در مرحله دوم یک لیست در ست میکنیم و میگوییم که به صورت محلی احراز هویت را انجام بده.
قالب کلی دستور به صورت زیر است:
aaa authentication login LISTNAME AUTHTYPE
مثلا در اینجا ما یک لیست برای کسانی که با پورت کنسول به روتر وصل میشوند میسازیم.
Router(config)#aaa authentication login CONSOLE_AUTH local
Router(config)#line con 0
Router(config-line)#login authentication CONSOLE_AUTH
Router(config)#line con 0
Router(config-line)#login authentication CONSOLE_AUTH
در قسمت قبل با نحوه ساخت user ,passآشنا شدید.
در مرحله بعد یم user ,passبسازید و بعد با همین user,passاز طریق پورت کنسول به روتر وارد بشید.
Secure shell (SSH)
“telnet does not encrypt the encapsulated payload so with that being said; anyone on the wire can sniff the traffic and reconstruct the telnet communications which opens a major vulnerability that passwords can be sniffed as well as other types of confidential sensitive information that traverses a network via the telnet protocol.”
در telnet اطلاعات به صورت clear textبین شما و مقصد رد و بدل می شود و در واقع هیچ گونهencryptionبر روی داده ها انجام نمی شود.هر کسی می تواند با sniffکردن ترافیک شبکه شما اطلاعاتی ارسالی و دریافتی را ببیند .مثلا پسوردی که شما برای مقصد ارسال می کنید.
به ایــــــن فیـــلـــم آمــــوزشـــــی دقت کنید .
"SSH can use different types of encryption algorithms from Data Encryption Standard (DES) all the way up to AES 256Bit CBC."
برای راه اندازی sshدر دیوایسهای سیسکو به صورت زیر عمل میکنیم.
1-تغییر hostname
2-معرفی domain nameبه روتر
- Change the hostname from its default hostname Router to something specific to the device. ie; R1
- To generate an RSA key, you’re required to have a domain name set. Set the domain name executing the ip domain-name domainname.net command in global configuration.
- Create an RSA Genera-Usage certification that is self-signed by the Cisco device.
- Configure the transport input protocol on the VTY lines to only accept SSH (this disables telnet and permits only ssh)
· Router>enable
· Password:
· Router#configure terminal
· Enter configuration commands, one per line. End with CNTL/Z.
· Router(config)#hostname R1
· R1(config)#
R1(config)#ip domain-name 20learn.ir
R1(config)#crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.freeccnaworkbook.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
R1(config)#
%SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#line vty 0 4
R1(config-line)#transport input ssh
R1(config-line)#end
R1#ssh -l 20learn 10.1.1.1
Password:
R1#show ssh
Connection Version Mode Encryption Hmac State Username
0 1.99 IN aes128-cbc hmac-sha1 Session started john
0 1.99 OUT aes128-cbc hmac-sha1 Session started john
%No SSHv1 server connections running.
R1#
فیلم آموزشی پیاده سازی ssh در روتر
آموزش CSS بخش هشتم