Hướng Dẫn Cấu Hình SDM

Ta có thường cấu hình các thiết bị của Cisco thông qua giao diện CLI tuy nhiên Cisco cũng hỗ trợ cấu hình thiết bị thông qua giao diện đồ họa. Một sản phẩm GUI được Cisco hỗ trợ để cấu hình router được gọi là Security Device Manager.
SDM là một ứng dụng Web-base hoạt động trên nền Java. SDM được cài đặt sản trong flash một số dòng sản phẩm router và admin có thể cấu hình router bằng trình duyệt Web kết hợp với SSL và Java. Trong quá trình cấu hình SDM dùng SSL để admin cấu hình và dùng SSH để tương tác ngược trở lại với giao diện web của admin.
SDM không được hỗ trợ tất cả dòng router. Ta có thể vào Shortcut Redirect - Cisco Systems để kiểm tra xem router của mình có được hỗ trợ hay không. Nếu như một router chưa có được cài đặt SDM thì ta có thể install nó vào router. IOS tối thiểu để có thể install SDM là version 12.2 và flash của router phải có sẵn từ 5 – 8 MB. Ta sẽ thực hiện bài lab theo sơ đồ như sau:

Các bước ta cần làm trong bài lab như sau:
- Cấu hình căn bản
- Cấu hình SDM cho router
- Install SDM vào PC
- Kết nối từ PC đến Router
1. Cấu hình căn bản
Trước khi cấu hình để đăng nhập vào router thông qua giao diện SDM thì ta cũng phải cấu hình căn bản cho router như sau
Router> enable
Router# configure terminal
Router(config)# interface fastethernet 0/0
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)#exit
Cấu hình địa chỉ IP vào PC.


Tiếp theo ta kiểm tra xem địa chỉ IP đã được cấu hình và ping kiểm tra từ PC đến router.

2. Cấu hình SDM cho Router
Ta sẽ nhập vào những lệnh theo cấu trúc như bên dưới
Router(config)# hostname router_name
Router(config)# ip domain-name domain_name
Router(config)# ip http server
Router(config)# ip http secure-server
Router(config)# ip http authentication local
Router(config)# username username privilege 15 secret 0 password
Router(config)# ip http timeout-policy idle seconds life seconds requests number
Router(config)# line vty 0 15
Router(config-line)# privilege level 15
Router(config-line)# login local
Router(config-line)# transport input ssh
Router(config-line)# exit


SDM sử dụng SSL để send quá trình cấu hình và dùng SSH để trả lại giao diện của người đang cấu hình. Tuy nhiên cả hai giao thức SSL và SSH điều yêu cầu phải có cặp key theo thuật toán RSA. Để tạo ra được key ta cần phải có hostname và ip domain name. Tuy nhiên trong quá trình này ta không cần phải tạo key một cách manual bởi vì lần đầu tiên ta đăng nhập vào router thông qua giao diện SDM thì router sẽ tự động tạo ra key. Và cặp key sẽ được dùng trong quá trình SSL và SSH.
Bởi vì SDM được hoạt động trên giao diện Web-base nên hai câu lệnh ip http server và ip http secure-server được dùng để kích hoạt Web Server, tính năng SSL trên Router.
Câu lệnh ip http authentication xác nhận dùng local database.
Username account để đăng nhập vào router phải là privilege 15.
Câu lệnh ip http timeout – policy chỉ là một câu lệnh option. Tuy nhiên ta nên dùng nó để xác nhận thời gian mà kết nối SDM được duy trì.
• Biến idle xác nhận số giây mà một kết nối web được duy trì trong trường hợp là không có data được gửi hay nhận. Mặc định là 180 giây.
• Biến life xác nhận số giây mà kết nối web được lưu trữ trong web server từ khi kết nối này được tạo. Mặc định là 180 giây nhưng ta có thể điều chỉnh tăng lên 86400 giây.
• Biến requests giới hạn số kết nối đồng thời vào router. Mặc định là 1
• Phần cuối là ta sẽ cấu hình VTY apply vào trong SSH. Quá trình này được dùng để tương tác với router. Để có thể cấu hình bằng SDM thì username đăng nhập phải là privilege 15 và trong quá trình cấu hình ở trên thì ta đang chứng thực bằng local database nên ta nhập câu lệnh login local.
Router>enable
Router#configure terminal
Router(config)#hostname R1
R1(config)#ip domain name abc.com
R1(config)# ip http server
R1(config)# ip http secure-server
R1(config)# username cisco privilege 15 password cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config -line)# transport input ssh
R1(config -line)# end


3. Truy cập vào Router thông qua giao diện SDM
Ta có thể truy cập vảo router thông qua giao thức http hoặc là https. Ta sẽ thực hiện quá trình cài đặt SDM vào trong PC hoặc vảo trong Router. Ở đây ta chỉ thực hiện quá trình cài đặt vào trong PC. Ta chọn vào setup.exe trong SDM.zip

Ta Click Next để làm tiếp


Ta chọn vảo button “ I accept terms of the license agreement ”. Chọn Next

Ở đây ta có nhiều lựa chọn “ This computer ” chỉ install SDM trên một máy tính nào đó, “ Cisco Router ” install vào trong Router trong trường hợp này thì router phải có từ 5 – 8 MB free trên flash của router. Mục cuối cùng ta install trên cả hai.
Ở đây ta chỉ chọn “ This computer ” và làm tiếp theo wizard của nó

Ta có thể chọn nơi lưu trữ hoặc chọn đường dẫn mặc định và Next tiếp tục

Ta chọn install để bắt đầu quá trình cài đặt và Finish.



a. SDM-HTTP

Vào Cisco SDM nhập vào địa chỉ IP của Router. Tuy nhiên ta phải tắt đi chức năng “ Block pop-up Window “ ở trình duyệt Web. Lúc này sẽ xuất hiện một forum login để ta đăng nhập. Ta nhập vào username và password với privilege 15.

Trình duyệt Web sẽ trả về cho ta màn hình “ Cisco Router and Security Device Manager “


Lúc này, Router sẽ yêu cầu ta tạo mới một username và password để thay thế cho username và password ta đã nhập vào router từ giao diện console của nó.



Ta Click OK và reconnect lại router từ PC thông qua “ Cisco SDM ”. Đến đây ta thực hiện lại quá trình login bằng username và password mới.

Đến đây ta đã thực hiện xong quá trình đăng nhập vào Router thông qua SDM. Ta có giao diện để cấu hình router như bên dưới

Ta thực hiện quá trình capture kết nối trên ta nhận xét rằng nó đang hoạt động dựa trên giao thức http port 80. Tuy nhiên làm như vậy thì không có tính bảo mật cho việc router.

b. SDM-HTTPS

Nếu ta cấu hình router thông qua http thì quá trình ta làm sẽ bị dễ dàng sniffer. Lúc này ta sẽ chuyển sang dùng SSL kết hợp với SDM để cấu hình Router. Để có thể hoạt động được trên SSL trước tiên ta phải thấy được certifiacate do IOS của router tạo ra. Ở trình duyệt web nhập https://192.168.1.1 , trình duyệt web sẽ báo rằng certificate này có vấn đề. Tuy nhiên để kết nối vào router ta phải chấp nhận certificate này. Và chứng chỉ này không có thực trong môi trường internet nên trình duyệt web cảnh báo cho người dùng.

Đến đây ta phải chấp nhận certificate này để có thể tạo được kết nối SSL. Ta click vào “ Or you can add an exception ” . Và click vào “ Add exception ” để lưu trữ certificate vào trong trình duyệt Web. Ta có thể kiểm tra certificate là do IOS của router tự sinh ra.

Click vào “ Get Certificate “


Click vào Confirm Security Exception. Router sẽ trả lại cho ta màn hình login. Ta nhập vào username và password đã được cấu hình.

Lúc này ta có thể kết nối đến router bằng SDM và chạy trên protocol SSL. Ta cho vào “ The device has https enabled and want to use it ”


Okay, ta chấp nhận certificate này. Ta làm lại quá trình đăng nhập như SDM, tạo một username password mới như hình bên dưới.

Ta logon vào Router bằng username và password mới.

Ta capture luồng traffic từ Router đến PC ta thấy giao thức đang hoạt động ở đây là SSL.