[Cisco] Telnet trên Cisco IOS

Telnet là một kỹ thuật cho phép truy nhập thiết bị từ xa để thực hiện các tác vụ cấu hình  mà không cấn phải cắm dây console trực tiếp lên thiết bị. Telnet là một ứng dụng chạy  trên nền TCP, sử dụng port 23 do đó điều kiện để có thể Telnet đến một thiết bị là địa chỉ  IP của thiết bị ấy phải đi đến được và thiết bị phải được cấu hình thành một Telnet  Server. Cisco IOS trên các dòng sản phẩm router và switch thông dụng đều tích hợp sẵn  telnet server và telnet client nên chúng ta có thể thực hiện telnet đến một router hay  switch cũng như có thể từ các thiết bị này thực hiện telnet đi một thiết bị khác. 

Trong bài viết tuần này, chúng ta sẽ cùng nhau khảo sát Telnet trên router Cisco. Trên  các dòng sản phẩm khác chạy Cisco IOS, các thao tác telnet có thể được tiến hành tương  tự. Như thông lệ, ta tiến hành thông qua một bài lab ví dụ.

Sơ đồ

Mô tả 

– Trên sơ đồ hình 1, trước hết chúng ta cấu hình cơ bản các địa chỉ và chạy định  tuyến để đảm bảo mọi địa chỉ IP trên sơ đồ thấy nhau. Khi các IP đều đã đi đến  nhau được, chúng ta sẽ khảo sát việc telnet qua lại giữa các IP này. 

– Người viết sử dụng các router Cisco dòng 2811với hệ điều hành là “c2800nm adventerprisek9-mz.124-15.T1.bin” để thực hiện bài viết này. 

Thực hiện 

Bước 1: Cấu hình cơ bản 

Trong bước này, ta đặt địa chỉ IP trên các router cũng như cấu hình định tuyến cơ bản để  mọi địa chỉ thấy nhau.

Trên R1

R1(config)#interface f0/1 
R1(config-if)#no shutdown 
R1(config-if)#ip address 192.168.12.1 255.255.255.0 
R1(config-if)#exit 

R1(config)#interface f0/0 
R1(config-if)#no shutdown 
R1(config-if)#ip address 192.168.1.1 255.255.255.0 
R1(config-if)#exit 
R1(config)#exit

Trên R2

R2(config)#interface f0/1 
R2(config-if)#no shutdown 
R2(config-if)#ip address 192.168.12.2 255.255.255.0 
R2(config-if)#exit 

R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.1

Tiếp theo, ta thực hiện đặt IP cho PC là 192.168.2.1/24 và chỉ default – gateway về router  R1(hình 2):

Đến đây, mọi địa chỉ đã được cấu hình trên các interface theo quy hoạch IP trên hình 1.  Router R2 và PC đều đã chỉ default – gateway về R1 và vì vậy mọi địa chỉ trên các thiết  bị này đã có thể đi đến nhau được. 

Tiếp theo, ta kiểm tra rằng mọi địa chỉ trên sơ đồ đã thấy được nhau. 

Từ PC ping kiểm tra đến R1 (hình 3):

Từ PC ping kiểm tra đến R2 (hình 4):

R1 ping đi được đến mọi địa chỉ khác trên sơ đồ:

R1#ping 192.168.1.2 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/30/52 ms 

R1#ping 192.168.12.2 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.12.2, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/46/96 ms

R2 ping được mọi địa chỉ khác trên sơ đồ:

R2#ping 192.168.1.1 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/41/56 ms 

R2#ping 192.168.1.2 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 64/91/112 ms 

R2#ping 192.168.12.1 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
!!!!! 
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/35/52 ms

Bước 2: Telnet trên router 

Trước hết, ta thực hiện cấu hình các router R1 và R2 để các thiết bị khác có thể telnet vào  các router này. Trên cả hai router:

R(config)#line vty 0 4 
R(config-line)#password cisco 
R(config-line)#login 
R(config-line)#exit 
R(config)#enable password cisco

Telnet server đã được tích hợp sẵn trên Cisco IOS của các router. Để sử dụng server này,  chúng ta cần phải cấu hình thêm các password thích hợp.  

Password đầu tiên cần cấu hình là password được sử dụng để xác thực quyền truy nhập  telnet vào thiết bị. Password này đặt trên các cổng ảo VTY từ 0 đến 4 (là các cổng phục  vụ cho việc truy nhập từ xa vào thiết bị). Như đã trình bày ở trên, ta cấu hình password  này là “cisco”. 

Sau khi đã đăng nhập vào được thiết bị bằng telnet, Cisco IOS đòi hỏi những session  đăng nhập này phải được xác thực thêm một lần nữa bằng enable password, do đó chúng  ta cần cấu hình thêm password enable cho router. Ở trên, ta đã thiết lập enable password  là “cisco”. Vấn đề này liên quan đến sự phân quyền trên Cisco IOS với các privilege và  sẽ được phân tích chi tiết trong một bài viết khác; trong bài viết này, chúng ta chỉ tập  trung vào cấu hình telnet trên router. 

Sau khi cấu hình xong, chúng ta thực hiện telnet từ PC đến R1 và R2 để kiểm chứng rằng  việc telnet đã diễn ra thành công. Từ PC, thực hiện telnet đến R1 bằng cách gõ lệnh “telnet 192.168.1.1” trên dấu nhắc  hệ thống của cửa sổ CMD. Cửa sổ telnet xuất hiện (hình 5):

Từ PC telnet đến R2 (hình 6):

Chú ý: Hệ điều hành Window 7 có thể tắt dịch vụ Telnet Client ở mặc định. Nếu không  thực hiện Telnet được, chúng ta phải bật dịch vụ Telnet client trên Win 7 bằng cách vào  Control Panel -> Program -> Program and Features, chọn “Turn Windows features on or  off”. Trong cửa sổ hiện ra, ta tìm mục “Telnet Client” và check vào ô này.

Như vậy, từ PC ta đã có thể telnet được đến cả hai router R1 và R2. 

Ta cũng có thể từ các Router telnet qua lại lẫn nhau: 

Từ R1 telnet qua R2:

R1#telnet 192.168.12.2 
Trying 192.168.12.2 ... Open 
User Access Verification 
Password: <-Nhập password telnet tại đây 

R2>enable 
Password:  
R2#show ip interface brief 
Interface IP-Address OK? Method Status Protocol FastEthernet0/0 192.168.2.1 YES manual up down  FastEthernet0/1 192.168.12.2 YES manual up up 

Ta thấy rằng dù đang đứng cấu hình bằng cổng Console của R1, ta vẫn truy nhập được  qua R2 và thực hiện cấu hình R2. Tại đây, ta có thể thực hiện cấu hình cho R2 như thể ta  đang kết nối Console vào R2 vậy. Trong trường hợp đang cấu hình trên R2 mà ta muốn  trở về lại R1 ta có thể dùng lệnh “exit” giải phóng kết nối Telnet để trở lại R1:

R2(config-if)#exit 
R2(config)#exit 
R2#exit 
[Connection to 192.168.12.2 closed by foreign host] 
R1#

Tuy nhiên, dùng lệnh “exit”, ta đã giải phóng luôn kết nối Telnet đến R2, nếu ta muốn trở  lại R2, ta phải thực hiện xây dựng lại kết nối telnet từ đầu bằng lệnh “telnet  192.168.12.2”. Có một cách để đang telnet vào R2, ta trở lại R1 mà không phải xóa bỏ  kết nối Telnet từ R1 đến R2 là từ dấu nhắc hệ thống của R2, ta nhấn tổ hợp phím “Ctrl – Shift – 6” rồi nhấn tiếp “X”:

R2# 
(Nhấn “Ctrl – Shift – 6” +”X”) 
R1#

Từ R1 muốn trở lại R2, ta chỉ việc gõ Enter hoặc đánh lệnh “resume” tại mode Privilege:

R1# <-Gõ Enter 
[Resuming connection 1 to 192.168.12.2 ... ] <-Tiếp tục gõ Enter R2#

Tương tự như trên, ta thực hiện telnet từ R2 qua R1:

R2#telnet 192.168.12.1 
Trying 192.168.12.1 ... Open 
User Access Verification 
Password: <-Nhập password telnet tại đây 

R1>enable 
Password:  

R1#show ip interface brief
Interface IP-Address OK? Method Status  Protocol 
FastEthernet0/0 192.168.1.1 YES manual up up  FastEthernet0/1 192.168.12.1 YES manual up up 

Như ta đã thực hiện ở trên, hiện nay, có hai thiết bị đang thực hiện telnet vào R1 là PC và  R2. Số lượng phiên telnet có thể mở đến R1 là 5 vì chúng ta đã đặt password trên 5 cổng  VTY từ 0 đến 4. Chúng ta có thể kiểm tra xem hiện có những phiên telnet nào đang mở  trên một thiết bị bằng cách sử dụng lệnh “show users” của mode Privilege:

R1#show users  
 Line User Host(s) Idle Location * 0 con 0 idle 00:00:00  
322 vty 0 idle 00:00:46 192.168.12.2 323 vty 1 idle 00:01:02 192.168.1.2

Từ kết quả show ta thấy có hai user đang truy nhập vào R1 bằng Telnet qua các cổng  VTY 0 và 1, là các user có địa chỉ IP là 192.168.12.2 (là Router R2) và 192.168.1.2 (là  máy tính PC). Ta có thể ngắt user không cho truy nhập tiếp bằng cách sử dụng lệnh “clear line  line_index”, line – index chính là số hiệu ở cột bên trái ngoài cùng (ở ví dụ trên, với  VTY 0 là 322 và với VTY 1 là 323).

R1#clear line 323 <-Ngắt kết nối Telnet của PC1 
[confirm] <- Gõ Enter để xác nhận 
[OK] 
R1# 
R1#show users (chỉ còn lại user 192.168.12.2 – R2) 
 Line User Host(s) Idle Location * 0 con 0 idle 00:00:00  
322 vty 0 idle 00:06:46 192.168.12.2

Lệnh “show users” có thể cho ta thấy được có những user nào đang truy nhập đến  Router đang xét nhưng không cho ta biết Router đang xét có bao nhiêu kết nối mở đến  các thiết bị khác. Để xem được thông tin này, ta phải sử dụng lệnh “show session”. Như  ta đã thực hiện ở các bước trên, hiện nay R1 đang có một kết nối telnet đến R2, ta sử  dụng lệnh “show session” để kiểm chứng điều này:

R1#show sessions  
Conn Host Address Byte Idle Conn Name * 1 192.168.12.2 192.168.12.2 0 0 192.168.12.2

Kết quả show cho thấy R1 đang có một session đến địa chỉ 192.168.12.2. Ta thử tiếp tục mở thêm một kết nối telnet nữa đến R2 (trong khi vẫn giữ kết nối cũ):

R1#telnet 192.168.12.2 
Trying 192.168.12.2 ... Open 
User Access Verification 
Password:  
R2>enable 
Password: 
R2# 
R2# 
(Nhấn “Ctrl – Shift – 6” +”X” để trở về R1) 
R1#show sessions  
Conn Host Address Byte Idle Conn Name  1 192.168.12.2 192.168.12.2 0 2 192.168.12.2 * 2 192.168.12.2 192.168.12.2 0 0  
R1#

Khi trở về R1 thực hiện lệnh “show session”, ta thấy R1 có hai kết nối Telnet đi đến R2  (địa chỉ 192.168.12.2). Vậy, lệnh “show session” cho ta thấy được thiết bị đang xét có  bao nhiêu kết nối Telnet đi đến các thiết bị khác. Ta có thể xóa bớt các kết nối Telnet đã mở bằng cách sử dụng lệnh “disconnect” của  mode Privilege:

R1#disconnect 1 <- Xóa bỏ kết nối số 1 
Closing connection to 192.168.12.2 [confirm] <- Gõ Enter ở đây R1#show sessions  
Conn Host Address Byte Idle Conn Name * 2 192.168.12.2 192.168.12.2 0 0 
(chỉ còn lại 1 kết nối Telnet) 
R1#

Như đã thấy ở trên, sau khi xóa một kết nối và thực hiện lệnh “show session” ta thấy chỉ  còn 1 kết nối Telnet đến R2. 

Như vậy, trên đây chúng ta đã thực hiện một số thao tác về telnet trên Cisco IOS của các  router Cisco. Các thao tác này có thể được tiến hành tương tự trên các dòng sản phẩm  khác của Cisco.  

Telnet rất tiện lợi và dễ dàng sử dụng để thực hiện truy nhập từ xa. Tuy nhiên, telnet có  một nhược điểm lớn là mọi dữ liệu của các telnet session đều được gửi qua mạng dưới  dạng clear text dẫn đến nguy cơ rất lớn về bảo mật. Một kỹ thuật truy nhập từ xa khác  cho phép mã hóa toàn bộ dữ liệu truy nhập từ xa đến các thiết bị, từ đó tăng cường tính  bảo mật của việc cấu hình từ xa là kỹ thuật SSH. Chúng ta sẽ khảo sát kỹ thuật này trong  bài viết tiếp theo. 

Cảm ơn các bạn! 

Hẹn gặp lại các bạn trong các bài viết tiếp theo!