مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

آموزش راه‌اندازی SSH روی روتر و سوئیچ سیسکو به زبان ساده

اگه یه مدیر شبکه باشی یا با تجهیزات سیسکو کار کرده باشی، حتماً می‌دونی که دسترسی از راه دور به روتر و سوئیچ چقدر مهمه. تا چند سال پیش، بیشتر افراد از Telnet برای این کار استفاده می‌کردن، ولی مشکلش اینه که اطلاعات رو بدون رمزگذاری می‌فرسته، یعنی هر کسی توی شبکه می‌تونه یوزرنیم و پسوردتو ببینه! برای همین SSH (Secure Shell) بهترین جایگزینه، چون تمام اطلاعات رو رمزنگاری می‌کنه و امنیت بالاتری داره. توی این آموزش، بهت یاد می‌دم چطور روی یه روتر یا سوئیچ سیسکو SSH رو فعال کنی و از راه دور و ایمن بهش وصل بشی.

مجموعه دوره آموزش سیسکو (Cisco) - مقدماتی تا پیشرفته

برای شروع آموزش سیسکو کلیک کن

سرفصل های این مطلب

بررسی سناریو : اتصال امن از راه دور به روتر و سوئیچ سیسکو
سوالات متداول

بررسی سناریو : اتصال امن از راه دور به روتر و سوئیچ سیسکو

فرض کن یه روتر سیسکو داری که آدرس IP داخلیش 192.168.1.1 هست و می‌خوای از طریق SSH بهش وصل بشی. حالا می‌خوایم مرحله‌به‌مرحله تنظیمات لازم رو انجام بدیم.

۱. بررسی پیش‌نیازها برای راه‌اندازی SSH روی روتر و سوئیچ سیسکو

قبل از اینکه تنظیمات رو انجام بدی، این موارد رو چک کن:

نسخه‌ی IOS سیسکو: بعضی نسخه‌های قدیمی از SSH پشتیبانی نمی‌کنن. برای بررسی:

Router# show version

فعال بودن قابلیت رمزنگاری (Crypto):

Router# show ip ssh

نام و دامنه‌ی دستگاه: لازمه که hostname و domain name رو تنظیم کنیم.

دسترسی به محیط CLI: باید از طریق کنسول یا Telnet به دستگاه وصل باشی تا SSH رو فعال کنی.

۲. مراحل راه‌اندازی SSH روی روتر و سوئیچ سیسکو

مرحله ۱: تنظیم نام و دامنه‌ی دستگاه

Router(config)# hostname MyRouter
Router(config)# ip domain-name example.com

مرحله ۲: ایجاد کلیدهای رمزگذاری برای SSH

Router(config)# crypto key generate rsa

وقتی این دستور رو اجرا کنی، ازت می‌پرسه که کلید چقدر بزرگ باشه. پیشنهاد می‌کنم ۲۰۴۸ بیت یا بالاتر انتخاب کنی:

How many bits in the modulus [512-4096]? 2048

مرحله ۳: فعال کردن SSH نسخه ۲

Router(config)# ip ssh version 2

مرحله ۴: ایجاد کاربر و تعیین سطح دسترسی

Router(config)# username admin privilege 15 secret StrongP@ssw0rd

مرحله ۵: تنظیم خطوط VTY برای پذیرش اتصال SSH

Router(config)# line vty 0 4
Router(config-line)# login local
Router(config-line)# transport input ssh
Router(config-line)# exit

نکته: با این کار، Telnet غیرفعال می‌شه و فقط SSH فعال می‌مونه.

۳. تست اتصال SSH به روتر و سوئیچ سیسکو

حالا وقتشه که SSH رو تست کنیم. اگه از ویندوز استفاده می‌کنی، می‌تونی از Putty یا PowerShell استفاده کنی. اگه روی لینوکس یا مک هستی، کافیه این دستور رو اجرا کنی:

ssh -l admin 192.168.1.1

اگه همه‌چی درست باشه، سیستم ازت رمز عبور می‌خواد و بعدش وارد دستگاه می‌شی.

برای بررسی وضعیت SSH هم می‌تونی این دستور رو اجرا کنی:

Router# show ip ssh

۴. افزایش امنیت SSH روی روتر و سوئیچ سیسکو

محدود کردن دسترسی SSH به یک شبکه خاص (مثلاً فقط کاربرانی که توی رنج 192.168.1.0/24 هستن بتونن وصل بشن):

Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# line vty 0 4
Router(config-line)# access-class 10 in

تغییر پورت پیش‌فرض SSH (۲۲ به ۲۲۲۲)

Router(config)# ip ssh port 2222 rotary 1

تنظیم محدودیت‌های امنیتی بیشتر

Router(config)# ip ssh authentication-retries 3
Router(config)# ip ssh time-out 60

۵. عیب‌یابی مشکلات متداول در راه‌اندازی SSH روی سیسکو

مشکل: نمی‌تونم از طریق SSH به دستگاه وصل بشم

بررسی کن که دستور transport input ssh توی خطوط VTY تنظیم شده باشه.

مشکل: خطای RSA key too small

اگه از نسخه‌های جدید OpenSSH استفاده می‌کنی، باید کلید ۲۰۴۸ بیت یا بیشتر باشه.

مشکل: دسترسی من رد می‌شه (Access Denied)

نام کاربری و رمز عبورت رو بررسی کن.
مطمئن شو که یوزرت privilege 15 داره.

۶. جمع‌بندی و نکات مهم

حالا یه SSH امن روی روتر یا سوئیچ سیسکو داری!
همیشه از SSH نسخه ۲ استفاده کن.
برای امنیت بیشتر، پورت پیش‌فرض رو تغییر بده.
Telnet رو غیرفعال کن تا کسی نتونه به راحتی شنود کنه.
حتماً رمز عبور قوی و ACL محدود کننده بذار.
برای افزایش امنیت، SSH رو فقط روی شبکه‌های خاص فعال کن.

سوالات متداول

چرا نمی‌تونم از طریق SSH وصل بشم؟

بررسی کن که خطوط VTY درست تنظیم شده باشن و transport input ssh فعال باشه.

چطور می‌تونم ببینم چه کسی به دستگاه از طریق SSH متصل شده؟

با دستور show users می‌تونی کاربران متصل رو ببینی

آیا می‌شه SSH رو روی چند پورت مختلف تنظیم کرد؟

نه، ولی می‌تونی پورت پیش‌فرض رو تغییر بدی

12 13

جعفر قنبری شوهانی

مهندس و مدرس زیرساخت و امنیت و مدیر ارشد وب سایت توسینسو

جعفر قنبری شوهانی ، مهندس و مدرس شبکه ، آشنایی من با شبکه برمی گرده به سال 1382 که دوره NT و Novel رو گذروندم و الان حدود 15 ساله سابقه اجرایی در سطح Enterprise (بانک ها ، موسسه مالی ، ادارات دولتی ، سرویس پروایدر) را دارم و در حال حاضر به عنوان مهندس شبکه در شرکت توزیع برق مشهد و به عنوان مدیر ارشد و مدرس شبکه در سایت ToSinSo مشغول به کار هستم. در اکثرا حوزه های شبکه کار کردم و تجربه دارم اما تخصص اصلیم رو در حوزه زیرساخت و امنیت اون میدونم

نظرات

البرز - کرج - شاهین ویلا - نبش خیابان هفتم شرقی - مجتمع تجاری مهرگان - طبقه 6 - واحد 704

زمان پاسخ گویی روز های شنبه الی چهارشنبه ساعت 9 الی 18

فقط به موضوعات مربوط به محصولات آموزشی و فروش پاسخ داده می شود

شماره تماس: 02634209662

پشتیبانی تلگرام: کلیک کنید

توسینسو، جایی برای یادگیری واقعی! ما فقط یک وب ‌سایت آموزشی نیستیم، بلکه یک جامعه تخصصی از حرفه‌ای‌ های IT هستیم که دانش و تجربه رو بی ‌واسطه به اشتراک می‌گذارند. بیش از ۱۰ سال است که با ارائه هزاران مقاله، دوره آموزشی و همکاری با اساتید بین‌ المللی و متخصصین مجرب، بستری را فراهم کرده‌ایم که علاقه‌مندان بتوانند مهارت ‌های خود را در زمینه امنیت، شبکه، برنامه ‌نویسی و فناوری‌ های پیشرفته توسعه دهند. آموزش‌ های ما پروژه‌ محور و عملی هستند تا کاربران برای ورود قوی به بازار کار آماده شوند و مشکلات واقعی IT را با راهکارهای حرفه‌ ای حل کنند. توسینسو جایی است که یادگیری، تجربه و موفقیت در کنار هم معنا پیدا می‌کنند و حرفه‌ای‌ها رشد می‌کنند!

کلیه حقوق این وب سایت متعلق به مجموعه توسینسو است