Cấu hình Telnet Bước 1 Tạo User Một tài khoản trên router/switch có thể có các quyền từ 0 đến 15 Khi user quyền level 1 login vào router/sw sẽ hiện ra dấu >, chỉ thao tác được 1 số lệnh nhất định Quyề[.]
Trang 1Cấu hình Telnet
Bước 1: Tạo User
Một tài khoản trên router/switch có thể có các quyền từ 0 đến 15
Khi user quyền level 1 login vào router/sw sẽ hiện ra dấu >, chỉ thao tác được 1 số lệnh nhất định
Quyền cao nhất là 15, thao tác full lệnh, khi user có quyền 15 thì telnet/ssh vào luôn mode enable #, mà không cần gõ password enable
username cisco password cisco
username cisco privilege 2
Sau đó ta gán cho nó được dùng lệnh show ip access-list (vì mặc định level 2 không xem được)
privilege exec level 2 show ip access-list
Lưu ý: lệnh show run chỉ level 15 mới dùng được, kể cả khi ta gán cho các level dưới thì show run cũng không ra gì.
Để xem user ta đang dùng có level mấy thì ta dùng lệnh
show privilege
Leo thang đặc quyền:
Khi ta đang dùng user cisco ở trên ,đang ở level 2 mà ta biết password của level 15 thì có thể nhảy lên level 15 theo lệnh:
enable 15
Password: (Nhập password)
Bước 2: Setup password Enable cho Switch Cisco
SW-Core#conf t
SW-Core(config)#enable password yourpasswod
Trang 2Bước 3: Bật tính năng Telnet trên VTY
line vty 0 4
login local
transport input telnet
exit
!
Lênh login local để chi định chứng thực dựa trên tài khoản trên thiết bị Nếu bạn có
1 Server Radius hoặc TACACS bạn có thể cấu hình AAA và chọn kiểu chứng thực qua Radius hoặc TACACS
Bước 4: Chỉ định thời gian timeout
Thời gian timeout là thời gian kết thúc phiên telnet, giá trị này được tính bằng phút Ví dụ cấu hình timeout là 5 phút:
CNTTShop(config)# line vty 0 4
CNTTShop(config-line)# exec-timeout 5
Bạn có thể thêm ACLs để chỉ cho phép 1 mạng con cụ thể được phép SSH vào hoặc chỉ cho phép SSH vào 1 mạng con cụ thể Dải IP này thường dùng riêng cho VLAN Management
Bước 1: Tạo Access-list
Access-list 1 permit 192.168.1.0 0.0.0.0.255
Bước 2: Gán vào VTY
Line vty 0 4
Access-class 1 in
Trang 3Cấu hình SSH
Điều kiện tiên quyết
1 Yêu cầu
Phiên bản Cisco IOS được sử dụng phải là k9(crypto) để hỗ trợ SSH Các bạn có thể kiểm tra version thông qua lệnh show version
2 Các phiên bản
SSH Server Phiên bản 1.0 (SSH v1) đã được giới thiệu và bắt đầu sử dụng từ phiên bản Cisco IOS 12.0.5.S
SSH client đã được giới thiệu và bắt đầu sử dụng từ phiên bản Cisco IOS 12.1.3.T SSH terminal-line access (reverse-Telnet) đã được giới thiệu và bắt đầu sử dụng từ phiên bản Cisco IOS 12.2.2.T
SSH Version 2.0 (SSH v2) đã được giới thiệu và bắt đầu sử dụng từ phiên bản Cisco IOS 12.1(19)E
Bạn phải kiểm tra phiên bản IOS hiện tại, nếu thấp hơn có thể download bản IOS mới nhất về để update cho switch
3 Cấu hình SSH với RSA
Bước 1: Thay đổi hostname và domain name
Switch(config)#hostname CNTTShop
CNTTShop(config)#ip domain-name cnttshop.vn
Trang 4Bước 2: Chọn phiên bản SSH
CNTTShop(config)#ip ssh version 2
Bước 3: Định nghĩa RSA key
Bạn phải tạo 1 domain-name trước thì mới tạo được RSA Key Lúc này RSA key
sẽ được tạo theo hostname.domain-name Trong ví dụ trên thì RSA key sẽ được tạo theo CNTTShop.cnttshop.vn
Khi định nghĩa RSA key, bạn sẽ được hỏi độ dài của key Size này có giá trị từ 360 đến 4096 Mặc định là 512 Nếu bạn chọn size mặc định là 512 thì SSH v1.5 sẽ được bật Để sử dụng SSH v2 bạn phải chọn giá trị này từ 768 đến 4096 Giá trị càng cao thì key càng khó để crack
Switch(config)#crypto key generate rsa
The name for the keys will be: CNTTShop.cnttshop.vn
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys Choosing a key modulus greater than 512 may take
a few minutes
How many bits in the modulus [512]: 768
% Generating 768 bit RSA keys, keys will be non-exportable
[OK] (elapsed time was 2 seconds)
Bước 4: Tạo tài khoản SSH
Bạn có thể phân quyền sử dụng cho client dựa vào chỉ số privilege Giá trị này từ 0 đến 15 với giá trị 15 nghĩa là bạn có toàn quyền với thiết bị
CNTTShop(config)#username cisco privilege 15 password cisco@123
Bước 5: Bật tính năng SSH trên VTY
CNTTShop(config)# line vty 0 4
Trang 5CNTTShop(config-line)# login local
CNTTShop(config-line)# transport input ssh
CNTTShop(config-line)# exit
Lênh login local để chi định chứng thực dựa trên tài khoản trên thiết bị Nếu bạn có
1 Server Radius hoặc TACACS bạn có thể cấu hình AAA và chọn kiểu chứng thực qua Radius hoặc TACACS
Bước 6: Chỉ định thời gian timeout
Thời gian timeout là thời gian kết thúc phiên SSH, giá trị này được tính bằng phút
Ví dụ cấu hình timeout là 5 phút:
CNTTShop(config)# line vty 0 4
CNTTShop(config-line)# exec-timeout 5
Như vậy là bạn đã cấu hình SSH để truy cập từ xa Bạn có thể thêm ACLs để chỉ cho phép 1 mạng con cụ thể được phép SSH vào hoặc chỉ cho phép SSH vào 1 mạng con cụ thể Dải IP này thường dùng riêng cho VLAN Management
Bước 1: Tạo Access-list
Access-list 1 permit 192.168.1.0 0.0.0.0.255
Bước 2: Gán vào VTY
Line vty 0 4
Access-class 1 in