تمكين القشرة الآمنة (SSH) على نقطة وصول (AP)

المقدمة

يوضح هذا المستند كيفية تكوين نقطة وصول (AP) لتمكين الوصول الآمن المستند إلى طبقة الأمان (SSH).

المتطلبات الأساسية

المتطلبات

تأكد من استيفاء المتطلبات التالية قبل أن تحاول إجراء هذا التكوين:

• معرفة كيفية تكوين نقاط الوصول Cisco Aironet APs

• معرفة أساسية ببروتوكول SSH ومفاهيم الأمان ذات الصلة

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• نقطة الوصول من السلسلة Aironet 1200 Series التي تعمل ببرنامج Cisco IOS® Software، الإصدار 12.3(8)JEB

• كمبيوتر أو كمبيوتر محمول مزود بأداة عميل SSH

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

الوصول إلى واجهة سطر الأوامر (CLI) على نقطة الوصول Aironet AP

يمكنك إستخدام أي من هذه الأساليب للوصول إلى واجهة سطر الأوامر (CLI) على نقطة الوصول Aironet AP:

• منفذ وحدة التحكم

• Telnet

• بروتوكول النقل الآمن (SSH)

إن يتلقى ال ap وحدة طرفية للتحكم ميناء وأنت يتلقى منفذ طبيعي إلى ال ap، أنت يستطيع استعملت الوحدة طرفية للتحكم ميناء in order to سجلت الدخول إلى ال ap وغيرت التشكيل إن يكون ضروري. أحلت لمعلومة على كيف أن يستعمل الوحدة طرفية للتحكم ميناء in order to login إلى ال ap، ال يربط إلى ال 1200 sery منفذ نقطة محليا قسم من الوثيقة يشكل ال منفذ نقطة للمرة الأولى.

إن يستطيع أنت فقط نفذت ال ap من خلال الإثرنيت، استعملت إما ال telnet بروتوكول أو ال SSH بروتوكول in order to login إلى ال ap.

يستخدم بروتوكول برنامج Telnet المنفذ 23 للاتصالات. يقوم Telnet بإرسال البيانات واستقبالها في نص واضح. نظرا لأن اتصال البيانات يحدث في نص واضح، يمكن للمتسلل أختراق كلمات المرور والوصول إلى نقطة الوصول بسهولة.  يعمل RFC 854 على تحديد برنامج Telnet وتوسعة برنامج Telnet باستخدام خيارات عديدة خاصة ب RFCs أخرى.

SSH هو تطبيق وبروتوكول يوفر بديلا آمنا لأدوات r من Berkley. SSH هو بروتوكول يوفر اتصالا آمنا عن بعد بجهاز من الطبقة 2 أو جهاز من الطبقة 3. هناك إصداران من SSH: SSH الإصدار 1 و SSH الإصدار 2. يدعم إصدار البرنامج هذا كلا من إصدارات SSH. إن لا يعين أنت الإصدار رقم، ال ap تقصير إلى صيغة 2.

يوفر SSH المزيد من الأمان للاتصالات عن بعد من برنامج Telnet لأنه يوفر تشفيرا قويا عند مصادقة جهاز ما. يعد هذا التشفير ميزة عبر جلسة عمل على برنامج Telnet، حيث يحدث الاتصال في نص واضح. لمزيد من المعلومات حول SSH، ارجع إلى الأسئلة المتداولة حول طبقة الأمان (SSH). تحتوي ميزة SSH على خادم SSH وعميل SSH المدمج.

يدعم العميل طرق مصادقة المستخدم التالية:

• RADIUS 

• المصادقة والتفويض المحليان. 

يمكنك تكوين نقاط الوصول ل SSH باستخدام CLI أو GUI. يشرح هذا المستند كلا من طريقتي التكوين.

التكوين

تكوين واجهة سطر الأوامر (CLI)

يزود هذا قسم المعلومة على كيف أن يشكل السمة مع الإستعمالمن CLI.

التعليمات بالتفصيل

لتمكين الوصول المستند إلى SSH على نقطة الوصول، يجب عليك أولا تكوين نقطة الوصول كخادم SSH. قم بإجراء هذه الخطوات لتكوين خادم SSH على نقطة الوصول من واجهة سطر الأوامر:

1. قم بتكوين اسم مضيف واسم مجال لنقطة الوصول.

   AP#configure terminal
   
   !--- Enter global configuration mode on the AP.
   
   AP<config>#hostname Test
   
   !--- This example uses "Test" as the AP host name.
   
   Test<config>#ip domain name domain
   
   !--- This command configures the AP with the domain name "domain name".
   
   

2. قم بإنشاء مفتاح مصباح، شامير، وأديلمان (RSA) لنقطة الوصول الخاصة بك.

   يعمل إنشاء مفتاح RSA على تمكين SSH على نقطة الوصول. أصدرت هذا أمر في شامل تشكيل أسلوب:

   Test<config>#crypto key generate rsa rsa_key_size
   
   
   !--- This generates an RSA key and enables the SSH server.
   
   

   

   ملاحظة: الحد الأدنى الموصى به لحجم مفتاح RSA هو 1024.

3. قم بتكوين مصادقة المستخدم على نقطة الوصول.

   في نقطة الوصول، يمكنك تكوين مصادقة المستخدم لاستخدام إما القائمة المحلية أو خادم المصادقة والتخويل والمحاسبة (AAA) الخارجي. يستخدم هذا المثال قائمة تم إنشاؤها محليا لمصادقة المستخدمين:

   Test<config>#aaa new-model
   
   !--- Enable AAA authentication.
   
   Test<config>#aaa authentication login default local none
   
   !--- Use the local database in order to authenticate users.
   
   Test<config>#username Test password Test123
   
   !--- Configure a user with the name "Test".
   
   Test<config>#username ABC password xyz123
   
   !--- Configure a second user with the name "Domain".
   
   

   يقوم هذا التكوين بتكوين نقطة الوصول لإجراء مصادقة مستندة إلى المستخدم باستخدام قاعدة بيانات محلية تم تكوينها على نقطة الوصول. يقوم المثال بتكوين إثنين من المستخدمين في قاعدة البيانات المحلية، "Test" و"ABC". 

4. قم بتكوين معلمات SSH.

   Test<config>#ip ssh {[timeout seconds] | [authentication-retries integer]}
   
   !--- Configure the SSH control variables on the AP.
   
   

   

   ملاحظة: يمكنك تحديد المهلة بالثواني، ولكن لا تتجاوز 120 ثانية. الإعداد الافتراضي هو 120. هذه المواصفات التي تنطبق على مرحلة تفاوض SSH. يمكنك أيضا تحديد عدد عمليات إعادة محاولة المصادقة، ولكن لا تتجاوز خمس عمليات إعادة محاولة للمصادقة. الافتراضي هو ثلاثة.

تكوين GUI

يمكنك أيضا إستخدام واجهة المستخدم الرسومية من أجل تمكين الوصول المستند إلى SSH على نقطة الوصول.

التعليمات بالتفصيل

أكمل الخطوات التالية:

1. سجل الدخول إلى نقطة الوصول من خلال المستعرض.

   تظهر نافذة حالة الملخص.

2. انقر فوق الخدمات في القائمة الموجودة على اليسار.

   تظهر نافذة ملخص الخدمات.

3. انقر فوق برنامج Telnet/SSH لتمكين معلمات Telnet/SSH وتكوينها.

   الخدمات: شاشات عرض نافذة Telnet/SSH. قم بالتمرير لأسفل إلى منطقة تكوين طبقة الأمان. انقر فوق تمكين بجانب Secure Shell، وأدخل معلمات SSH كما يوضح المثال، باستخدام المعلمات التالية:

   • اسم النظام: إختبار

   • اسم المجال: مجال

   • حجم مفتاح RSA: 1024

   • انتهاء مهلة المصادقة: 120

   • عمليات إعادة محاولة المصادقة: 3

4. انقر فوق تطبيق لحفظ التغييرات.

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

الإنتاج مترجم يساند أداة (OIT) مؤكد عرض أمر. استخدم أداة مترجم الإخراج (OIT) لعرض تحليل مُخرَج الأمر show .

• show ip ssh— يتحقق من تمكين SSH على نقطة الوصول ويمكن أنت من التحقق من إصدار SSH الذي يتم تشغيله على نقطة الوصول. يقدم هذا الإخراج مثالا على ذلك.

• show ssh—يتيح لك عرض حالة إتصالات خادم SSH. يقدم هذا الإخراج مثالا على ذلك.

ابدأ الآن اتصالا من خلال جهاز كمبيوتر شخصي يشغل برنامج SSH من إنتاج جهة خارجية ثم حاول تسجيل الدخول إلى نقطة الوصول. يستخدم هذا التحقق عنوان AP، 10.0.0.2. ولأنك قمت بتكوين إختبار اسم المستخدم، أستخدم هذا الاسم للوصول إلى نقطة الوصول من خلال SSH:

استكشاف الأخطاء وإصلاحها

أستخدم هذا القسم لاستكشاف أخطاء التكوين وإصلاحها.

إذا تم رفض أوامر تكوين SSH الخاصة بك كأوامر غير قانونية، فأنت لم تقم بإنشاء زوج مفاتيح RSA بنجاح لنقطة الوصول لديك. 

تعطيل SSH

من أجل تعطيل SSH على نقطة وصول، يجب عليك حذف زوج RSA الذي يتم إنشاؤه على نقطة الوصول. لحذف زوج RSA، قم بإصدار الأمر crypto key zeroize rsa في وضع التكوين العام. عند حذف زوج مفاتيح RSA، تقوم تلقائيا بتعطيل خادم SSH. يقدم هذا الإخراج مثالا على ذلك.

معلومات ذات صلة

• صفحة دعم طبقة الأمان (SSH)
• الدعم الفني والتنزيلات من Cisco