Cấu hình Telnet Bước 1 Tạo User Một tài khoản trên router/switch có thể có các quyền từ 0 đến 15 Khi user quyền level 1 login vào router/sw sẽ hiện ra dấu >, chỉ thao tác được 1 số lệnh nhất định Quyề[.]
Cấu hình Telnet Bước 1: Tạo User Một tài khoản router/switch có quyền từ đến 15 Khi user quyền level login vào router/sw dấu >, thao tác số lệnh định Quyền cao 15, thao tác full lệnh, user có quyền 15 telnet/ssh vào mode enable #, mà không cần gõ password enable username cisco password cisco username cisco privilege Sau ta gán cho dùng lệnh show ip access-list (vì mặc định level khơng xem được) privilege exec level show ip access-list Lưu ý: lệnh show run level 15 dùng được, kể ta gán cho level show run khơng Để xem user ta dùng có level ta dùng lệnh show privilege Leo thang đặc quyền: Khi ta dùng user cisco ,đang level mà ta biết password level 15 nhảy lên level 15 theo lệnh: enable 15 Password: (Nhập password) Bước 2: Setup password Enable cho Switch Cisco SW-Core#conf t SW-Core(config)#enable password yourpasswod Bước 3: Bật tính Telnet VTY line vty login local transport input telnet exit ! Lênh login local để chi định chứng thực dựa tài khoản thiết bị Nếu bạn có Server Radius TACACS bạn cấu hình AAA chọn kiểu chứng thực qua Radius TACACS Bước 4: Chỉ định thời gian timeout Thời gian timeout thời gian kết thúc phiên telnet, giá trị tính phút Ví dụ cấu hình timeout phút: CNTTShop(config)# line vty CNTTShop(config-line)# exec-timeout Bạn thêm ACLs phép mạng cụ thể phép SSH vào cho phép SSH vào mạng cụ thể Dải IP thường dùng riêng cho VLAN Management Bước 1: Tạo Access-list Access-list permit 192.168.1.0 0.0.0.0.255 Bước 2: Gán vào VTY Line vty Access-class in Cấu hình SSH Điều kiện tiên Yêu cầu Phiên Cisco IOS sử dụng phải k9(crypto) để hỗ trợ SSH Các bạn kiểm tra version thông qua lệnh show version Các phiên SSH Server Phiên 1.0 (SSH v1) giới thiệu bắt đầu sử dụng từ phiên Cisco IOS 12.0.5.S SSH client giới thiệu bắt đầu sử dụng từ phiên Cisco IOS 12.1.3.T SSH terminal-line access (reverse-Telnet) giới thiệu bắt đầu sử dụng từ phiên Cisco IOS 12.2.2.T SSH Version 2.0 (SSH v2) giới thiệu bắt đầu sử dụng từ phiên Cisco IOS 12.1(19)E Bạn phải kiểm tra phiên IOS tại, thấp download IOS để update cho switch Cấu hình SSH với RSA Bước 1: Thay đổi hostname domain name Switch(config)#hostname CNTTShop CNTTShop(config)#ip domain-name cnttshop.vn Bước 2: Chọn phiên SSH CNTTShop(config)#ip ssh version Bước 3: Định nghĩa RSA key Bạn phải tạo domain-name trước tạo RSA Key Lúc RSA key tạo theo hostname.domain-name Trong ví dụ RSA key tạo theo CNTTShop.cnttshop.vn Khi định nghĩa RSA key, bạn hỏi độ dài key Size có giá trị từ 360 đến 4096 Mặc định 512 Nếu bạn chọn size mặc định 512 SSH v1.5 bật Để sử dụng SSH v2 bạn phải chọn giá trị từ 768 đến 4096 Giá trị cao key khó để crack Switch(config)#crypto key generate rsa The name for the keys will be: CNTTShop.cnttshop.vn Choose the size of the key modulus in the range of 360 to 4096 for your General Purpose Keys Choosing a key modulus greater than 512 may take a few minutes How many bits in the modulus [512]: 768 % Generating 768 bit RSA keys, keys will be non-exportable [OK] (elapsed time was seconds) Bước 4: Tạo tài khoản SSH Bạn phân quyền sử dụng cho client dựa vào số privilege Giá trị từ đến 15 với giá trị 15 nghĩa bạn có tồn quyền với thiết bị CNTTShop(config)#username cisco privilege 15 password cisco@123 Bước 5: Bật tính SSH VTY CNTTShop(config)# line vty CNTTShop(config-line)# login local CNTTShop(config-line)# transport input ssh CNTTShop(config-line)# exit Lênh login local để chi định chứng thực dựa tài khoản thiết bị Nếu bạn có Server Radius TACACS bạn cấu hình AAA chọn kiểu chứng thực qua Radius TACACS Bước 6: Chỉ định thời gian timeout Thời gian timeout thời gian kết thúc phiên SSH, giá trị tính phút Ví dụ cấu hình timeout phút: CNTTShop(config)# line vty CNTTShop(config-line)# exec-timeout Như bạn cấu hình SSH để truy cập từ xa Bạn thêm ACLs phép mạng cụ thể phép SSH vào cho phép SSH vào mạng cụ thể Dải IP thường dùng riêng cho VLAN Management Bước 1: Tạo Access-list Access-list permit 192.168.1.0 0.0.0.0.255 Bước 2: Gán vào VTY Line vty Access-class in