Admin Talk'21 "Enable SSH on Cisco Switch"
อ่าตั้งกะเริ่มเขียน blog "Admin Talk" ของตัวเอง แรกๆ ก็คิดในใจว่าตูจะเขียนไปได้สักกี่ตอนฟะ ไม่น่าเชื่อว่าจะผ่านมา 20 ตอนแล้ว มีทั้งเขียนวกไปวนมา งี่เง่า ปัญญาอ่อน แต่ช่างมันเต๊อะ เขียนไปเรื่อยๆ เหมือนเป็นการสะสมไมล์ เขียนแต่เรื่องไร้สาระมานานคราวนี้เลยอยากจะแทรกความรู้ประเทืองปัญญาลงไปบ้าง (เอาไว้เผื่อลืมๆ จะได้กลับมาค้นได้ง่ายๆ) ที่แรกตั้งใจจะเอาตัว wikipidia มาลงไว้บนเว็บทำเป็นคลังความรู้ ทำไปทำมาขี้เกียจว่ะ ดูแล้ววุ่นวาย เขียนใส่ blog ของใครของมันนี่หละ
เอาล่ะ Admin Talk วันนี้เสนอตอน "SSH กับ Cisco Switch" โดยวันนี้อาตมาจะแนะนำวิธีการ Configure Switch Cisco ให้เปิดใช้งาน Secure Shell (SSH) แทนการใช้ telnet ธรรมด๊า ธรรมดา ในการ remote เข้าไป Configure อุปกรณ์นะครับ
ก่อนอื่นต้องทำความเข้าใจความแตกต่างระหว่างการใช้งาน Telnet กับ SSH ก่อน เมื่อก่อนสมัยเรียนหลายๆ คนคงเคยใช้คำสั่ง Telnet เพื่อเชื่อมต่อไปยังอุปกรณ์ต่างๆ เช่น switch , router แต่การใช้ telnet นั้นมีข้อเสียร้ายแรงคือ มันส่งข้อมูลเป็น Clear Text ซึ่งตูเคยทดสอบโดยการดักจับข้อมูลที่วิ่งโดยใช้ telnet ปรากฎว่าเอ็งพิมพ์ไรมาตูเห็นหมด แถมเป็น Clear Text อ่านซาบ๊าย สบาย Password นี่เห็นจะๆ ไม่ต้องกลับให้วุ่นวายเหมือนหวยใต้ดิน
ด้วยเหตุนี้ Protocol ที่ถูกส่งมาช่วยวิกฤตโลกก็คือ SSH เพราะเจ้านี่จะทำการเข้ารหัสข้อมูลเป็นภาษามนุษย์ต่างดาวก่อนทำการรับส่งกัน ทำให้คนที่แอบดักข้อมูลมันอ่านไม่รู้เรื่องนั่นเอง เอาล่ะโม้มาเยอะแล้วเข้าสู่ขั้นตอนทางเทคนิค ใครต้องการรู้แค่ว่า telnet กะ ssh มันต่างกันไงก็ไม่ต้องอ่านต่อก็ได้นะ
คำสั่งที่ใช้ในการ Configure มีดังนี้
aaa new-model
username cisco password 0 cisco
line vty 0 4 <-- กำหนดให้สามารถ remote เข้ามาจากเครื่องอื่นๆ ได้พร้อมกัน 5 เครื่อง
transport input ssh<--- กำหนดให้อนุญาติเฉพาะ ssh เท่านั้นที่สามารถ remote เข้ามาได้ telnet หมดสิทธิ์
ip domain-name rtp.cisco.com <-- ใส่ default domain ของ บ.เราลงไปด้วย ไม่มีไม่ต้องใส่
cry key generate rsa <-- ส่วนนี้เป็นการสร้าง SSH Key
ip ssh time-out 60 <-- กำหนด time out = 60 วินาที
ip ssh authentication-retries 2 <-- กำหนดให้ retry กี่ครั้งถ้าไม่สำเร็จ
สำหรับเครื่องที่จะ SSH เข้าหาอุปกรณ์ก็ต้องหาโปรแกรมมาลง สำหรับตู ตูใช้ SecureCRT นะครับ แล้วก็เซ็ตตามภาพ
สังเกตว่าตรงช่อง Protocol จะมีทั้ง SSH1 และ SSH2 ให้เลือก ขึ้นอยู่กับว่าเราจะกำหนดให้อุปกรณ์ของเรารับ connection แบบไหนบ้าง หรือไม่แน่ใจก็เอาทั้งสองแบบ เอิ๊ก ไม่ต้องสงสัยเลขตามหลังคือเวอร์ชั่น เป็นไปได้ก็ให้ใช้เป็น 2 เพราะ ของใหม่ย่อมดีกว่าใช่มะ ที่สำคัญคือ SSH1 มันมีคน Hack ได้แล้วอ่ะ 5555
คำสั่งที่ใช้ตรวจสอบว่าบน switch cisco ของเรามันใช้เวอร์ชั่นไหนอยู่ก็คือ
show ip ssh—Displays the version and configuration data for SSH.
Version 1 Connection and no Version 2
carter#show ip ssh
SSH Enabled - version 1.5
Authentication timeout: 60 secs; Authentication retries: 2Version 2 Connection and no Version 1
carter#show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3Version 1 and Version 2 Connections
carter#show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3
คำสั่งอื่นๆ เพิ่มเติม ใช้ในการ debug packet : show ip ssh , show ssh, debug ip ssh
*ถ้าจาก Cisco จะ ssh ไปหาอุปกรณ์ Cisco อีกฝั่ง ให้ใช้คำสั่ง ssh -l [username] [ip อุปกรณ์ปลายทาง] เช่น ssh -l cisco 10.x.x.x
ข้อมูลเพิ่มเติม http://www.cisco.com/warp/public/707/ssh.shtml
โปรแกรม ssh สำหรับ windows ดาวน์โหลด
ปล. พวกเพื่อนๆ เราแต่ละคนเก่งๆ ทั้งน๊านน มาช่วยกันเขียนเทคนิคเจ๋งๆ สะสมไว้เรื่อยๆ ก็ดีนะ ตูว่า
V-Factor'39
1 มิ.ย. 2550 16:30น. (วันอธิการบดีคนใหม่เข้ารับตำแหน่ง)
{moscomment}