برای تنظیمات اولیه روتر سیسکو، شما میتوانید مراحل زیر را دنبال کنید:
اولین کاری که باید روی روتر سیسکو انجام بدید سرویس AAA برگرفته از Authentication – Authorization and Accounting که از این سرویس جهت احراز هویت و تعیین سطح دسترسی و نظارت به دسترسی و مدت دسترسی کاربر استفاده میشود.
سرویس AAA برای احراز هویت و تعیین سطح دسترسی کاربران که از طریق اتصالات Dial-up , telnet , AUX یا اتصال به صورت Console به روتر دسترسی پیدا میکنند میتواند استفاده شود.
برای فعال کردن و پیکربندی سرویس AAA روی روتر به طوریکه برای احراز هویت و تعیین سطح دسترسی از Username های local استفاده نماید.
سرویس AAA در حقیقت شامل سه بخش به شرح زیر میباشد :
- Authentication : در روترهای سیسکو، میتوانید از روشهای مختلفی برای احراز هویت یا Authentication استفاده کنید. برخی از مهمترین روشهای Authentication در روترهای سیسکو عبارتند از:
- رمز عبور (Password Authentication):
- رمز عبور کاربر: با استفاده از دستور “password رمز_عبور” در حالت تنظیمات خط VTY، میتوانید رمز عبوری را برای دسترسی به خطوط کنسول و تلنت تعیین کنید.
- رمز عبور خط ادمین: با استفاده از دستور “enable secret رمز_عبور” در حالت تنظیمات، میتوانید رمز عبوری را برای ورود به حالت تنظیمات روتر تعیین کنید.
- احراز هویت TACACS+ یا RADIUS:
- TACACS+ (Terminal Access Controller Access Control System Plus):
- این روش برای احراز هویت و مدیریت دسترسی کاربران به شبکه استفاده میشود. شما باید سرور TACACS+ را پیکربندی کنید و روتر را به آن متصل کنید.
- RADIUS (Remote Authentication Dial-In User Service):
- این روش نیز برای احراز هویت و مدیریت دسترسی کاربران به شبکه استفاده میشود. شما باید سرور RADIUS را پیکربندی کنید و روتر را به آن متصل کنید.
- احراز هویت شناخت دو مرحلهای (Two-Factor Authentication):
- احراز هویت شناخت دو مرحلهای امنیت بیشتری را به شبکه اضافه میکند. معمولاً این روش شامل وارد کردن رمز عبور و یک عامل احراز هویت دیگر مانند توکن یا کد ارسال شده به تلفن همراه است.
- احراز هویت AAA (Authentication, Authorization, and Accounting):
- AAA یک فرآیند کامل برای مدیریت دسترسی کاربران به شبکه است. این فرآیند شامل احراز هویت (Authentication)، اعطای حقوق دسترسی (Authorization) و ثبت و رصد فعالیتها (Accounting) است.
- Authorization: در روترهای سیسکو، Authorization یا اعطای حقوق دسترسی به کاربران پس از موفقیتآمیز بودن مرحله احراز هویت (Authentication) صورت میگیرد. این مرحله مشخص میکند که چه عملیاتی میتواند توسط کاربر در شبکه انجام شود و چه منابعی قابل دسترسی است. برای پیکربندی Authorization در روتر سیسکو، میتوانید از روشهای زیر استفاده کنید:
- اعطای حقوق دسترسی با استفاده از دستورات پایه:
- – استفاده از لاین VTY: میتوانید حقوق دسترسی برای کاربرانی که از طریق خطوط VTY به روتر متصل میشوند تنظیم کنید. با استفاده از دستور “line vty 0 4” وارد حالت تنظیمات خط VTY شوید و سپس با استفاده از دستور “privilege level سطح” میتوانید سطح دسترسی مورد نظر را تعیین کنید (مقدار سطح را با عدد 0 تا 15 جایگزین کنید).
- – استفاده از کنترل دسترسی (Access Control Lists): در صورت نیاز به کنترل دقیقتر دسترسی کاربران به منابع شبکه، میتوانید از لیستهای کنترل دسترسی استفاده کنید. با استفاده از دستور “access-list” و “access-group” میتوانید لیستهای کنترل دسترسی را تعریف کرده و آنها را به رابطها یا خطوط VTY اعمال کنید.
- استفاده از سرویسهای AAA:
- – استفاده از TACACS+ یا RADIUS: اگر از روش Authentication با استفاده از سرورهای TACACS+ یا RADIUS استفاده میکنید، میتوانید در سرورها تنظیمات مربوط به Authorization را انجام دهید. سپس روتر را به سرور متصل کرده و تنظیمات مربوط به Authorization را در روتر پیکربندی کنید.
- استفاده از توابع داخلی روتر:
- – استفاده از کارتهای دسترسی (Access Cards): در برخی مدلهای روتر سیسکو، میتوانید از کارتهای دسترسی استفاده کنید تا حقوق دسترسی کاربران را مدیریت کنید. این کارتها معمولاً دارای پردازشگرهای مجزا بوده و برای اعطای حقوق دسترسی استفاده میشوند.
- Accounting : در روترهای سیسکو، Accounting یا ثبت و رصد فعالیتها، فرآیندی است که به شما امکان میدهد فعالیتهای کاربران را در شبکه ثبت و رصد کنید. این اطلاعات ممکن است شامل جزئیاتی مانند زمان ورود و خروج کاربران، دسترسی به منابع مختلف، ترافیک شبکه و غیره باشد. با استفاده از اطلاعات حاصل از Accounting، میتوانید فعالیتها را مورد تجزیه و تحلیل قرار داده و برای مدیریت شبکه و امنیت آن استفاده کنید.
- برای پیکربندی Accounting در روتر سیسکو، شما میتوانید از روشهای زیر استفاده کنید:
- استفاده از سرویسهای AAA:
- – استفاده از TACACS+ یا RADIUS: اگر از سرورهای TACACS+ یا RADIUS برای Authentication و Authorization استفاده میکنید، میتوانید تنظیمات مربوط به Accounting را در سرورها انجام دهید. سپس روتر سیسکو را به سرور متصل کرده و تنظیمات مربوط به Accounting را در روتر پیکربندی کنید.
- استفاده از توابع داخلی روتر سیسکو :
- – استفاده از کارتهای دسترسی (Access Cards): در برخی مدلهای روتر سیسکو، میتوانید از کارتهای دسترسی استفاده کنید تا فعالیتهای کاربران را ثبت و رصد کنید. این کارتها معمولاً دارای پردازشگرهای مجزا بوده و برای انجام Accounting استفاده میشوند.
- استفاده از لوگها (Logs):
- – روترهای سیسکو میتوانند رویدادهای مختلف شبکه را در لوگها ثبت کنند. شما میتوانید تنظیمات مربوط به لوگها را در روتر پیکربندی کنید تا اطلاعات مربوط به Authentication، Authorization و دیگر رویدادها را ثبت و مشاهده کنید.
- برای پیکربندی تعیین سطح دسترسی در روتر سیسکو Cisco Router، شما باید از دستورات مربوطه در حالت تنظیمات استفاده کنید و تنظیمات خاصی را بر اساس نیاز شبکه خود تعیین کنید. همچنین، باید نوع و جزئیات ثبت و رصد فعالیتها را تعیین کنید .
دستور Hostname برای تنظیمات روتر سیسکو:
دستور “hostname” در روترهای سیسکو برای تعیین نام دستگاه استفاده میشود. این دستور به شما امکان میدهد نام روتر را تنظیم کنید تا به صورت شناخته شده در شبکه شناسایی شود. برای تنظیم نام روتر سیسکو، میتوانید مراحل زیر را دنبال کنید:
1. وارد حالت تنظیمات روتر شوید. برای این کار، از حالت EXEC خارج شده و وارد حالت تنظیمات روتر شوید. میتوانید از دستور “enable” و سپس “configure terminal” استفاده کنید.
2. دستور “hostname” را وارد کنید، سپس نام مورد نظر برای روتر را وارد کنید. به عنوان مثال، اگر میخواهید نام روتر را “Router-1” قرار دهید، دستور زیر را وارد کنید:
hostname Router-1
3. تغییرات را ذخیره کنید. پس از تنظیم نام روتر، باید تغییرات را ذخیره کنید تا در پیکربندی دائمی روتر نیز اعمال شوند. برای ذخیره تغییرات، از دستور “write” یا “copy running-config startup-config” استفاده کنید.
حالا نام روتر سیسکو به نامی که تنظیم کردهاید تغییر خواهد کرد و میتوانید از آن در تنظیمات و مدیریت شبکه استفاده کنید.
دستور NO IP Domain-Lookup
دستور “no ip domain-lookup” در روترهای سیسکو برای غیرفعال کردن عملیات جستجوی دامنه (Domain Lookup) برای آدرسهای نام دامنه (DNS) استفاده میشود. وقتی این دستور فعال است، اگر شما به طور اشتباه یک دستور نامعتبر را وارد کنید، روتر سعی میکند آن را به عنوان نام دامنه در نظر بگیرد و سعی در جستجوی آن در DNS میکند. این میتواند باعث تأخیر در اجرای دستورات و ناخوانا شدن خروجی روتر شود.
برای غیرفعال کردن جستجوی دامنه در روتر سیسکو، میتوانید مراحل زیر را دنبال کنید:
1. وارد حالت تنظیمات روتر شوید. برای این کار، از حالت EXEC خارج شده و وارد حالت تنظیمات روتر شوید. میتوانید از دستور “enable” و سپس “configure terminal” استفاده کنید.
2. دستور “no ip domain-lookup” را وارد کنید. با اجرای این دستور، عملیات جستجوی دامنه غیرفعال میشود. دستور به صورت زیر است:
no ip domain-lookup
3. تغییرات را ذخیره کنید. پس از غیرفعال کردن جستجوی دامنه، باید تغییرات را ذخیره کنید تا در پیکربندی دائمی روتر نیز اعمال شوند. برای ذخیره تغییرات، از دستور “write” یا “copy running-config startup-config” استفاده کنید.
با اجرای دستور بالا، جستجوی دامنه در روتر سیسکو غیرفعال میشود و از این پس روتر در صورت وارد کردن دستور نامعتبر، تلاشی برای جستجو در DNS نخواهد داشت.
دستور AAA برای تنظیمات روتر سیسکو
دستور “aaa” در روترهای سیسکو برای تنظیمات مربوط به Authentication, Authorization و Accounting (سه A اصلی) استفاده میشود. این دستور به شما امکان میدهد سیستم AAA را پیکربندی کنید تا فرآیندهای مختلف از جمله ورود به سیستم، سطح دسترسی و ثبت و رصد را مدیریت کنید. دستور “aaa” شامل تنظیمات مربوط به AAA شامل AAA authentication، AAA authorization و AAA accounting است.
برای تنظیمات AAA در روتر سیسکو، میتوانید مراحل زیر را دنبال کنید:
1. وارد حالت تنظیمات روتر شوید. برای این کار، از حالت EXEC خارج شده و وارد حالت تنظیمات روتر شوید. میتوانید از دستور “enable” و سپس “configure terminal” استفاده کنید.
2. دستور “aaa new-model” را وارد کنید. این دستور را برای فعال کردن سیستم AAA در روتر استفاده میکنیم.
aaa new-mode
3. تنظیمات Authentication را پیکربندی کنید:
– برای استفاده از TACACS+:
aaa authentication login default group tacacs+ local
– برای استفاده از RADIUS:
aaa authentication login default group radius local
در هر دو حالت بالا، ابتدا سعی خواهد شد با استفاده از TACACS+ یا RADIUS احراز هویت کنید و در صورت ناموفقیت، به عنوان راه پشتیبان، از احراز هویت محلی استفاده خواهد شد.
4. تنظیمات Authorization را پیکربندی کنید:
– برای استفاده از TACACS+:
aaa authorization exec default group tacacs+ if-authenticated
– برای استفاده از RADIUS:
aaa authorization exec default group radius if-authenticated
با اجرای این دستور، دسترسی کاربران پس از احراز هویت به صورت مبتنی بر سطح دسترسی مشخص شده در سرور TACACS+ یا RADIUS تعیین خواهد شد.
5. تنظیمات Accounting را پیکربندی کنید:
– برای استفاده از TACACS+:
aaa accounting exec default start-stop group tacacs+
برای استفاده از RADIUS:
aaa accounting exec default start-stop group radius
با اجرای این دستور، فعالیتهای کاربران در شبکه ثبت و رصد خواهند شد و به سرور TACACS+ یا RADIUS ارسال خواهند شد.
6. تغییرات را ذخیره کنید. پس از پیکربندی تنظیمات AAA، باید تغییرات را ذخیره کنید تا در پیکربندی دائمی روتر نیز اعمال شوند. برای ذخیره تغییرات، از دستور “write” یا “copy running-config startup-config” استفاده کنید.
با اجرای مراحل فوق، تنظیمات AAA در روتر سیسکو پیکربندی میشود و شما میتوانید از امکانات مدیریت و کنترل دسترسی و ثبت و رصد سیستم AAA بهره ببرید. لازم به ذکر است که تنظیمات دقیق و متناسب با نیازهای شبکه خود را باید با توجه به محیط و سناریو خاص خود پیکربندی کنید.در زیر یک نمونه از تنظیمات قرار داده شده.
Router-1(config)# aaa new-mode
Router-1(config)# aaa authentication login default loca
Router-1(config)# username Cisco Password Cisco
Router-1(config)# enable secret Cisco123
دستور Service password-encryption
دستور “service password-encryption” در روترهای سیسکو برای رمزنگاری (تاری) رمزهای عبور (پسوردها) موجود در تنظیمات روتر استفاده میشود. با استفاده از این دستور، رمزهای عبور در تنظیمات روتر به صورت رمزنگاری شده نمایش داده میشوند، به طوری که کسی که تنظیمات را مشاهده میکند نمیتواند رمزهای عبور را به صورت آشکار مشاهده کند.
برای فعال کردن رمزنگاری رمزهای عبور در روتر سیسکو، میتوانید مراحل زیر را دنبال کنید:
1. وارد حالت تنظیمات روتر شوید. برای این کار، از حالت EXEC خارج شده و وارد حالت تنظیمات روتر شوید. میتوانید از دستور “enable” و سپس “configure terminal” استفاده کنید.
2. دستور “service password-encryption” را وارد کنید. با اجرای این دستور، رمزهای عبور در تنظیمات روتر به صورت رمزنگاری شده نمایش داده خواهند شد.
service password-encryption
3. تغییرات را ذخیره کنید. پس از فعال کردن رمزنگاری رمزهای عبور، باید تغییرات را ذخیره کنید تا در پیکربندی دائمی روتر نیز اعمال شوند. برای ذخیره تغییرات، از دستور “write” یا “copy running-config startup-config” استفاده کنید.
با اجرای مراحل فوق، رمزهای عبور موجود در تنظیمات روتر سیسکو به صورت رمزنگاری شده نمایش داده میشوند و کسی که تنظیمات را مشاهده میکند نمیتواند رمزهای عبور را به صورت آشکار مشاهده کند. این کار میتواند امنیت روتر را در مواجهه با حملات نفوذ کنندگان به شبکه افزایش دهد.
دستور Write Memory
دستور “write memory” در روترهای سیسکو برای ذخیره تنظیمات فعلی روتر در حافظه دائمی (NVRAM) استفاده میشود. با اجرای این دستور، تنظیمات فعلی روتر که در حافظه موقت (RAM) ذخیره شدهاند، به حافظه دائمی منتقل میشوند تا در صورت راهاندازی مجدد روتر، تنظیمات دائمی بازیابی شود و از آنها استفاده شود.
برای استفاده از دستور “write memory” در روتر سیسکو، میتوانید مراحل زیر را دنبال کنید:
1. وارد حالت تنظیمات روتر شوید. برای این کار، از حالت EXEC خارج شده و وارد حالت تنظیمات روتر شوید. میتوانید از دستور “enable” و سپس “configure terminal” استفاده کنید.
2. دستور “write memory” یا “copy running-config startup-config” را وارد کنید. هر دو دستور به صورت معادل استفاده میشوند و تنظیمات فعلی روتر را در حافظه دائمی ذخیره میکنند.
write memory
یا
copy running-config startup-config
3. صبر کنید تا عملیات ذخیرهسازی تمام شود. عملیات ذخیرهسازی ممکن است چند لحظه طول بکشد، به ویژه در صورتی که تنظیمات بزرگی در روتر وجود داشته باشد. صبر کنید تا پیامی مبنی بر اتمام عملیات ذخیرهسازی نمایش داده شود.
4. خروج کنید. پس از اتمام عملیات ذخیرهسازی، میتوانید از حالت تنظیمات خارج شده و به حالت EXEC برگردید. میتوانید از دستور “exit” استفاده کنید.
با اجرای مراحل فوق، تنظیمات فعلی روتر در حافظه دائمی ذخیره میشوند و در صورت راهاندازی مجدد روتر، تنظیمات دائمی بازیابی و از آنها استفاده خواهند شد. این کار باعث اطمینان از حفظ تنظیمات و پیکربندیهای شبکه شما در صورت خاموشی یا راهاندازی مجدد روتر میشود.