در این مقاله به پیادهسازی یک شبکه مبتنی بر VLAN پرداختهایم که شامل چهار سوئیچ لایه ۲ و یک سوئیچ Core است. هدف از این سناریو، تقسیمبندی شبکه به چهار VLAN جداگانه و استفاده از یک VLAN مدیریتی (VLAN ۹۹) برای مدیریت تمامی سوئیچها از طریق SSH است.
آموزش تصویری فعال سازی SSH در سوئیچ سیسکو
چرا SSH در سوئیچ سیسکو مهم است؟
SSH یک پروتکل امن برای مدیریت سوئیچهای سیسکو است که جایگزین Telnet میشود. استفاده از SSH باعث رمزگذاری اطلاعات و جلوگیری از حملات MITM (Man-in-the-Middle) میشود. در این مقاله، نحوهٔ تنظیم SSH در سوئیچ سیسکو و همچنین راهکارهای عیبیابی مشکلات رایج SSH را بررسی میکنیم.
تعریف VLANها
در این سناریو، VLANهای زیر تعریف شدهاند:
| IT Department | VLAN10 |
| Human Resources Department | VLAN20 |
| Accounting Department | VLAN30 |
| Sales Department | VLAN40 |
| Management | VLAN99 برای مدیریت سوئیچها از طریق SSH |
VLANها برای تقسیمبندی شبکه به بخشهای منطقی مختلف استفاده میشوند تا ترافیک شبکه مجزا شود و امنیت بهبود یابد.
تنظیمات هر سوئیچ (SW1) تا (SW۴)
پیکربندی اولیه سوئیچها
hostname SW1
enable secret test
username admin secret test
ip domain-name test.local
crypto key generate rsa
1024
- hostname SW1: نام سوئیچ را تنظیم میکند.
- enable secret test: رمز عبور برای ورود به مد Enable را تنظیم میکند.
- username admin secret test: یک کاربر مدیریت با رمز عبور امن تعریف میکند.
- ip domain-name test.local: نام دامنه سوئیچ را تنظیم میکند که برای ایجاد کلیدهای رمزگذاری ضروری است.
- crypto key generate rsa ۱۰۲۴: کلید RSA با طول ۱۰۲۴ بیت برای SSH را ایجاد میکند.
تنظیمات SSH و خطهای کنسول و VTY
line vty 0 4
login local
loggin synchronous
exec-timeout 5 0
history size 20
transport input ssh
transport output ssh
exit
line console 0
login local
loggin synchronous
exec-timeout 5 0
history size 20
exit
- line vty ۰ ۴: تنظیمات خطهای مجازی برای اتصال راه دور (SSH) را مشخص میکند.
- login local: از احراز هویت محلی با استفاده از نام کاربری و رمز عبور تعریفشده استفاده میکند.
- transport input ssh و transport output ssh: برای اجازه دادن به ارتباطات ورودی و خروجی از طریق SSH استفاده میشود.
- line console ۰: پیکربندی کنسول فیزیکی را انجام میدهد.
تعریف VLAN ها
vlan 10
name IT
exit
vlan 99
name Management
exit
- vlan ۱۰: یک VLAN با نام IT ایجاد میکند.
- vlan ۹۹: برای مدیریت سوئیچها تعریف شده است.
پیکربندی آدرسهای IP برای VLANها
interface vlan 10
ip address 192.168.10.1 255.255.255.0
no shutdown
exit
interface vlan 99
ip address 192.168.99.2 255.255.255.0
no shutdown
exit
ip default-gateway 192.168.99.254
- interface vlan ۱۰: یک اینترفیس مجازی برای VLAN ۱۰ ایجاد میکند.
- ip address ۱۹۲٫۱۶۸٫۱۰٫۱ ۲۵۵٫۲۵۵٫۲۵۵٫۰: یک آدرس IP به آن اختصاص میدهد.
- no shutdown: این اینترفیس را فعال میکند.
- interface vlan ۹۹: اینترفیس VLAN مدیریت را پیکربندی میکند.
تنظیم درگاههای سوئیچ
interface range fastEthernet 0/1-3
switchport mode access
switchport access vlan 10
exit
interface fastEthernet 0/1
switchport mode trunk
exit
- switchport mode access: تعیین میکند که این پورتها فقط به یک VLAN متصل باشند.
- switchport access vlan ۱۰: مشخص میکند که پورتها عضو VLAN ۱۰ هستند.
- switchport mode trunk: برای پورتهای متصل به سوئیچ Core استفاده شده تا بتوانند ترافیک VLANهای مختلف را عبور دهند.
پیکربندی سوئیچ Core (SW_Core)
تعریف VLANها در سوئیچ Core
vlan 10
name IT
exit
vlan 20
name HR
exit
vlan 30
name ACC
exit
vlan 40
name Sales
exit
vlan 99
name Management
exit
- تمامی VLANهای تعریفشده در سوئیچهای لایه ۲ در سوئیچ Core نیز باید ایجاد شوند.
پیکربندی ترانک و آدرسهای IP
interface range fastEthernet 0/1-4
switchport trunk encapsulation dot1q
switchport mode trunk
exit
- switchport trunk encapsulation dot1q: پروتکل ۸۰۲٫۱Q را برای انتقال ترافیک VLANها تنظیم میکند.
- switchport mode trunk: این پورتها را در حالت ترانک قرار میدهد.
ip routing
- این دستور قابلیت مسیریابی بین VLANها را در سوئیچ Core فعال میکند.
interface vlan 99
ip address 192.168.99.254 255.255.255.0
no shutdown
exit
ip routing
interface vlan 10
ip address 192.168.10.254 255.255.255.0
no shutdown
exit
interface vlan 20
ip address 192.168.20.254 255.255.255.0
no shutdown
exit
interface vlan 30
ip address 192.168.30.254 255.255.255.0
no shutdown
exit
interface vlan 40
ip address 192.168.40.254 255.255.255.0
no shutdown
exit
- interface vlan ۹۹: یک اینترفیس مجازی برای VLAN مدیریت ایجاد میکند.
- ip address ۱۹۲٫۱۶۸٫۹۹٫۲۵۴ ۲۵۵٫۲۵۵٫۲۵۵٫۰: آدرس IP این اینترفیس را تعیین میکند.
- no shutdown: این اینترفیس را فعال میکند.
- برای بقیه vlanها هم به همین شکل یک اینترفیس برای هر آدرس ip که در vlan مشخص کردیم میزنیم.
مشکلات رایج و عیب یابی SSH در سیسکو
۱. بررسی وضعیت SSH
show ip ssh
اگر خروجی این دستور خالی باشد، SSH فعال نشده است.
۲. تست دسترسی به SSH
ssh admin@192.168.99.2
اگر اتصال برقرار نشد، ممکن است مشکل در پیکربندی VTY یا کلیدهای رمزگذاری باشد.
۳. بررسی پورتهای باز
show run | include transport
دانلود فایل های پیکربندی و سناریو
برای راحتی کار، شما میتوانید فایل Packet Tracer سناریو و دستورات CLI مورد استفاده را از طریق لینکهای زیر دانلود کنید:
نتیجهگیری
در این مقاله، یک سناریوی عملی برای پیادهسازی VLAN و مدیریت از طریق SSH را بررسی کردیم. چهار VLAN برای بخشهای مختلف سازمان و یک VLAN مدیریت برای کنترل سوئیچها در نظر گرفته شده است. تمامی سوئیچها از طریق VLAN ۹۹ قابل مدیریت هستند و ارتباطات امن SSH برای کنترل آنها پیکربندی شده است.
این پیادهسازی باعث بهبود امنیت، مدیریت متمرکز و جداسازی منطقی شبکه میشود.
