشتیبانی کنند که در آن هر اتصال به صورت داخلی توسط یک عدد در بازه 0 تا 15 شناسایی می‌شود. بسته به مدل روتر و نسخه نرم‌افزار IOS، این عدد ممکن است از 5 (0-4) تا تقریباً 1000 متغیر باشد. شما می‌توانید رمز عبور متفاوتی را به هر VTY اختصاص دهید، اما باید به این نکته دقت کنید که از چه گذرواژه‌ای برای تل‌نت استفاده کرده‌اید. IOS اجازه می‌دهد چند پورت VTY را با دستور line پیکربندی کنید تا روند انجام کارها ساده‌تر شود، در این حالت باید ابتدا و انتهای VTY در یک خط (در مثال بالا line vty 0 15) را مشخص کنید.

هنگامی که در حالت زیرپیکربندی خط قرار گرفتید، از دستور password برای تنظیم رمز عبور استفاده کنید. همچنین، باید دستور ورود به سیستم را وارد کنید تا احراز هویت اجباری در آن پورت‌ها اعمال شود و اساساً به دستگاه بگویید اگر کسی سعی کرد از طریق telnet به آن متصل شود، رمز عبور را درخواست کند.

نکته امتحانی: برای آزمون CCNA به یاد داشته باشید که اگر به دستگاه سیسکو telnet کردید و پیام «رمز عبور لازم است، اما تنظیم نشده است» را می‌بینید، به این معنا است که رمزی را روی خط با دستور password پیکربندی نکرده‌اید و در نتیجه نمی‌توانید تا زمانی که یک مورد را پیکربندی کنید به آن وارد شوید. به یاد داشته باشید که باید VTYهای خود را با یک رمز عبور و فرآیند لاگین مطمئن ایمن کنید. یکی دیگر از قابلیت‌های امنیتی برای ایمن‌سازی پورت‌های VTY، به کارگیری فهرست‌های کنترل دسترسی (ACL) است. اگر هنگام پیکربندی VTYهای خود فقط یک عدد را مشخص کنید، مانند موارد زیر، در این صورت تنها آن VTY پیکربندی شده است:

در این مثال، به خط VTY 0 یک رمز عبور اختصاص می‌دهیم تا هنگامی که فردی قصد لاگین به پورت ‌را دارد فرآیند احراز هویت اجرا شود. اگر تنها گزینه فوق را در ارتباط با VTYهای خود در یک دستگاه IOS پیکربندی کنید، در این حالت تنها یک نفر می‌تواند از راه دور با استفاده از telnet یا SSH و از طریق VTY 0 به دستگاه IOS دسترسی داشته باشد.

استفاده از پایگاه داده محلی کاربران

راه‌های دیگر اعتبارسنجی دسترسی، پایگاه داده نام کاربری محلی یا سرور احراز هویت خارجی هستند. پایگاه داده نام کاربری محلی روی روتر به شما امکان می‌دهد نام کاربری و رمز عبور را برای محدود کردن دسترسی به خطوط در دستگاه IOS تعیین کنید. در ارتباط با خطوط، استفاده از نام کاربری و رمز عبور بیش از استفاده از رمزهای عبور تنها توصیه می‌شود. مزیتی که روش فوق دارد این است که هر کاربر رمز عبور اختصاصی خود را به جای یک رمزعبور اشتراکی در اختیار خواهد داشت. دستورات زیر برای ساخت یک پایگاه داده نام کاربری محلی و استفاده از آن در VTYها استفاده می‌شود:

دستور username نام کاربری و رمز عبور را برای یک کاربر مشخص می‌کند. تفاوت اصلی بین پارامترهای مخفی و رمز عبور در مثال بالا این است که پارامتر مخفی به IOS می‌گوید که رمز عبور را با هش MD5 رمزگذاری کند، در حالی که پارامتر رمز عبور عادی این‌کار را نمی‌کند (رمز عبور به شکل متن واضح ذخیره می‌شود). این مسئله در مورد دستور password در حالت زیرپیکربندی خط نیز صادق است، به طوری که رمزعبور را به شکل متن واضح ذخیره‌سازی می‌کند.

نکته: فرمان login محلی را می‌توان در ارتباط با هر یک از خطوط دستگاه سیسکو استفاده کرد تا به دستگاه بگوید با استفاده از پایگاه داده نام کاربری و رمز عبور محلی احراز هویت را انجام دهد. می‌توانید از دستور فوق در ارتباط با پورت‌های کنسول، کمکی و VTY استفاده کنید تا دستگاه سیسکو را مقید کنید، هنگامی که شخصی قصد اتصال به دستگاه را دارد نام کاربری و رمز عبور خود را وارد کند.

پیکربندی رمز عبور برای حالت EXEC ممتاز (Privileged EXEC Password Protection)

علاوه بر محافظت از دسترسی به خطوط در یک دستگاه IOS، می‌توانید دسترسی به حالت ممتاز EXEC را با اختصاص یک رمز عبور به آن  کنترل کنید. برای انجام این‌کار دو گزینه زیر در اختیارتان قرار دارد:

یا

در هر دو حالت، توانایی تعیین رمز عبور برای حالت ممتاز EXEC را دارید. تفاوت اصلی دو دستور فوق در این است که مانند مثال قبل، دستور اول اطلاعات مربوط به پارامتر مخفی رمز عبور ممتاز EXEC را رمزگذاری می‌کند و دیگری این‌کار را انجام می‌دهد. اگر به‌طور اتفاقی هر دو دستور را اجرا کنید، رمز عبور پیکربندی شده با دستور enable secret همیشه بر رمز عبور پیکربندی شده با دستورenable password اولویت دارد. لازم به توضیح است که تنها دلیل وجود فرمان enable password در تجهیزات سیسکو، حفظ سازگاری تجهیزات و فناوری‌های قدیمی و جدید با یکدیگر است، اما به تدریج این دستور از تجهیزات سیسکو حذف خواهد شد.

نکته امتحانی: برای آزمون، به خاطر داشته باشید در حالت پیش‌فرض بدون وجود مکانیزم احراز هویت (رمزعبور) برای هر دو حالت کاربری و ممتاز قادر به اتصال به دستگاه IOS از راه دور از طریق telnet یا SSH نیستید.

رمزگذاری پسورد (Password Encryption)

گذرواژه‌هایی که رمزگذاری نشده‌اند را می‌توانید در حالت پیکربندی سراسری و با استفاده از service password-encryption رمزگذاری کنید. به عنوان یک قاعده کلی به این نکته دقت کنید که رمزگذاری دستور enable secret قوی‌تر از فرمان service password-encryption است.

نکته امتحانی: برای آزمون CCNA به خاطر داشته باشید که از فرمان enable password  یا enable secret  برای ایمن‌سازی دسترسی به حالت ممتاز EXEC استفاده کنید. در ارتباط به دسترسی VTY، باید رمز عبور را روی پورت‌های VTY پیکربندی کنید و باید دستور login به سیستم را مشخص کنید تا پیکربندی که انجام داده‌اید روی دستگاه به‌طور کامل اعمال شود. از دستور service password-encryption برای رمزگذاری همه رمزهای عبور متنی که با فرمان password برای VTYها و خطوط دیگر، دستور enable password و سایر دستوراتی که رمزهای عبور را به شیوه متن ساده ذخیره‌سازی می‌کنند، استفاده کنید.

تمرین عملی پیکربندی رمزهای عبور

این تمرین در ادامه، تمرینی است که ابتدا این بخش به آن پرداختیم. اکنون قصد داریم رمز عبور را به دو روتر اضافه کنیم. شما یک رمز عبور کنسول، یک رمز عبور کمکی (اگر پورت aux دارید) و رمز عبور پورت VTY را پیکربندی خواهید کرد. شکل زیر فرآیند انجام این‌کار را نشان می‌دهد.

پیکربندی رمزهای عبور؛ VAN-R1

1. ابتدا مطمئن شوید که به VAN-R1 دسترسی دارید.

2.  برای پیکربندی رمز عبور کنسول conpass در VAN-R1، دستورات زیر را وارد کنید:

3.  برای پیکربندی رمز عبور auxpass در پورت aux در روتر VAN-R1، دستورات زیر را وارد کنید:

4.  برای پیکربندی گذرواژه‌ telnetpass برای telnet  در ارتباط با پیکربندی پورت‌های VTY، دستورات زیر را وارد کنید:

5.  اکنون یک رمز عبور فعال به نام enablepass ایجاد می‌کنیم:

6. یک رمزعبور پنهان به نام enablesecret ایجاد می‌کنیم:

7.  با وارد کردن دستور زیر تغییرات پیکربندی را در NVRAM ذخیره کنید:

البته می‌توانیم از فرمان write نیز استفاده کنیم که دیگر از ما نمی‌خواهد مکانی را که قرار است اطلاعات ذخیره شود، تایید کنیم.

8. اکنون از حالت پیکربندی خارج شوید و سپس به دستگاه وارد شوید تا مطمئن شوید گذرواژه‌ای که برای پورت کنسول تعیین کرده‌اید، بدون مشکل کار می‌کند. هنگامی که قصد ورود به حالت EXEC ممتاز را دارید، مشاهده می‌کنید که اولین رمزی که باید وارد کنید رمز کنسول و رمز دومی که نیاز است رمز عبور مخفی است، زیرا رمزعبور مخفی بر رمز عبور فعال ارجحیت دارد. رمز عبور فعال تنها در صورتی استفاده می‌شود که رمز عبور پنهان تنظیم نشده باشد.

پیکربندی رمزهای عبور؛ LA-R1

9.  اکنون گذرواژه‌ها را روی روتر LA-R1 پیکربندی کنید. اطمینان حاصل کنید که به LA-R1 متصل شده‌اید.

10. گذرواژه کنسول LAconpass را در LA-R1 پیکربندی کنید.

11.  گذرواژه پورت کمکی aux LAauxpass را در LA-R1 پیکربندی کنید.

12.  گذرواژه‌های VTY LAtelnetpass را در LA-R1 پیکربندی کنید.

13. یک رمز عبور فعال برای LAenablepass ایجاد کنید.

14. یک رمزعبور پنهان برای LAenablesecret ایجاد کنید.

15.  با استفاده از دستور write، تغییرات پیکربندی را در NVRAM ذخیره کنید.

16. هنگام اتصال به پورت کنسول، از حالت‌های فعلی خارج شوید تا اطمینان حاصل کنید همه کارها به درستی انجام شده است. اکنون به حالت EXEC ممتاز بروید. دقت کنید اولین رمزی که وارد می‌کنید رمز کنسول خواهد بود و رمز دومی که وارد می‌کنید رمز عبور مخفی است، زیرا بر رمز عبور فعال اولویت دارد. رمز عبور فعال فقط در صورتی استفاده می‌شود که رمز پنهان تنظیم نشده باشد.

17. برای تمرین بعدی دستگاه‌ها را در وضعیت آماده نگه دارید.

پیکربندی بنرها (Banner Configuration)در روتر سیسکو

یکی دیگر از اقدامات مهم برای افزایش امنیت اولیه تجهیزات شبکه، پیکربندی بنرهای هشدار است. این بنرها هنگام اتصال به دستگاه، پیامی را به کاربر نمایش می‌دهند که می‌تواند شامل اطلاعات خوش‌آمدگویی، هشدارهای امنیتی یا اطلاع‌رسانی در مورد سیاست‌های سازمان باشد. بنرها نه تنها باعث افزایش آگاهی کاربران می‌شوند، بلکه از نظر قانونی نیز می‌توانند برای اعلام ممنوعیت دسترسی غیرمجاز به سیستم مورد استفاده قرار گیرند.

انواع بنر در Cisco IOS

بنرها (Banners) راهکاری در اختیارتان قرار می‌دهند تا پیام‌ها را هنگام اتصال به دستگاه سیسکو به مدیران نشان دهید. بنرها انواع مختلفی دارند، مانند بنرهای پیام روز (MOTD) و بنرهای ورود که از نظر زمان ظاهر شدن متفاوت از یکدیگر هستند. در زیر لیستی از انواع رایج بنرهای Cisco IOS را مشاهده می‌کنید:

•   بنر MODT: بنرMODT مخففMessage of the day پیغامی است که با هر بار لاگین به سوئیچ یا روتر توسط هر یک از راه‌های ارتباطی telnet، کنسول یا SSH نمایش داده می‌شود و گاهی اوقات می‌تواند موارد امنیتی را گوشزد کند.

•   بنر (Login): به شما اجازه می‌دهد که یک پیام را بعد از بنر MOTD به کاربران در زمان دسترسی از طریق اتصالات Console، Telnet، SSH  یا AUX به روتر نمایش دهید. بنر Login بیشتر جنبه آگاهی‌رسانی دارد. به عنوان مثال می‌خواهید به کاربران اطلاع دهید که افراد غیر مجاز قادر به دسترسی به روتر نیستند.

•    بنر (Exec): پیغام فوق بعد از بنر لاگین نمایش داده می‌شود و فقط بعد از برقراری اتصال از طریق کنسول، تلنت، SSH یا AUX به روتر و وارد کردن رمز دسترسی، کاربر قادر به مشاهده آن خواهد بود. زمانی از این بنر استفاده می‌کنیم که بخواهیم پیام‌هایی نمایش دهیم که از دسترس کاربران غیر مجاز مخفی بمانند و فقط کاربرانی که دارای رمزعبور دسترسی به روتر هستند آن‌را مشاهده کنند.

برای مشاهده لیستی از بنرهای پشتیبانی شده در تجهیزات سیسکو از ویژگی کمک همراه با دستور بنر استفاده کنید:

مراحل پیکربندی بنرها

مراحل پیکربندی پیغام‌های بنر روی روتر به شرح زیر است:

مرحله 1: اتصال به روتر

در این مرحله ابتدا توسط نرم‌افزار Putty به روتر متصل می‌شویم و وارد حالت User Mode می‌شویم. در صورتی که در خط فرمان عبارت زیر را مشاهده می‌کنید به معنای ورود به حالت کاربر (User Mode) است.

Router>

مرحله 2: پیکربندی MOTD روی روتر

برای پیکربندی MOTD و نمایش یک پیغام برای تمامی کاربرانی که قصد دسترسی به روتر از طریق کنسول، تلنت، SSH یا AUX را دارند، باید پیام را بعد از عبارت Banner motd داخل دو کاراکتر یکسان قرار داد که اغلب از کاراکترهی # یا $ استفاده می‌شود. ترکیب نحوی دستور فوق به شرح زیر است:

به طور مثال، برای تعیین یک پیغام از ترکیب نحوی زیر استفاده می‌کنیم:

Router1#config t

Router1(config)#banner motd #Router is now changing#

در مثال بالا ما عبارت Router is now changing برای نمایش به کاربرانی که قصد اتصال به روتر را دارند مشخص کردیم. همان‌گونه که اشاره کردیم، در اولین مرحله قبل از هر پیغام دیگری، پیغام فوق نشان داده می‌شود.

مرحله 3 : پیکربندی Banner Login روی روتر

برای پیکربندی Banner Login و انتخاب یک پیغام که بعد از پیام motd به کاربران نشان داده شود، همانند حالت قبل باید پیام را بعد از عبارت Banner Login داخل دو کاراکتر # قرار دهید. ترکیب نحوی دستور فوق به شرح زیر است:

اکنون از ترکیب نحوی زیر برای مشخص کردن پیغام بنر لاگین استفاده می‌کنیم.

Router1#config t

Router1(config)#banner Login# Unauthorized Access is Deny#

 در مثال بالا، عبارت Unauthorized Access is Deny را به عنوان پیغام انتخاب کردیم تا اگر فرآیند احراز هویت برای کاربری با شکست روبرو شد، پیغام فوق نشان داده شود.

در زمان ورود به حالت کاربری، تمامی کاربرانی که از طریق مکانیزم‌های ارتباطی Console،  Telnet، SSH و یا AUX قصد دسترسی به روتر را دارند، پیغامی که در بنر Banner Login تعیین کرده‌ایم را پس از بنر MOTD مشاهده می‌کنند. این عبارت می‌تواند شامل توصیه‌ها و پیام‌های هشدار برای کاربرانی باشد که قصد دسترسی به روتر را دارند.

مرحله 4: پیکربندی Banner exec روی روتر سیسکو

همان‌گونه که اشاره شد، از Banner exec برای نمایش پیام‌هایی که می‌خواهید از دسترس کاربران غیر مجاز مخفی بماند و تنها کاربران احراز هویت شده آن‌ها را مشاهده کنند، استفاده می‌کنیم. برای این منظور باید پیام خود را بعد از عبارت banner exec داخل کاراکترهای محصور مثل $ قرار دهید.

تنظیم عملی بنرها در روتر سیسکو

در ادامه تمرین عملی پیکربندی روترها، اکنون قصد داریم بنرهایی را به دو روتر خود اضافه کنیم. به‌طوری‌که یک بنر MOTD، یک بنر ورود و یک بنر اجرایی را روی شبکه زیر پیکربندی کنیم.

1.  مطمئن شوید که به VAN-R1 وارد شده‌اید.

2.  برای پیکربندی بنر MOTD در VAN-R1، دستورات زیر را وارد کنید:

3. برای پیکربندی یک بنر ورود به سیستم در VAN-R1، دستورات زیر را وارد کنید:

4.  برای پیکربندی بنر exec در VAN-R1، دستورات زیر را وارد کنید:

5. تغییرات خود را با دستور write ذخیره کنید.

6.  برای آزمایش بنرها، از روتر دستگاه خارج شده و ارتباط خود با دستگاه را قطع کنید. دوباره به روتر متصل شوید و نحوه نمایش بنرها را مشاهده کنید.

7.  به LA-R1 متصل شوید و سه بنر را در LA-R1 پیکربندی کنید.

8. با استفاده از دستور write، تغییرات LA-R1 را در NVRAM ذخیره کنید.

9.  از LA-R1 جدا شده و دوباره به آن وصل شوید تا بنرها را مشاهده کنید.

10. روترها را برای تمرین بعدی فعال نگه دارید.

نکات پایانی در مورد پیکربندی امنیتی روتر سیسکو

پیکربندی اصولی و ایمن روترهای سیسکو پایه‌ای‌ترین گام برای مدیریت حرفه‌ای شبکه است. در این مقاله، پیکربندی پایه و امنیتی دو روتر را به‌طور کامل و عملی بررسی کردیم. برای ارتقا دانش فنی خود و آمادگی برای آزمون CCNA، اجرای تمرینات این مقاله بسیار موثر خواهد بود. اگر علاقه‌مند به یادگیری بیشتر در این زمینه هستید یا قصد شرکت در دوره‌های آموزشی شبکه دارید، بلاگ فالنیک را دنبال کنید.

خرید روتر با بهترین قیمت و گارانتی معتبر در فالنیک

با خرید روتر از فالنیک ایران اچ پی علاوه بر قیمت مناسب، تضمین اصالت کالا و گارانتی معتبر، می‌توانید از مشاوره تخصصی رایگان با کارشناسان ما بهره‌مند شوید. همین حالا کلیک کنید.

خرید روترمشاوره تلفنی رایگان