پیکربندی امنیتی روتر سیسکو ؛ راهنمای عملی و مرحله به مرحله

پیکربندی صحیح روترهای سیسکو نه تنها عملکرد بهینه شبکه را تضمین میکند، بلکه اولین گام مهم در تأمین امنیت زیرساخت شبکه است. در این مقاله فالنیک، ابتدا نحوه پیکربندی پایه روتر سیسکو را به صورت گامبهگام بیان میکنیم و سپس وارد مباحث مربوط به پیکربندی امنیتی روتر سیسکو میشویم. این راهنما برای علاقهمندان و داوطلبان آزمون CCNA بسیار مفید است.
فهرست محتوا
پیکربندی پایه روتر سیسکو
برای شروع پیکربندی روتر cosco نیاز است تجهیزات رو به همراه داشته باشید که در ادامه این تجهیزات و مراحل انجام کار را گام به گام توضیح میدهیم:
تجهیزات مورد نیاز
برای شروع به دو روتر سیسکو و دو سوئیچ سیسکو یا یک شبیهساز شبکه نیاز دارید که به شما اجازه میدهد یک نمودار با دو روتر و دو سوئیچ ایجاد کنید. شکل زیر شبکهای را نشان میدهد که در این روش بر مبنای آن کار خواهیم کرد. این آموزش بر پیکربندی دو روتر متمرکز است.
- دو روتر سیسکو
- دو سوئیچ سیسکو یا شبیهساز شبکه مانند (Cisco Packet Tracer)
- کابل کنسول و دسترسی به PuTTY

مراحل پیکربندی اولیه
- مطمئن شوید که تمام مولفههای فیزیکی مانند روترها و سوئیچها را مطابق شکل بالا به یکدیگر متصل کردهاید و تجهیزات روشن هستند.
- کامپیوتر را از طریق کابل کنسول به روتر VAN-R1 متصل کنید.
- نرمافزار PuTTY را باز کرده و اتصال سریال را با COM مناسب تنظیم و گزینه Open را انتخاب کنید.
- کلید Enter را بزنید تا وارد محیط CLI شوید.
تنظیمات روی VAN-R1
4. نام روتر سیسکو را با دستور زیر به VAN-R1 تنظیم کنید:

5. آدرس IP را در رابط Gigabit Ethernet 0/0 با دستورات زیر پیکربندی کنید:

توجه داشته باشید که رابط g0/0 به حالت up تغییر میکند (این رابط فعال نیست.)
6. رابط سریال 0/3/0 را روی روتر با دستورات زیر پیکربندی کنید:

دقت کنید که پیام وضعیت رابط سریال نشان میدهد که هنوز خاموش است، حتی اگر به طور کامل پیکربندی شده باشد. این اتفاق، به این دلیل است که انتهای دیگر لینک سریال (روتر LA-R1) باید قبل از بالا آمدن لینک پیکربندی شود.
7. به یاد داشته باشید که باید تغییرات فوق را با وارد کردن دستورات زیر در NVRAM ذخیره کنید:

8. به پورت کنسول روتر که LA-R1 است، وصل شوید و سپس کلید اینتر در صفحه PuTTY را فشار دهید تا نوسازی شود. اکنون باید به روتر دوم متصل شوید.
9. نام میزبان روی روتر دوم s را به LA-R1 تنظیم کنید.
10. آدرس IP را در رابط Gigabit Ethernet 0/0 روی 14.0.0.1 پیکربندی کنید و مطمئن شوید که رابط فعال است.
11. رابط سریال 0/3/0 را روی روتر برای آدرس IP 13.0.0.2 پیکربندی کنید و پروتکل کپسولهسازی را تنظیم کنید. توجه داشته باشید که اگر یک اتصال DTE است، نیازی به تنظیم نرخ ساعت ندارید.
12. تغییرات جدید را در NVRAM ذخیره کنید.
13. برای تأیید اینکه LA-R1 قادر به پینگ به آدرس IP VAN-R1 است، دستورات زیر را تایپ کنید:

14. در LA-R1، از دستورات زیر برای بررسی پیکربندی خود استفاده کنید (کمی تامل کنید و اطلاعات نشان داده شده را به دقت نگاه کنید):

15. در VAN-R1، از دستورات زیر برای بررسی پیکربندی استفاده کنید (خروجی را به دقت نگاه کنید):

16. مسیریابها را همچنان در وضعیت فعال نگاه دارید تا بتوانید تنظیمات پیکربندی موارد امنیتی روترها را که در ادامه توضیح میدهیم را نیز بررسی کنید.
اهمیت امنیت در تجهیزات Cisco IOS
مؤسسه امنیت رایانه (CSI) سازمانی است که مباحث مرتبط با اصول امنیت شبکه را آموزش میدهد و تحقیقات مربوط به مسائل امنیتی موردنیاز شرکتها را انجام میدهد. در مطالعهای که موسسه فوق انجام داد، مشخص شد بیش از 70 درصد از شرکتهای حاضر در نظرسنجی اعلام کردهاند که نوعی نقض امنیتی را تجربه کردهاند. با دانستن این اطلاعات، به عنوان یک مدیر شبکه، یکی از وظایف شما اطمینان از کنترل دقیق سطح دسترسی به دستگاههای شبکه است.
تهدیدات فیزیکی و محیطی
بسیاری از مدیران شبکه این نکته را فراموش میکنند که اولین خط دفاعی در ایمنسازی دستگاههای شبکه محافظت در برابر تهدیدات فیزیکی و محیطی از جمله موارد زیر است:
• سختافزار: محدود کردن دسترسی فیزیکی به روتر از طریق اقدامات فیزیکی، مانند درهای قفل شده، کارتهای کلید، دوربینهای ویدیویی و… انجام میشود.
• الکتریسیته: اطمینان حاصل کنید که با استفاده یوپیاس و ژنراتور، از تجهیزات در برابر نوسانات/ قطعیهای ناگهانی محافظت کردهاید.
• دمای محیطی: درجه حرارت محیطی که تجهیزات در آن قرار ندارد نباید خیلی زیاد یا خیلی کم باشد و مهمتر آنکه رطوبت محیطی نباید بیش از اندازه باشد.
• تعمیر و نگهداری: هنگام کار با قطعات الکترونیکی حساس، از روشهای تخلیه الکترواستاتیک استفاده کنید، در محل سازمان، لوازم یدکی لازم را داشته باشید و تجهیزات و کابلها را به درستی برچسبگذاری میکنید. این موارد اهمیت زیادی دارد.
پیکربندی رمزهای عبور در روتر سیسکو
رایجترین راه برای محدود کردن دسترسی فیزیکی به دستگاههای IOS استفاده از نوعی احراز هویت کاربر است. برای مثال، میتوانید رمزهای عبور را برای محدود کردن دسترسی به خطوط دستگاههای IOS (حالت EXEC کاربری) و همچنین دسترسی به حالت EXEC ممتاز پیکربندی کنید. پیکربندی رمزهای عبور در سوئیچهای Catalyst IOS، مانند 2950s و 2960s، مانند پیکربندی رمز عبور در روترهای IOS است.
حفاظت از رمز عبور EXEC کاربری
کنترل دسترسی به حالت EXEC کاربری در دستگاه IOS به صورت خط به خط انجام میشود: console، auxiliary، TTYs و VTYs. به یاد داشته باشید که همه دستگاهها از پورتهای auxiliary پشتیبانی نمیکنند، تنها روترها از TTY پشتیبانی میکنند و تعداد VTYهایی که یک دستگاه IOS پشتیبانی میکند به محصولی که از آن استفاده میکنید بستگی دارد. از پنج VTY (0-4) تا تقریباً هزار.
پیکربندی رمز عبور کنسول
برای ایمن کردن پورت کنسول، ابتدا باید با دستور line console 0 به حالت subconfiguration line کنسول بروید تا بتوانید رمز عبور خط را پیکربندی کنید:

در دستور اول پورت کنسول را مشخص میکند، زیرا خطوط و رابطها از 0 به بالا شمارهگذاری میشوند. حتی اگر دستگاههای IOS تنها یک پورت کنسول داشته باشند، بازهم با مقدار 0 تعیین میشوند؛ این موضوع در مورد بیشتر محصولات سیسکو صادق است (اما نه همه محصولات سیسکو).
هنگامی که در حالت زیرپیکربندی خط قرار دارید، میتوانید از دستور password برای اختصاص رمز عبور کنسول استفاده کنید. فرمان آخر login نشان میدهد در نظر دارید افراد برای اتصال به پورت کنسول 0، با استفاده از رمز عبوری که تعیین کردهاید احراز هویت شوند. رمزهای عبور در دستگاههای IOS به حروف بزرگ و کوچک حساس هستند. به یاد داشته باشید که دستور password، زمانی که در line console 0 اجرا میشود، رمز عبور EXEC کاربری را برای شخصی که سعی میکند از پورت کنسول به دستگاه IOS دسترسی داشته باشد، درخواست میکند.
پیکربندی رمز عبور در پورت کمکی (Auxiliary)
پورت کمکی (auxiliary) اغلب به عنوان یک پورت دسترسی از راه دور با یک مودم متصل به آن استفاده میشود که به شما امکان میدهد در صورتی که مشکلی برای اتصال اینترنت اتفاق افتاده است و نمیتوانید از طریق telnet یا SSH از راه دور وارد شوید، به روتر شمارهگیری کنید. کد زیر ترکیب نحوی برای تنظیم مکانیزم احراز هویت رمز عبور در پورت کمکی را نشان میدهد:

پیکربندی رمز عبور برای دسترسی Telnet (VTY)
باز هم، دستور login موردنیاز است. اگر فراموش کنید که دستور فوق را فراخوانی کنید، یک رمز عبور روی پورت تنظیم کردهاید، اما هنگامی که فردی قصد اتصال به پورت فوق را دارد، دستگاه سیسکو هیچ سوالی نخواهد کرد. برای تنظیم رمز عبور telnet برای VTYهای خود، از پیکربندی زیر استفاده کنید:

پارامتر vty در این دستور به ترمینال مجازی و دسترسی به telnet یا SSH اشاره دارد. دستگاههای سیسکو میتوانند از چندین جلسه VTY (تلنت) همزمان پشتیبانی کنند که در آن هر اتصال به صورت داخلی توسط یک عدد در بازه 0 تا 15 شناسایی میشود. بسته به مدل روتر و نسخه نرمافزار IOS، این عدد ممکن است از 5 (0-4) تا تقریباً 1000 متغیر باشد. شما میتوانید رمز عبور متفاوتی را به هر VTY اختصاص دهید، اما باید به این نکته دقت کنید که از چه گذرواژهای برای تلنت استفاده کردهاید. IOS اجازه میدهد چند پورت VTY را با دستور line پیکربندی کنید تا روند انجام کارها سادهتر شود، در این حالت باید ابتدا و انتهای VTY در یک خط (در مثال بالا line vty 0 15) را مشخص کنید.
هنگامی که در حالت زیرپیکربندی خط قرار گرفتید، از دستور password برای تنظیم رمز عبور استفاده کنید. همچنین، باید دستور ورود به سیستم را وارد کنید تا احراز هویت اجباری در آن پورتها اعمال شود و اساساً به دستگاه بگویید اگر کسی سعی کرد از طریق telnet به آن متصل شود، رمز عبور را درخواست کند.
نکته امتحانی: برای آزمون CCNA به یاد داشته باشید که اگر به دستگاه سیسکو telnet کردید و پیام «رمز عبور لازم است، اما تنظیم نشده است» را میبینید، به این معنا است که رمزی را روی خط با دستور password پیکربندی نکردهاید و در نتیجه نمیتوانید تا زمانی که یک مورد را پیکربندی کنید به آن وارد شوید. به یاد داشته باشید که باید VTYهای خود را با یک رمز عبور و فرآیند لاگین مطمئن ایمن کنید. یکی دیگر از قابلیتهای امنیتی برای ایمنسازی پورتهای VTY، به کارگیری فهرستهای کنترل دسترسی (ACL) است. اگر هنگام پیکربندی VTYهای خود فقط یک عدد را مشخص کنید، مانند موارد زیر، در این صورت تنها آن VTY پیکربندی شده است:

در این مثال، به خط VTY 0 یک رمز عبور اختصاص میدهیم تا هنگامی که فردی قصد لاگین به پورت را دارد فرآیند احراز هویت اجرا شود. اگر تنها گزینه فوق را در ارتباط با VTYهای خود در یک دستگاه IOS پیکربندی کنید، در این حالت تنها یک نفر میتواند از راه دور با استفاده از telnet یا SSH و از طریق VTY 0 به دستگاه IOS دسترسی داشته باشد.
استفاده از پایگاه داده محلی کاربران
راههای دیگر اعتبارسنجی دسترسی، پایگاه داده نام کاربری محلی یا سرور احراز هویت خارجی هستند. پایگاه داده نام کاربری محلی روی روتر به شما امکان میدهد نام کاربری و رمز عبور را برای محدود کردن دسترسی به خطوط در دستگاه IOS تعیین کنید. در ارتباط با خطوط، استفاده از نام کاربری و رمز عبور بیش از استفاده از رمزهای عبور تنها توصیه میشود. مزیتی که روش فوق دارد این است که هر کاربر رمز عبور اختصاصی خود را به جای یک رمزعبور اشتراکی در اختیار خواهد داشت. دستورات زیر برای ساخت یک پایگاه داده نام کاربری محلی و استفاده از آن در VTYها استفاده میشود:

دستور username نام کاربری و رمز عبور را برای یک کاربر مشخص میکند. تفاوت اصلی بین پارامترهای مخفی و رمز عبور در مثال بالا این است که پارامتر مخفی به IOS میگوید که رمز عبور را با هش MD5 رمزگذاری کند، در حالی که پارامتر رمز عبور عادی اینکار را نمیکند (رمز عبور به شکل متن واضح ذخیره میشود). این مسئله در مورد دستور password در حالت زیرپیکربندی خط نیز صادق است، به طوری که رمزعبور را به شکل متن واضح ذخیرهسازی میکند.
نکته: فرمان login محلی را میتوان در ارتباط با هر یک از خطوط دستگاه سیسکو استفاده کرد تا به دستگاه بگوید با استفاده از پایگاه داده نام کاربری و رمز عبور محلی احراز هویت را انجام دهد. میتوانید از دستور فوق در ارتباط با پورتهای کنسول، کمکی و VTY استفاده کنید تا دستگاه سیسکو را مقید کنید، هنگامی که شخصی قصد اتصال به دستگاه را دارد نام کاربری و رمز عبور خود را وارد کند.
پیکربندی رمز عبور برای حالت EXEC ممتاز (Privileged EXEC Password Protection)
علاوه بر محافظت از دسترسی به خطوط در یک دستگاه IOS، میتوانید دسترسی به حالت ممتاز EXEC را با اختصاص یک رمز عبور به آن کنترل کنید. برای انجام اینکار دو گزینه زیر در اختیارتان قرار دارد:

یا

در هر دو حالت، توانایی تعیین رمز عبور برای حالت ممتاز EXEC را دارید. تفاوت اصلی دو دستور فوق در این است که مانند مثال قبل، دستور اول اطلاعات مربوط به پارامتر مخفی رمز عبور ممتاز EXEC را رمزگذاری میکند و دیگری اینکار را انجام میدهد. اگر بهطور اتفاقی هر دو دستور را اجرا کنید، رمز عبور پیکربندی شده با دستور enable secret همیشه بر رمز عبور پیکربندی شده با دستورenable password اولویت دارد. لازم به توضیح است که تنها دلیل وجود فرمان enable password در تجهیزات سیسکو، حفظ سازگاری تجهیزات و فناوریهای قدیمی و جدید با یکدیگر است، اما به تدریج این دستور از تجهیزات سیسکو حذف خواهد شد.
نکته امتحانی: برای آزمون، به خاطر داشته باشید در حالت پیشفرض بدون وجود مکانیزم احراز هویت (رمزعبور) برای هر دو حالت کاربری و ممتاز قادر به اتصال به دستگاه IOS از راه دور از طریق telnet یا SSH نیستید.
رمزگذاری پسورد (Password Encryption)
گذرواژههایی که رمزگذاری نشدهاند را میتوانید در حالت پیکربندی سراسری و با استفاده از service password-encryption رمزگذاری کنید. به عنوان یک قاعده کلی به این نکته دقت کنید که رمزگذاری دستور enable secret قویتر از فرمان service password-encryption است.
نکته امتحانی: برای آزمون CCNA به خاطر داشته باشید که از فرمان enable password یا enable secret برای ایمنسازی دسترسی به حالت ممتاز EXEC استفاده کنید. در ارتباط به دسترسی VTY، باید رمز عبور را روی پورتهای VTY پیکربندی کنید و باید دستور login به سیستم را مشخص کنید تا پیکربندی که انجام دادهاید روی دستگاه بهطور کامل اعمال شود. از دستور service password-encryption برای رمزگذاری همه رمزهای عبور متنی که با فرمان password برای VTYها و خطوط دیگر، دستور enable password و سایر دستوراتی که رمزهای عبور را به شیوه متن ساده ذخیرهسازی میکنند، استفاده کنید.
تمرین عملی پیکربندی رمزهای عبور
این تمرین در ادامه، تمرینی است که ابتدا این بخش به آن پرداختیم. اکنون قصد داریم رمز عبور را به دو روتر اضافه کنیم. شما یک رمز عبور کنسول، یک رمز عبور کمکی (اگر پورت aux دارید) و رمز عبور پورت VTY را پیکربندی خواهید کرد. شکل زیر فرآیند انجام اینکار را نشان میدهد.

پیکربندی رمزهای عبور؛ VAN-R1
1. ابتدا مطمئن شوید که به VAN-R1 دسترسی دارید.
2. برای پیکربندی رمز عبور کنسول conpass در VAN-R1، دستورات زیر را وارد کنید:

3. برای پیکربندی رمز عبور auxpass در پورت aux در روتر VAN-R1، دستورات زیر را وارد کنید:

4. برای پیکربندی گذرواژه telnetpass برای telnet در ارتباط با پیکربندی پورتهای VTY، دستورات زیر را وارد کنید:

5. اکنون یک رمز عبور فعال به نام enablepass ایجاد میکنیم:

6. یک رمزعبور پنهان به نام enablesecret ایجاد میکنیم:

7. با وارد کردن دستور زیر تغییرات پیکربندی را در NVRAM ذخیره کنید:

البته میتوانیم از فرمان write نیز استفاده کنیم که دیگر از ما نمیخواهد مکانی را که قرار است اطلاعات ذخیره شود، تایید کنیم.
8. اکنون از حالت پیکربندی خارج شوید و سپس به دستگاه وارد شوید تا مطمئن شوید گذرواژهای که برای پورت کنسول تعیین کردهاید، بدون مشکل کار میکند. هنگامی که قصد ورود به حالت EXEC ممتاز را دارید، مشاهده میکنید که اولین رمزی که باید وارد کنید رمز کنسول و رمز دومی که نیاز است رمز عبور مخفی است، زیرا رمزعبور مخفی بر رمز عبور فعال ارجحیت دارد. رمز عبور فعال تنها در صورتی استفاده میشود که رمز عبور پنهان تنظیم نشده باشد.
پیکربندی رمزهای عبور؛ LA-R1
9. اکنون گذرواژهها را روی روتر LA-R1 پیکربندی کنید. اطمینان حاصل کنید که به LA-R1 متصل شدهاید.
10. گذرواژه کنسول LAconpass را در LA-R1 پیکربندی کنید.
11. گذرواژه پورت کمکی aux LAauxpass را در LA-R1 پیکربندی کنید.
12. گذرواژههای VTY LAtelnetpass را در LA-R1 پیکربندی کنید.
13. یک رمز عبور فعال برای LAenablepass ایجاد کنید.
14. یک رمزعبور پنهان برای LAenablesecret ایجاد کنید.
15. با استفاده از دستور write، تغییرات پیکربندی را در NVRAM ذخیره کنید.
16. هنگام اتصال به پورت کنسول، از حالتهای فعلی خارج شوید تا اطمینان حاصل کنید همه کارها به درستی انجام شده است. اکنون به حالت EXEC ممتاز بروید. دقت کنید اولین رمزی که وارد میکنید رمز کنسول خواهد بود و رمز دومی که وارد میکنید رمز عبور مخفی است، زیرا بر رمز عبور فعال اولویت دارد. رمز عبور فعال فقط در صورتی استفاده میشود که رمز پنهان تنظیم نشده باشد.
17. برای تمرین بعدی دستگاهها را در وضعیت آماده نگه دارید.
پیکربندی بنرها (Banner Configuration)در روتر سیسکو
یکی دیگر از اقدامات مهم برای افزایش امنیت اولیه تجهیزات شبکه، پیکربندی بنرهای هشدار است. این بنرها هنگام اتصال به دستگاه، پیامی را به کاربر نمایش میدهند که میتواند شامل اطلاعات خوشآمدگویی، هشدارهای امنیتی یا اطلاعرسانی در مورد سیاستهای سازمان باشد. بنرها نه تنها باعث افزایش آگاهی کاربران میشوند، بلکه از نظر قانونی نیز میتوانند برای اعلام ممنوعیت دسترسی غیرمجاز به سیستم مورد استفاده قرار گیرند.
انواع بنر در Cisco IOS
بنرها (Banners) راهکاری در اختیارتان قرار میدهند تا پیامها را هنگام اتصال به دستگاه سیسکو به مدیران نشان دهید. بنرها انواع مختلفی دارند، مانند بنرهای پیام روز (MOTD) و بنرهای ورود که از نظر زمان ظاهر شدن متفاوت از یکدیگر هستند. در زیر لیستی از انواع رایج بنرهای Cisco IOS را مشاهده میکنید:
• بنر MODT: بنرMODT مخففMessage of the day پیغامی است که با هر بار لاگین به سوئیچ یا روتر توسط هر یک از راههای ارتباطی telnet، کنسول یا SSH نمایش داده میشود و گاهی اوقات میتواند موارد امنیتی را گوشزد کند.
• بنر (Login): به شما اجازه میدهد که یک پیام را بعد از بنر MOTD به کاربران در زمان دسترسی از طریق اتصالات Console، Telnet، SSH یا AUX به روتر نمایش دهید. بنر Login بیشتر جنبه آگاهیرسانی دارد. به عنوان مثال میخواهید به کاربران اطلاع دهید که افراد غیر مجاز قادر به دسترسی به روتر نیستند.
• بنر (Exec): پیغام فوق بعد از بنر لاگین نمایش داده میشود و فقط بعد از برقراری اتصال از طریق کنسول، تلنت، SSH یا AUX به روتر و وارد کردن رمز دسترسی، کاربر قادر به مشاهده آن خواهد بود. زمانی از این بنر استفاده میکنیم که بخواهیم پیامهایی نمایش دهیم که از دسترس کاربران غیر مجاز مخفی بمانند و فقط کاربرانی که دارای رمزعبور دسترسی به روتر هستند آنرا مشاهده کنند.
برای مشاهده لیستی از بنرهای پشتیبانی شده در تجهیزات سیسکو از ویژگی کمک همراه با دستور بنر استفاده کنید:

مراحل پیکربندی بنرها
مراحل پیکربندی پیغامهای بنر روی روتر به شرح زیر است:
مرحله 1: اتصال به روتر
در این مرحله ابتدا توسط نرمافزار Putty به روتر متصل میشویم و وارد حالت User Mode میشویم. در صورتی که در خط فرمان عبارت زیر را مشاهده میکنید به معنای ورود به حالت کاربر (User Mode) است.
Router>
مرحله 2: پیکربندی MOTD روی روتر
برای پیکربندی MOTD و نمایش یک پیغام برای تمامی کاربرانی که قصد دسترسی به روتر از طریق کنسول، تلنت، SSH یا AUX را دارند، باید پیام را بعد از عبارت Banner motd داخل دو کاراکتر یکسان قرار داد که اغلب از کاراکترهی # یا $ استفاده میشود. ترکیب نحوی دستور فوق به شرح زیر است:

به طور مثال، برای تعیین یک پیغام از ترکیب نحوی زیر استفاده میکنیم:
Router1#config t
Router1(config)#banner motd #Router is now changing#
در مثال بالا ما عبارت Router is now changing برای نمایش به کاربرانی که قصد اتصال به روتر را دارند مشخص کردیم. همانگونه که اشاره کردیم، در اولین مرحله قبل از هر پیغام دیگری، پیغام فوق نشان داده میشود.
مرحله 3 : پیکربندی Banner Login روی روتر
برای پیکربندی Banner Login و انتخاب یک پیغام که بعد از پیام motd به کاربران نشان داده شود، همانند حالت قبل باید پیام را بعد از عبارت Banner Login داخل دو کاراکتر # قرار دهید. ترکیب نحوی دستور فوق به شرح زیر است:

اکنون از ترکیب نحوی زیر برای مشخص کردن پیغام بنر لاگین استفاده میکنیم.
Router1#config t
Router1(config)#banner Login# Unauthorized Access is Deny#
در مثال بالا، عبارت Unauthorized Access is Deny را به عنوان پیغام انتخاب کردیم تا اگر فرآیند احراز هویت برای کاربری با شکست روبرو شد، پیغام فوق نشان داده شود.
در زمان ورود به حالت کاربری، تمامی کاربرانی که از طریق مکانیزمهای ارتباطی Console، Telnet، SSH و یا AUX قصد دسترسی به روتر را دارند، پیغامی که در بنر Banner Login تعیین کردهایم را پس از بنر MOTD مشاهده میکنند. این عبارت میتواند شامل توصیهها و پیامهای هشدار برای کاربرانی باشد که قصد دسترسی به روتر را دارند.
مرحله 4: پیکربندی Banner exec روی روتر سیسکو
همانگونه که اشاره شد، از Banner exec برای نمایش پیامهایی که میخواهید از دسترس کاربران غیر مجاز مخفی بماند و تنها کاربران احراز هویت شده آنها را مشاهده کنند، استفاده میکنیم. برای این منظور باید پیام خود را بعد از عبارت banner exec داخل کاراکترهای محصور مثل $ قرار دهید.

تنظیم عملی بنرها در روتر سیسکو
در ادامه تمرین عملی پیکربندی روترها، اکنون قصد داریم بنرهایی را به دو روتر خود اضافه کنیم. بهطوریکه یک بنر MOTD، یک بنر ورود و یک بنر اجرایی را روی شبکه زیر پیکربندی کنیم.

1. مطمئن شوید که به VAN-R1 وارد شدهاید.
2. برای پیکربندی بنر MOTD در VAN-R1، دستورات زیر را وارد کنید:

3. برای پیکربندی یک بنر ورود به سیستم در VAN-R1، دستورات زیر را وارد کنید:

4. برای پیکربندی بنر exec در VAN-R1، دستورات زیر را وارد کنید:

5. تغییرات خود را با دستور write ذخیره کنید.
6. برای آزمایش بنرها، از روتر دستگاه خارج شده و ارتباط خود با دستگاه را قطع کنید. دوباره به روتر متصل شوید و نحوه نمایش بنرها را مشاهده کنید.
7. به LA-R1 متصل شوید و سه بنر را در LA-R1 پیکربندی کنید.
8. با استفاده از دستور write، تغییرات LA-R1 را در NVRAM ذخیره کنید.
9. از LA-R1 جدا شده و دوباره به آن وصل شوید تا بنرها را مشاهده کنید.
10. روترها را برای تمرین بعدی فعال نگه دارید.
نکات پایانی در مورد پیکربندی امنیتی روتر سیسکو
پیکربندی اصولی و ایمن روترهای سیسکو پایهایترین گام برای مدیریت حرفهای شبکه است. در این مقاله، پیکربندی پایه و امنیتی دو روتر را بهطور کامل و عملی بررسی کردیم. برای ارتقا دانش فنی خود و آمادگی برای آزمون CCNA، اجرای تمرینات این مقاله بسیار موثر خواهد بود. اگر علاقهمند به یادگیری بیشتر در این زمینه هستید یا قصد شرکت در دورههای آموزشی شبکه دارید، بلاگ فالنیک را دنبال کنید.