فعالسازی SSH و غیرفعالسازی Telnet در سوئیچ سیسکو

در دنیای شبکه، امنیت و مدیریت درست تجهیزات از اهمیت بسیار بالایی برخوردار است. یکی از وظایف اصلی مدیران شبکه، اطمینان از برقراری ارتباطات مدیریتی امن با سوئیچ‌ها و روترهای سیسکو است. بسیاری از مدیران هنوز از پروتکل Telnet برای دسترسی استفاده می‌کنند؛ در حالی که این پروتکل اطلاعات را بدون رمزنگاری منتقل می‌کند و تهدید جدی برای امنیت شبکه محسوب می‌شود. راه‌حل حرفه‌ای و توصیه‌شده، فعالسازی SSH است که امکان مدیریت ایمن و رمزگذاری‌شده را فراهم می‌کند. در این مقاله به‌صورت مفصل و کاربردی یاد می‌گیریم چگونه فعالسازی SSH را انجام داده و Telnet را روی سوئیچ سیسکو غیرفعال کنیم.

چرا باید Telnet غیرفعال شود؟

Telnet یکی از پروتکل‌های قدیمی برای مدیریت تجهیزات شبکه است. مشکل اصلی آن، ارسال داده‌ها به‌صورت Plain Text است؛ یعنی نام کاربری، رمز عبور و دستورات مدیریتی شما به‌راحتی قابل شنود خواهند بود. در شبکه‌هایی که امنیت مهم است، ادامه استفاده از Telnet می‌تواند موجب حملات Man-in-the-Middle و سرقت اطلاعات شود. به همین دلیل، اولین اقدام یک مدیر شبکه حرفه‌ای باید غیرفعالسازی Telnet و جایگزین کردن آن با فعالسازی SSH باشد.

فعالسازی SSH چیست و چرا اهمیت دارد؟

فعال‌سازی SSH روی سوئیچ سیسکو به شما این امکان را می‌دهد که ارتباط مدیریتی کاملاً رمزگذاری‌شده و امن داشته باشید. برخلاف Telnet، در اینجا داده‌ها در طول مسیر رمزگذاری می‌شوند و امکان شنود یا دستکاری بسیار کاهش می‌یابد. فعالسازی SSH نه‌تنها امنیت را بالا می‌برد، بلکه امروزه یک استاندارد در شبکه‌های سازمانی به شمار می‌آید.

مراحل مقدماتی برای فعالسازی SSH

قبل از اینکه بتوانید فعالسازی SSH را روی سوئیچ سیسکو انجام دهید، باید چند پیش‌نیاز را آماده کنید:

• تعریف نام و دامین روی سوئیچ: SSH نیاز دارد که یک نام میزبان (hostname) و نام دامنه (domain name) روی دستگاه تعریف شده باشد.
• ایجاد کلید رمزنگاری: بدون کلید رمزنگاری، ارتباط SSH برقرار نمی‌شود. معمولاً از کلیدهای RSA برای این کار استفاده می‌کنیم.
• ایجاد یوزر و پسورد: برای فعالسازی SSH باید حتماً حساب کاربری با سطح دسترسی مشخص وجود داشته باشد.
• تنظیم vty line: برای اینکه ارتباط SSH از راه دور پذیرفته شود، باید پورت‌های مدیریتی (vty line) به درستی پیکربندی شوند.

دستورهای موردنیاز برای فعالسازی SSH

در ادامه یک سناریوی ساده از فعالسازی SSH را مرور می‌کنیم:

Switch> enable
Switch# configure terminal
Switch(config)# hostname Switch1
Switch1(config)# ip domain-name itman.local
Switch1(config)# crypto key generate rsa
Switch1(config)# username admin privilege 15 secret StrongPass123
Switch1(config)# line vty 0 4
Switch1(config-line)# login local
Switch1(config-line)# transport input ssh
Switch1(config-line)# exit
Switch1(config)# ip ssh version 2

در این پیکربندی:

• نام دستگاه به Switch1 تغییر داده شد.
• دامین itman.local تنظیم شد.
• کلید رمزنگاری RSA ساخته شد.
• کاربر admin با پسورد قوی تعریف شد.
• در بخش vty دسترسی تنها از طریق SSH مجاز شد.
• نسخه 2 پروتکل SSH فعال شد که امنیت بیشتری دارد.

غیرفعالسازی Telnet

برای غیرفعال کردن Telnet کافی است روی vty lines دستور زیر را اعمال کنید:

Switch(config-line)# transport input ssh

با این دستور، فقط SSH فعال خواهد بود و پروتکل Telnet دیگر امکان اتصال نخواهد داشت. این کار به‌طور کامل دسترسی‌های ناامن را مسدود می‌کند.

مزایای فعالسازی SSH در سوئیچ سیسکو

1. امنیت بالا: ارتباط رمزنگاری شده و غیرقابل شنود.
2. مدیریت از راه دور مطمئن: امکان مدیریت سوئیچ‌ها حتی از طریق اینترنت.
3. پشتیبانی از Authentication قوی: امکان استفاده از یوزرهای لوکال یا AAA.
4. سازگاری با ابزارهای مدیریتی: مانند Putty، SecureCRT یا OpenSSH.
5. استاندارد سازمانی: در همه دیتاسنترهای مدرن، فعالسازی SSH یک الزام است.

مشکلات رایج در فعالسازی SSH

گاهی اوقات مدیران شبکه هنگام فعالسازی SSH با خطا روبرو می‌شوند. برخی از رایج‌ترین مشکلات:

• فراموش کردن تعریف hostname یا domain name.
• عدم تولید کلید رمزنگاری.
• پیکربندی اشتباه vty lines.
• نسخه قدیمی IOS که از SSH پشتیبانی نمی‌کند.
  برای رفع این مشکلات، باید هر مرحله را با دقت بررسی و تست کنید.

تست و اعتبارسنجی فعالسازی SSH

پس از پیکربندی، باید مطمئن شوید که فعالسازی SSH به‌درستی انجام شده است. برای تست کافی است از یک کامپیوتر به سوئیچ متصل شوید و دستور زیر را اجرا کنید:

ssh -l admin 192.168.1.1

اگر همه‌چیز درست باشد، سوئیچ از شما پسورد خواسته و پس از ورود رمز عبور وارد محیط CLI می‌شوید.

سناریوی عملی: جایگزینی Telnet با SSH در یک شبکه شرکتی

فرض کنید در یک سازمان، سوئیچ‌های سیسکو هنوز با Telnet مدیریت می‌شوند. در این حالت، یک مهاجم می‌تواند به راحتی با ابزارهایی مثل Wireshark داده‌ها را شنود کند. مدیر شبکه باید ابتدا یک کاربر با سطح دسترسی بالا بسازد، سپس فعالسازی SSH را انجام دهد و نهایتاً Telnet را غیر فعال کند. با این کار، تمام ارتباطات مدیریتی امن خواهند شد و ریسک امنیتی به‌شدت کاهش می‌یابد.

آموزش کاربردی: تنظیم زمان‌بندی و Timeout در SSH

برای افزایش امنیت، بهتر است زمان انتظار جلسات SSH را تنظیم کنیم تا در صورت عدم فعالیت، ارتباط به‌صورت خودکار قطع شود:

Switch(config)# ip ssh time-out 60
Switch(config)# ip ssh authentication-retries 2

این دستورات باعث می‌شود کاربرانی که به‌صورت طولانی مدت غیر فعال هستند، از سیستم خارج شوند.

مقایسه SSH با Telnet در سوئیچ سیسکو

ویژگی	Telnet	SSH
امنیت	بسیار ضعیف	بسیار قوی و رمزگذاری‌شده
انتقال داده	Plain Text	Encrypted
کاربرد سازمانی	منسوخ شده	استاندارد جهانی
نیاز به کلید رمزنگاری	ندارد	دارد
توصیه سیسکو	غیرمجاز	توصیه شده

نکات کلیدی برای فعالسازی SSH

• همیشه از پسوردهای قوی استفاده کنید.
• اگر نسخه IOS قدیمی دارید، ابتدا ارتقا دهید.
• در شبکه‌های بزرگ از سرور AAA برای مدیریت کاربران بهره بگیرید.
• مطمئن شوید Telnet کاملاً غیر فعال است تا نقطه ضعف باقی نماند.

سوالات متداول (FAQ)

1. چرا باید Telnet را غیرفعال کنیم؟
   چون امنیت بسیار پایینی دارد و اطلاعات را بدون رمزنگاری منتقل می‌کند.
2. آیا فعالسازی SSH روی همه سوئیچ‌های سیسکو ممکن است؟
   بله، اما باید نسخه IOS دستگاه از SSH پشتیبانی کند.
3. چگونه بفهمم SSH روی سوئیچ فعال است؟
   با دستور show ip ssh می‌توانید وضعیت را بررسی کنید.
4. اگر کلید رمزنگاری تولید نشود چه اتفاقی می‌افتد؟
   ارتباط SSH برقرار نخواهد شد.
5. تفاوت نسخه 1 و 2 در SSH چیست؟
   نسخه 2 امنیت بیشتری دارد و همیشه توصیه می‌شود.
6. آیا Telnet و SSH می‌توانند همزمان فعال باشند؟
   بله، اما توصیه می‌شود فقط SSH فعال باشد.
7. چه نرم‌افزارهایی برای اتصال به SSH استفاده می‌شوند؟
   Putty، SecureCRT، و OpenSSH.
8. آیا می‌توان پورت SSH را تغییر داد؟
   به‌صورت پیش‌فرض خیر، اما در برخی IOSها این قابلیت وجود دارد.
9. آیا فعالسازی SSH روی عملکرد سوئیچ تاثیر دارد؟
   خیر، مصرف منابع بسیار کم است.
10. اگر رمز عبور کاربر فراموش شود چه باید کرد؟
    باید با دسترسی کنسول وارد شده و رمز را بازیابی کنید.

جمع‌بندی

فعالسازی SSH و غیرفعالسازی Telnet در سوئیچ سیسکو یکی از مهم‌ترین وظایف مدیران شبکه است. این کار باعث افزایش امنیت، کاهش ریسک شنود و ایجاد ارتباطی استاندارد برای مدیریت تجهیزات می‌شود. در این مقاله با مراحل گام‌به‌گام فعالسازی SSH، غیرفعالسازی Telnet، مشکلات رایج، تست نهایی و نکات کلیدی آشنا شدیم. اگر می‌خواهید شبکه‌ای امن و پایدار داشته باشید، همین امروز Telnet را غیر فعال کرده و فعالسازی SSH را روی سوئیچ‌های سیسکو انجام دهید.