Skip to Content

درباره:admin

Recent Posts by admin

توسط

در

وبلاگ

مقایسه روترهای سری ASR و ISR سیسکو

مقایسه روترهای سری ASR و ISR سیسکو

مقایسه روترهای سری ASR و ISR سیسکو

در این پست از گروه فنی و مهندسی وی سنتر قصد داریم به مقایسه روترهای سری ASR و ISR سیسکو بپردازیم. در حالی که نام ها ممکن است شبیه به نظر برسند، سری روترهای ASR و ISR سیسکو برای رفع نیازهای مسیریابی متمایز مشتریان مختلف ایجاد شده اند. درباره هر سری روتر بیشتر بدانید تا بتوانید مطمئن باشید که روتر مناسبی را برای سازمان خود انتخاب می کنید.

ASR چیست؟

ASR مخفف عبارت Aggregation Services Router است. روترهای این سری عمدتاً برای مسیریابی لبه استفاده می شوند. آنها برای برنامه های کاربردی با پهنای باند بالا، مانند پخش صدا یا ویدیو، یا کنفرانس ویدیویی ایده آل هستند. سری ASR 9000 دارای قابلیت مسیریابی اصلی نیز می باشد. روترهای ASR همگی می توانند تا 100G اترنت را اداره کنند.

ISR چیست؟

ISR مخفف Integrated Service Router است. اصطلاح “خدمات یکپارچه” نوعی از معماری شبکه را توصیف می کند که برای تضمین کیفیت خدمات شبکه (QoS) استفاده می شود. روترهای سری ISR دارای قابلیت‌های شبکه‌سازی لبه‌ای هستند و اتصال شعبه قابل اعتماد و ایمن را فراهم می‌کنند. ویژگی های اضافی عبارتند از محاسبات ابری، شبکه ایمن، عملکرد چند رسانه ای، و اتصال به تلفن همراه.

چه کسی باید از سری ASR استفاده کند؟

سیسکو روترهای سری ASR را برای شرکت های بزرگ و ارائه دهندگان خدمات برای مسیریابی لبه شبکه ایجاد کرد.

چه کسی باید از سری ISR استفاده کند؟

سیسکو سری ISR را برای مشاغل کوچک تا متوسط ​​یا برای اتصال دفاتر شعب ایجاد کرد.

روترهای سری ASR چیست؟

سری ASR شامل:

  • سری ASR 900
  • سری ASR 1000
  • سری ASR 5000
  • سری ASR 9000

 

سیسکو سری ASR 9000 را برای شرکت های مخابراتی و ارائه دهندگان خدمات ایجاد کرد. سری ASR 1000 و ASR 900 برای شرکت های بزرگ طراحی شده اند. ASR 1000 برای شرکت هایی که به دنبال عملکرد لبه شبکه هستند ایده آل است. و ASR 900 پلت فرمی را برای تجمیع مترو مدولار، پیش انباشتگی موبایل و تجمیع پهنای باند فراهم می کند.

روترهای سری ISR چیست؟

سری ISR شامل:

  • سری ISR 800
  • سری ISR 1900
  • سری ISR 2900
  • سری ISR 3900
  • سری ISR 4000

 

سیسکو روترهای سری ISR را برای محیط هایی که محاسبات کمتری دارند طراحی کرده است. بنابراین حداکثر سرعت اترنت کمتری دارند. به عنوان مثال، ISR 4000 تا 10G اترنت را پشتیبانی می کند. روترهای سری ISR همگی برای خدمات شبکه، محاسبات و WAN پیشرو در صنعت ایجاد شدند.

شباهت های سری ASR و ISR

سری های ASR و ISR هر دو اتصال امن WAN را ارائه می دهند. همچنین هر دو برای ایمن سازی داده های حساس با استفاده از نمایه IPsec موقت PSN تایید شده اند. سری ASR 9000 دسترسی ابری را مانند تمام سری های ISR فراهم می کند. با این حال، هیچ یک از سری های ASR دیگر دسترسی ابری را نمی دهد.

تفاوت های سری ASR و ISR

همانطور که گفته شد، روترهای سری ASR برای شرکت ها و ارائه دهندگان خدمات هستند، در حالی که سری های ISR برای شبکه های کوچک یا متوسط ​​هستند. از آنجایی که سری های ISR برای محیط های کم محاسباتی هستند، ردپای بسیار کمتری نسبت به سری های ASR دارند.

از آنجایی که سری های ASR برای برنامه های کاربردی در مقیاس بزرگ و شرکت های بزرگ هستند، دارای ویژگی های بیشتر و سطوح عملکرد بالاتری هستند. به عنوان مثال، روترهای ASR می توانند اترنت سریع تری را تا 100 G در مقابل قابلیت های 10 G سری ISR اداره کنند.

سری ASR همچنین دارای تراکم پورت بالاتری است. علاوه بر این، سری ASR 9000 تنها روتر در هر دو سری است که دارای قابلیت مسیریابی هسته است.

انتخاب بهترین روتر برای سازمان شما

با وجود مخفف های مشابهی که نام ها را تشکیل می دهند، این سری روترها بسیار متفاوت هستند و برای سازمان های مختلف ساخته شده اند. اگر کسب و کار شما کوچک تا متوسط ​​است، سری روترهای ISR انتخاب بهتری هستند. برای شبکه‌های سازمانی بزرگ و مسیریابی لبه یا قابلیت‌های پهنای باند بالا، سری ASR انتخاب مناسبی است. اگر هنوز در انتخاب و خرید روتر سیسکو مناسب برای سازمان خود مطمئن نیستید، با کارشناسان ما در گروه فنی و مهندسی وی سنتر تماس بگیرید.

 

 

ادامه مطلب

توسط

در

وبلاگ

انواع حافظه در سوئیچ و روتر های سیسکو

انواع حافظه در سوئیچ و روتر های سیسکو

در این قسمت با انواع حافظه در سوئیچ و روتر های سیسکو  آشنا میشویم . همانطور که میدانید روترهای سیسکو نیز مانند کامپیوتر ها دارای حافظه هستند . که میتوان برای نمونه های زیر استفاده کرد :

.

۱- فضایی برای ذخیره سازی IOS  ،
۲- extention ( مانند CME  ) ،
۳- فایل های کانفیگ شده اینترفیس های وب ،
۴- ویر firmware های IP Phone ها و کانفیگ های مربوط ،
۵- Routing Table – Arp Table
۶- لود شدن IOS
و موارد دیگر .

انواع حافظه در سوئیچ و روتر های سیسکو

حافظه RAM (Random Access Memory)

انواع حافظه در سوئیچ و روتر های سیسکو : حافظه RAM که نام دیگر آن حافظه ی Running Config است ،  حافظه ای در روترهای سیسکو است که دارای سرعتی بسیار بالا است ، وظیفه این حافظه ذخیره فایل Running – Configuration است . به این معنی که تمامی  Configuration تعریف شده برای دستگاه ، در فایلی به نام Running – Configuration ، که داخل رم قرار دارد ، ذخیره می شود . محتویات این حافظه :

  1. سیستم عامل روتر ( در حال اجرا ) ، همان Cisco IOS که در حال اجراست .
  2. System Table های IOS و بافرها در این حافظه نگهداری می شوند .
  3. RAM برای نگهداری Routing Table ها ، کش های ARP ، بافرینگ Packet ها مورد استفاده قرارمیگیرد. در این مورد بیشتر از shared RAM   استفاده می شود .

باید دانست امکان از بین رفتن این حافظه با restart  شدن  روتر سیسکو وجو دارد ، این اتفاق مشابه اتفاقی است که با قطع شدن برق برای RAM  می افتد . از RAM  برای نگهداری تنظیمات روتر زمانیکه روتر در حال روشن شدن است به عنوان یک حافظه موقت می توان استفاده کرد . باید دانست اطلاعات مربوط به نرم افزارهای در حال اجرا در روتر، دستورات سیستم عامل روتر، Running Configuration ،Arp Cache و Routing Table ها برای اجرای سریعتر در حافظه RAM قرار می گیرند .

حافظه NV-RAM (Non-Volatile Random Access Memory)

انواع حافظه در سوئیچ و روتر های سیسکو : نام دیگر حافظه NV-RAM ، حافظه Start-up Config است . به این علت که در این حافظه Start-up Configuration ذخیره می شود . Configuration ها پس ازذخیره در Running Configuration در پایان کار بر روی Start-up Configuration ریخته می شوند تا برای همیشه ذخیره شوند و از بین نروند .

Startup Configuration تنظیماتی است مناسب  IOS  که در هنگام Boot  کردن روتر امکان خواندن اطلاعات وجود داشته باشد . سرعت این حافظه مشابه با سرعت  RAM  است . تفاوت عمده ای که میتوان اشاره کرد این است که با شروع دوباره ( restart ) و یا قطع برق اطلاعات روتر سیسکو از بین نمیرود . باید در پایان کار محتویات Running Configuration را به Start-up Configuration منتقل کرد.

حافظه Flash (Flash Memory)

انواع حافظه در سوئیچ و روتر های سیسکو : نام دیگر این حافظه بلند و دائمی EEPROM است و سیستم عامل IOS درون آن ذخیره شده است . حافظه فلش روترهای سیسکو یک چیپ حافظه الکترونیکی ، قابل پاکسازی  و قابل برنامه ریزی مجدد است . این حافظه فلش شامل تصاویری کامل از سیستم عامل روتر یا همان Router IOS است. با استفاده از این حافظه می توان OS روتر سیسکو را بدون  نیاز به تعویض  chipset تغییر داده یا آن را بروز رسانی کرد. مسئله مهم باقس ماندن اطلاعات بعد از  خاموش و روشن شدن یا Restart شدن روتر سیسکو است .

حافظه ROM (Read Only Memory)

حافظه ای است فقط خواندنی و البته دائمی که در قسمت های زیر وجود دارد :

  1.  Power On Self-Test – POST: وظیفه آن تست قسمت های سخت افزاری و اصلی دستگاه است .
  2. Boot Strap Program: توسط Register Number ، مراحل بوت دستگاه را مشخص می کند . معمولا Register Number پیش فرض  X21020 است . ابتدا به سراغ فلش می رود و IOS را بوت می کند و داخل RAM می ریزد . سپس به سراغ NV RAM می رود و Start-up Config رو که کانفیگ های اولیه دستگاه است را داخل رم میریزد و دستگاه شروع به کار می کند .  می توان با تغییر  register number  تعیین کرد مراحل بوت به چه طریقی باشد .
  3. ROM Monitor: IOS کوچکی است که در مواقع ضروری امکان انجام کارهای مدیریتی را محدودی می کند . به طور مثال در زمان فراموشی رمز عبور دستگاه .

همچنین برای مشاهده میزان RAM – Flash – NVRAM روتر سیسکو میتوان از دستورالعمل زیر استفاده کرد :

router> show version

جهت مشاهده انواع سوئیچ سیسکو و آگاهی از قیمت آن ها بر روی عبارت مورد نظر کلیک فرمایید .

ادامه مطلب

توسط

در

وبلاگ

مفهوم پروتکل VTP در سوئیچ های سیسکو

مفهوم پروتکل VTP در سوئیچ های سیسکو

پروتکل VTP

همان طور که از نام آن مشخص است، پروتکل VLAN Trunking VTP است. یعنی مخصوص VLAN ها و فقط برای حالت Trunking میباشد . و تنها از ترانک برای انتشار میتواند استفاده کند. یعنی تنها مخصوص انتقال فریم ها بین “سوئیچ ها” می باشد. با استفاده از پروتکل VTP می توانیم اطلاعات VLAN را روی یک سوئیچ Set کنیم بعد با استفاده از این پروتوکل سایر سوئیچ ها را از وجود این VLAN  و پیکربندی آن آگاه سازیم. نتیجه به این شکل خواهد بود که بقیه سوئیچ ها نیز این VLAN را خواهند شناخت .

آیا پیکربندی اولیه را می توانیم روی هر سوئیچی که خواستیم اعمال کنیم و بعد از پروتکل VTP استفاده کنیم ؟

خیر! به طور کلی این پروتوکل سوئیچ ها را در سه حالت دسته بندی میکند و هر سوئیچ تنها در یکی از این سه حالت قرار می-گیره که باز تنظیم این حالت به عهده مدیر شبکه است. حالت های Server ، Client و Transparent

هر مدیر یک یا چند عدد از سوئیچ ها را در حالت VTP Server و بقیه را در حالت VTP Client تنظیم میکند. به این ترتیب تنـها روی سوئیچ های VTP Server می توانیم پیکربندی¬های دلخواه را تنظیم یا تغییردهیم و سپس از طریق پروتکل VTP  این تنظیمات را به دیگر سوئیچ های VTP Server و VTP Client مخابره کنیم. هر کدام از سوئیچ های VTP Server و Client که این پیام را دریافت کردند آن ها نیز متقابلاً آن پیام را برای ترانک های خارجی خود می فرستند. پس با ایجاد تغییر در پیکربندی سوئیچ های VTP Server است که منجر به مخابره شدن پیام های VTP به کل شبکه می گردد.

به عبارت دیگر تنها روی یک سوئیچ VTP Server می توانیم یک VLAN جدید اضافه کنیم و یا حذف کنیم و یا تنظیمات مربوط به آن را تغییر دهیم و این کار از طریق سوئیچ های VTP Client امکان پذیر نیست.

بعبارتی هنگامی که تنظیمات پیکربندی یک سوئیچ سرور تغییر کند، پیام های VTP Server فرستاده میشوند. به علاوه این پیام ها هر ۵ دقیقه یکبار نیز توسط VTP سرور ها در کل شبکه مخابره می شوند و به غیر از این موارد هنگامی که یک سوئیچ جدید ایجاد شود که شامل VLAN هایی است، سوئیچ ها می توانند با یک پیام VTP از سوئیچ تازه تاسیس بخواهند که اطلاعات VLAN های خود را برای آن ها ارسال کند.

پس سه نوع پیام مختلف برای VTP داریم !

  1. پیام هایی که به هنگام تغییر تنظیمات پیکربندی یک سوئیچ VTP Server ارسال می شوند.
  2. پیام هایی که به طور اتوماتیک هر ۵ دقیقه یکبار مخابره می شوند.
  3. پیام هایی که به هنگام ایجاد سوئیچ جدیدی به جهت آشنایی ارسال می شوند.

پروتکل VTP به چه شکل کار می کند ؟

شکل زیر را در نظر بگیرید.

پروتکل VTP

VLAN Trunking Protocol

در این شکل یک سوئیچ از نوع VTP Server و دو سوئیچ از نوع VTP Client انتخاب شده اند.

داستان از اینجا شروع میشود که تصمیم می گیریم که یک VLAN جدید را روی سوئیچ VTP Server ایجاد کنیم. در هر VTP شماره ای وجود دارد که Revision Number نام دارد و مقدار این شماره برابر آخرین باری است که VTP حاوی اطلاعات جدیدی بوده مثل تغییر در پیکربندی یک VTP Server  و البته این شماره برای کل سوئیچ های شبکه مقدار یکسانی دارد چرا که این پیام ها به صورت سراسری برای تمام سوئیچ ها ارسال می گردد، هنگامی که VTP مجدداً حاوی پیام جدیدی گردد به این شماره یک واحد اضافه می شود و پیام VTP جدید به همراه این شماره جدید به کل شبکه ارسال می شود .

دوباره به شکل بالا نگاه کنید. در این شکل Revision Number فعلی ۲ است. تصمیم می گیریم که VLAN جدیدی را به سوئیچ VTP Server اضافه کنیم، این کار باعث می شود که که پیکربندی سوئیچ تغییر کند که در نتیجه ی این تغییرات، شماره پیام VTP ، یک واحد اضافه می شود و از دو به سه تغییر میکند و سپس اطلاعات این پیکربندی به همراه این شماره جدید برای سایر سوئیچ ها ارسال میشود. سایر سوئیچ ها این شماره را با شماره VTP خود چک می کنند اگر از Revision Number فعلی خود بیشتر بود این پیام را دریافت می کنند، به شماره VTP خود یک واحد اضافه میکنند و این پیام را برای پورت های ترانک خود ارسال می کنند و در غیر این صورت پیام VTP رسیده را رد می کنند .

در حقیقت باید بگوییم که پروتکل VTP تا حد زیادی شبیه پروتکل های مسیریابی عمل میکند .

همان طور که گفته شد پیام های VTP برای کل سوئیچ های شبکه ارسال می¬شود. حالا شرکتی را فرض کنید که بخش امور مالی در یکVLAN و بخش حسابداری در VLAN دیگری و بر روی سوئیچ های مختلفی قرار دارند و تنها هم نیاز است که اطلاعات تغییر در پیکربندی این سوئیچ ها برای هم ارسال شود و به طور مثال بخش انبار نیازی به دریافت این پیام هایVTP ندارد !!

چطور می توان از سرازیر شدن پیام های VTP به کل شبکه جلوگیری کرد ؟

VTP Domain

VTP Domain این امکان را به مدیر می دهد که برای مجـموعه ای از سوئیچ ها نام دامنه یکسان انتخاب کند که باعث می شود سوئیچ ها در دامنه های مختلف پیام های VTP یکدیگر را نادیده بگیرند.

مثلا در مورد مثال بالا می توانیم برای سوئیچ های مربوط به VLAN های بخش مالی و حسابداری ، VTP Domain یکسانی انتخاب کنیم و در نتیجه پیام های VTP در این سوئیچ ها تا جایی پیش می رود که دامنه اجازه میدهد!

برای اینکه یک سوئیچ نم دامنه ای نگیرد بایستی که پروتکل VTP را غیرفعال کنیم. اما دو تا مشکل وجود دارد، یکی اینکه بعضی از سوئیچ های سیسکو نمی توانند این پروتکل را غیر فعال کنند و مشکل دوم اینکه حتی اگر بتوانیم VTP را برای سوئیچی غیر فعال کنیم، این راه حل مناسبی نخواهد بود. چرا که ممکن است این سوئیچ واسطه ای برای سایر سوئیچ ها باشد که نیاز به دریافت این پیام های VTP دارند. با غیر فعال کردن این سوئیچ ، عملاً سایر سوئیچ های وابسته نیز این پیام را دریافت نخواهند کرد، راه حل بهتر استفاده از VTP Transparent است.

VTP Transparent

بهترین تشبیهی که از Transparent VTP می توانیم دادشته باشیم خاصیت شیشه گونه آن است. شیشه می تواند نور را از خود عبور دهد و نیز آن را منعکس کند بدون اینکه خود تغییری کند، Transparent VTP نیز همین کار را با سوئیچ میکند، یعنی باعث می شود که سوئیـــچ پیام های VTP را دریافت کند آن را از خود عبور داده و برای سایر سوئیچ های هـــــمسایه دوباره ارسال (Forward) کند اما با دریافت این پیام هایVTP خودش تغییری نمی کند.

Transparent در واقع حالت سوم پروتکل VTP است . قبلا گفتیم که VTP برای سوئیچ ها سه حالت دارد که دو مورد آن ها VTP Server و VTP Client بود و VTP Transparent همان حالت سوم است.

سوئیچ های که روی حالت VTP Transparent تنظیم میشوند نیز به مانند VTP Server ها میتوانند VLAN ها را پیکربندی کنند و صاحب VLAN های جدید شوند اما بر خلاف VTP Server ها هرگز این اطلاعات پیکربندی را برای دیگران ارسال نمی کنند. در حقیقت سوئیچ های VTP Transparent به نوعی نسبت به سایر سوئیچ ها ایزوله هستند.

در سری جدید سوئیچ های سیسکو حالت چهارمی به نام noon وجود دارد که باعث غیر فعال کردن VTP روی یک سوئیچ می شود که بهتر است از آن برای سوئیچ های ترمینال شبکه استفاده کنیم.

VTP Pruning

قبلاً گفتیم که اگر پیام Broadcast ای از یکی از VLANهای سویچ ارسال شود سوئیچ باید این پیام را بر روی پورت های ترانک خود (به جز حالتی خاص) نیز ارسال کند؟ حالا می خواهیم آن را توضیح دهیم: غیر از پیام های VTP که که بهتر است کنترل شود تا بی هدف در کل شبکه پخش نشود، پیام های Broadcast که از ترانک های سوئیچ ها خارج می شوند نیز باید کنترل شوند. چرا؟ شکل زیر را در نظر بگیرید .

پروتکل VTP

Control Traffic Of VTP

در این شکل هر کدام از کامپیوتر ها نماد یک VLAN هستند.  PC 1  قصد دارد که پیامی را به صورتBroadcast ارسال کند. سوئیچ۱ : این پیام را برای سایر کامپیوتر های VLAN23 بر روی خود می فرستد، همچنین باید این پیام را بر روی تمام پورت های ترانک خود نیز ارسال کند تا این پیام به سایر اعضای VLAN23 در سوئیچ های دیگر نیز برسد. پیام به سوئیچ های دو و سه می رسد.

سوئیچ دو : VLAN ID بسته را کنترل می کند و متوجه می شود که این پیام به VLAN ای از مجموعه VLAN های خودش مربوط نیست بنابراین تنها آن را بر روی ترانک های خود (به غیر از آن که پیام از آن رسیده است) Forward می کند، پیام Forward شده از سوئیچ دو به دست سوئیچ چهار می رسد، سوئیچ چهار Header بسته را کنترل می کند و متوجه می شود که این بسته به VLAN23 او مربوط است، بنابراین Header بسته را حذف می کند و پیام اصلی را برای VLAN23 خود Forward می کند.

سوئیچ سه: Header پیام رسیده را چک می کند و متوجه می شود که VLAN ID این پیام ربطی به VLAN ID های خودش ندارد، بنابراین پیام را برای بر روی ترانک های خود (به غیر از آن که پیام از آن رسیده است) ارسال می کند که در این شکل سوئیچ سه دیگر ترانکی ندارد تا پیام را برای آن Forward کند!

سوال اینجاست که آیا واقعاً لازم است که این پیام ها برای همه سوئیچ ها و بر روی همه ترانک های خارجی ارسال شود؟ مثلا در شکل بالا چه نیازی وجود دارد که این پیام به سوئیچ سه برسد؟!

همان طور که مشخص است نه تنها نیازی به ارسال بیهوده این پیام ها نیست بلکه نباید هم اینگونه باشد، چرا که این عمل پهنای باند شبکه را به هدر می دهد و همچنین سبب پردازش و یک سری اعمال بی مورد روی سوئیچ ها می شود .

برای اجتناب از این عمل سوئیچ ها از دو روش پشتیبانی می کنند که به وسیله آن مدیر می تواند جریان ترافیک روی هر TRUNK را کنترل و محدود کند. یکی پیکربندی دستی است که به موجب آن مدیر باید روی هر ترانک لیست VLAN های مجاز را تعریف کند و روش دیگر VTP Pruning یا هرس کردن VTP نام دارد.

VTP می تواند به صورت پویا تشخیص دهد که کدام سوئیچ ها به فریم هایی از VLAN مشخصی نیاز ندارد و سپس پروتکل VTP آن فریم-های ارسالی از آن VLAN ها را از طریق ترانک های مناسبی هرس می کند.

شکل زیر این مفهوم را بهتر نشان می دهد.

VTP Pruning

VTP Pruning

پروتکل VTP مسئول پیام رسانی بین سوئیچ ها است و نیز اطلاعاتی از VLAN ها شامل نام و ID آنها و اینکه چه VLAN هایی به چه سوئیچی وصل است را همراه خود دارد که این اطلاعات دائماً به صورت Dynamic در فایلی به نام VLAN.dat که dat مخفف database است در حافظه ذخیره و نگهداری می شود. به این ترتیب هرس کردن VLAN ها برای این پروتوکل کار سختی نخواهد بود!

DTP

در حالت کلی یک پورت سوئیچ یا به VLAN خاصی نسبت داده شده یا یک پورت ترانک است. (البته اگر کلاً بلااستفاده نباشد!!) اگر این پورت ترانک باشد به راحتی می تواند اطلاعات سایر سوئیچ ها و VLAN ها را از خود عبور بدهد.

پروتکل DTP (که فقط مخصوص سوئیچ¬های سیسکو است) کمک می کند که در موارد لزوم یک پورت به صورت Dynamic به پورت ترانک تبدیل شود و بتواند با سوئیچ همسایه خود ارتباط برقرار کند و نتیجتاً اطلاعات ترانک را از خود عبور دهد. اکثر سوئیچ ها به صورت پیش فرض در حالت DTP قرار دارند، به این عمل ترانکینگ پویا گفته می شود.

Static VLAN و Dynamic VLAN

این کار به دو صورت Static (دستی) و Dynamic (غیر دستی!) پیاده سازی میشود. در روش دستی ، مدیر شبکه خودش مشخص می کند که کدام پورت از کدام سوئیچ به کدام VLAN متعلق است که البته این برای شبکه های بزرگ کار بسیار مشکل و تقریبا ناممکنی است! و البته یک ایراد اساسی نیز دارد!

و آن این است که در این روش مثلاً مدیر مشخص می¬کند که شماره پورت¬های ۱۳ ، ۱۴ و ۱۸ از سوئیچ ۳ متعلق بهVLAN بخش مالی یک شرکت است، حالا اگر شخصی لپ تاپ خود را بیاورد و به یکی از این پورت ها وصل شود عضو VLAN مالی محسوب می شود و این یعنی بد!!

در روش پویا تمام سوئیچ ها را به یک سرور وصل می کنیم، مدیر یک فایل متنی که لیست دسترسی (Access List) نام دارد را تعریف می کند به طور کلی مشخص می کند که مجموعه از پورت های سوئیچ به چه “نوع” کاربری یا “گروه کاربری” ای متعلق است، مثلا می تواند این سیاست را باMac Address اعمال کند یا به روش های مختلف دیگر؛

در این صورت تکلیف هر سوئیچ روشن می شود. در این صورت اگر کاربر نامربوطی بخواهد از پورتی که به او مربوط نیست استفاده کند، سوئیچ به طور خود به خود او را از دسترسی به VLAN ای که به او مربوط است منـــع می کند!

VLAN ها و Sub netting

در حالت عادی، تمام کامپیوترهایی که در یک LAN عضو هستند،Subnet مشترکی دارند، درست است؟ VLAN ها هم درست عین LAN هستند، به این معنی که اینجا نیز کامپیوترهایی که عضور یک VLAN هستند بایدSubnet های یکسانی داشته باشند.

پیشتر گفتیم که مقصد پیام ها در بین سوئیچ های مختلف از طریق VLAN ID ای که به هنگام خروج از پورت ترانک به فریم اضافه میشود به راحتی قابل تشخیص اند، اما در مورد پیام¬هایی که از یک VLAN در یک سوئیچ به یک VLAN دیگر در همان سوئیچ فرستاده می شود چطور می توان مقصد پیام را تشخیص داد که مربوط به کدام VLAN است؟

شکل زیر را در نظر بگیرید.

Vlan-and-Subnetting

Vlan-and-Subnetting

در این شکل یک سوئیچ لایه دو را می­بینیم که شامل سه VLAN است. در مورد این سوئیچ بعد از تشریح شکل، توضیحاتی نوشته شده است .

قدم۱ : کامپیوتر موجود در VLAN2 با Subnet ۱۰٫۱٫۱٫۰ و آدرس ۱۰٫۱٫۱٫۲ تصمیم دارد که پیامی را به کامپیوتر ۱۰٫۲٫۲٫۳ با Subnet ۱۰٫۲٫۲٫۰ بفرستد. پیام صادر شده از کامپیوتر ۱۰٫۱٫۱٫۲ به سوئیچ می رسد، سوئیچ پیام را گرفته، subnet  پیام را چک می­کند و چون subnet  مقصد پیام با subnet مبدا فرق می­کند متوجه می­شود که پیام برای VLAN دیگری ارسال شده است اما نمی­داند که آدرس Subnet  مقصد به کدام یکی از VLAN هایش متعلق است (در حقیقت چیزی از مسیریابی نمی­داند).

قدم ۲ : سوئیچ بسته را برای مسیریابی به روتر می­فرستد.

قدم۳ : روتر عملیات مسیریابی را انجام داده و با توجه به subnet متوجه می­شود که بسته به VLAN3 متعلق است، سپس VLAN ID مقصد را به همراه فریم برای سوئیچ ارسال می­کند.

قدم۴: سوئیچ بسته را دریافت کرده و آن به سوی کامپیوتر ۱۰٫۲٫۲٫۳ روانه می­کند.

این مثال غیر از بیان مفهوم subnetting در سوئیچ­ها به ما این مطلب را نشان داد که می­توانیم از سوئیچ­های معمولی لایه دو (که البته قابلیت VLANing داشته باشند) به همراه روتر برای VLANing استفاده کنیم.

سوئیچ­های معمولی که قابلیت VLAN داشته باشند، سوئیچ­های لایه دو هستند، سوئیچ­هایی­­اند که با پورت­ها سر و کار دارند. ولی سوئیچ­های لایه سه که جدیدتر هستند سوئیچ­هایی هستند که هم می­توانند کار سوئیچ­های لایه دو را انجام بدهند و هم مسیریابی که کار روتر­هاست! به عبارتی هم زبان پورت­ها را می­فهمند و هم زبان IP ها را.

و البته مسلم است که استفاده از این سوئیچ­ها اگرچه گرانتر از سوئیچ های لایه دو و روتر­ها می باشد ولی در کل باعث ساده شدن شبکه و بالاتربردن قابلیت آن می­ شوند .

جهت کسب اطلاعات بیشتر در مورد سوئیچ سیسکو بر روی عبارت مورد نظر کلیک کنید .

ادامه مطلب

توسط

در

وبلاگ

استاندارد 802.1Q IEEE در سوئیچ های سیسکو

روش ISL چند سالی است که به وسیله استاندارد 802.1Q IEEE جایگزین شده است.مزیت این استاندارد جدید آنست که بین تولید کنندگان مختلف شرکت بوده و همه دستگاه های مختلف که توسط آنان تولید می شوند از این استاندارد پشتیبانی می کنند.در حالیکه ISL را می توان فقط در دستگاه های سیسکو بکار برد.

بنابراین می توان از دستگاه هایی با مارک های مختلف بدون نگرانی در مورد اتصالات Trunk استفاده نمود.برخلاف روش ISL که تمامی فریم های Ethernet را همیشه Tag می نمود، این استاندارد دو روش را پیش می گیرد.

یکی اینکه فریم های Ethernet بدون اینکه تغییری روی آنها اعمال شود ، ارسال میشوند. یعنی این فریم ها Tag نشده و بنابراین اطلاعاتی در مورد VLAN با خود انتقال نمی دهند. در این وضعیت، عضویت در یک VALN خاص به وسیله پورت ها تعیین خواهد شد. مثلا هر دستگاهی که به یک پورت مخصوص اتصال داشته باشد، عضو یک VLAN خاص خواهد بود.

به این نوع از VLAN ها اصطلاحا Native VLAN گفته می شود. روش دیگر هم این است که سوئیچ تمامی فریم ها را Tag کرده ، و فقط دستگاه هایی که از استاندارد 802.1Q IEEE استفاده می کنند قادر به پردازش آنها می باشند. یکی دیگر از مزیت های این استاندارد این است که، هر دوی فریم های Tagged و Untagged بطور همزمان می توانند در داخل یک ارتباط Trunk قرار داشته باشند. که این را می توان در شکل زیر مشاهده نمود.

استاندارد 802.1Q IEEE

802.1Q-Trunk

در این شکل VLAN ای که به شکل خطوط سبز نشان داده شده و شامل دستگاه هایA,B,E و F می شود . از فریم های Tagged در حین اتصال Trunk بین سوئیچ A و B استفاده می کند. تمامی دستگاه هایی که به این VALN اتصال دارند . باید قابلیت استفاده از 802.1Q را داشته باشند تا توانایی خواندن اطلاعات مربوط به VLAN موجود در فریم Tagged را داشته باشند تا توانایی خواندن اطلاعات مربوط به VLAN موجود در فریم Tagged را داشته باشند .

همچنین کامپیوتری به نام G نیز توسط یک Hub به دو سوئیچ وصل شده است .

استاندارد 802.1Q IEEE

این دستگاه دارای کارت شبکه استاندارد بوده و در نتیجه متوجه فریم های Tagged نشده و آنها پردازش نخواهد کرد . اما کامپیوتر G عضو VLAN دیگر است که با خطوط قهوه ای مشخص شده و کامپیوتر های C و D نیز همان VLAN هستند .

برای اینکه دستگاه های فوق بتوانند با همدیگر ارتباط برقرار نمایند ، اتصال Trunk برقرار شده بین سوئیچ های A و B باید قادر به انتقال فریم های Untagged نیز باشد تا دستگاه G نیز بتوانند از اطلاعات ارسالی استفاده کند . در نتیجه اتصال Trunk ایجاد شده بین سوئیچ A و B باید هر دو نوع فریم های Tagged و Untagged را به صورت همزمان از خود عبور بدهد .
یکی از محدودیت هایی که در 802.1Q وجود دارد این است که همه دستگاه های موجود در هر دو طرف اتصال باید از یک نوع فریم( Tagged یا Untagged ) استفاده نمایند .

در قسمت های قبلی اشاره گشت که روش Tagging اضافه کرده و فریم اصلی Ethernet مابین این دو قرار می گیرد . اما رو شکار در 802.1Q بدین صورت است که یک فیلد ۴ بایتی به نام Tag در داخل خود فریم Ethernet جاسازی شده و FCS فریم از اول محاسبه خواهد شد . بنابراین فریم اصلی Ethernet تغییر خواهد یافت .

۲ بایت اول فیلد Tag برای مشخص کردن پروتکل مورد استفاده قرار می یگرد.برای مثال فریم های Ethernet از عدد ۸۱۰۰x0 استفاده می کنند .۳ بیت بعدی برای شماره گذاری خود فریم مورد استفاده قرار گرفته و یک بیت بعدی نیز شناسه Token Ring می باشد . سر انجام ۱۲ بیت آخری نیز برای مشخص کردن VLAN ها کاربرد دارد .

شکل زیر نشان دهنده مراحلی است که طی آن ،یک فریم استاندارد Ethernet حین عملیات Tagging تغییر می یابد .

802.1Q- Tagging , استاندارد 802.1Q IEEE

802.1Q- Tagging

همانطوریکه میبینید، مرحله اول، یک فریم استاندارد Ethernet را نمایش می دهد، که در مرحله دوم فیک فیلد به نام Tag در داخل آن جاسازی شده و FCS آن دوباره محاسبه خواهد شد .

همچنین فیلد Tag بعد از فیلد حاوی آدرس MAC گیرنده قرار می گیرد .

یکی ازمزیت های دیگر استفاده از این روش آنست که با جاسازی ۴ بایت در داخل فریم Ethernet ، اندازه کلی فریم معمولا از ۱۵۱۸ بایت فراتر نخواهد رفت و بنابراین می توان این فریم ها را از طریق اتصالات Link Access نیز ارسال نمود .

جهت کسب اطلاعات از قیمت سوئیچ سیسکو ، روی عبارت مورد نظر کلیک فرمایید .

ادامه مطلب

توسط

در

وبلاگ

گذاشتن پسورد برای Line Console در سیسکو

گذاشتن پسورد برای Line Console در سیسکو

در این مقاله ست کردن پسورد برای Line Console در دستگاه‌ های سیسکو را بررسی خواهیم کرد . روش‌های مختلفی برای دسترسی به روتر و سوئیچ سیسکو وجود دارد. از پورت کنسول Console و پورت‌های مجازی Line Vty و سایر سطوح می‌توان استفاده کرد. قابلیت گذاشتن پسورد برای افزایش امنیت مورد بهره‌برداری قرار می‌گیرد .

دو راه کلی برای این تنظیم وجود دارد :

روش اول ست کردن پسورد برای پورت کنسول Console

هنگامی که login را تایپ می‌کنیم؛ رمز عبور خود Line Console به کار خواهد رفت.  فقط امکان قرار دادن یک پسورد وجود دارد. با هر تنظیم رمز عبور، این پسورد جایگزین پسورد قبلی می‌شود .

Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RootLan(config)#line console 0    **
RootLan#password rootlan
RootLan#login
RootLan#exit

لاین کنسول یک عدد بیشتر نیست ولی سیسکو عادت به وارد کردن شماره دارد و شماره‌ها از صفر آغاز می‌شوند. برای همین مجبور به وارد کردن شماره بعد از دستور هستیم .

در صورتی که قصد دارید password را برای Line Console حذف کنید، در Line Console عبارت no password را تایپ کنید .

Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RootLan(config)#line console 0
RootLan(config-line)#no password
RootLan(config)#exit

روش دوم ست کردن پسورد برای Line Console با استفاده از Local

در این روش ما ابتدا username و password می‌سازیم و سپس به Line Console می‌گوییم کلمه و رمز عبور را از local سیستم تایید کند. هنگامی که قصد داریم برای هر کارمند یک username و password برای ورود به Line Console ایجاد کنیم از این روش استفاده می‌کنیم .

توجه داشته باشید که در روش اول، ابتدا به Line Console وارد می‌شویم و سپس رمز عبور ست می‌کنیم. اما در مرحله دوم User Name و Password را ایجاد می‌کنیم و بعد وارد Line Console شده و login local را می‌زنیم .

Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RootLan(config)#username rootlan password cisco
RootLan(config)#exit
Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RootLan(config)#line console 0
RootLan(config)#login local
RootLan(config)#exit

اگر بخواهیم بخشی را که username و password درخواست می‌کند حذف کنیم، در Line Console عبارت no Login Local را تایپ می‌کنیم. چنان‌چه Show run بگیریم، با این‌که می‌توانیم نام کاربری و رمز عبورهای ست شده را ببینیم، اما در صورت برگشت به نقطه اول جهت ورود، دیگر User Name و Password را نمی‌خواهد .

جهت غیرفعال کردن نیز به ابتدای همان محلی که Login یا Login Local را وارد می‌کردیم، یک No اضافه می‌کنیم .

Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RootLan(config)#line console 0
Switch(config-line)#no login local
RootLan(config)#exit

م

ادامه مطلب

توسط

در

وبلاگ

مدارک سیسکو

مدارک سیسکو

مدارک سیسکوسیسکو در 156 کشور دنیا ، به منظور تعلیم افراد برای طراحی و نگهداری شبکه های کامپیوتری ، مرکزهای آموزشی تأسیس کرده است . سیسکو مدارکی را برای متخصصین در زمینه های مختلف شبکه ارائه می کند . مدارک سیسکو شامل این مدارک می شود :

دسته ی اول  (دستیار یا کارشناس شبکه)

دسته اول مدارک سیسکو Associate یا دستیار است ، یعنی قرار گرفتن در ابتدای مسیر .گرایش شما هرچه که باشد می بایست پیش از اخذ هر مدرک و یا گذراندن هر دوره ای، CCNA با گرایش Routing&Switching را بگذرانید ! بعد از آن چنانچه خواستار تغییر گرایش از Routing&Switching به سایرگرایش ها باشید ، می بایست مدرک Associate آن گرایش را نیز اخذ کنید . مثلاً چنانچه به Security علاقه مند هستید ، باید مدرک CCNA با گرایش Security را کسب کرده و سپس به سطح بالاتر یعنی Professional صعود نمود .

Associate Certifications

CCNA Routing and Switching •

CCDA •

CCNA Data Center •

CCNA Security •

CCNA Service Provider •

CCNA Service Provider Operations •

CCNA Video •

CCNA Voice •

CCNA Wireless •

دسته ی دوم (کارشناس ارشد شبکه)

 

دسته دوم مدارک سیسکو ، Professional Certifications است .

Professional Certifications

CCDP •

CCNP •

CCNP Data Center •

CCNP Security •

CCNP Service Provider •

CCNP Service Provider Operations •

CCNP Voice •

CCNP Wireless •

دسته ی سوم مدارک سیسکو (متخصص شبکه یا همان دکترای شبکه)

Expert Certifications

CCDE •

CCIE Collaboration •

CCIE Data Center •

CCIE Routing & Switching •

CCIE Security •

CCIE Service Provider •

CCIE Service Provider Operations •

(CCIE Voice (Retiring February 13, 2014 •

CCIE Wireless •

دسته ی چهارم (معمار شبکه و هم هکاره شبکه)

دسته چهارم مدارک سیسکو سطح Architect است که در سالها اخیر توسط سیسکو ارائه شده است ، بالاترین سطح مدرک مهندسی شبکه در بین کلیه ی مدارک بین المللی شبکه است . ظاهراً شرکت سیسکو با ارائه ی این سطح خواسته تا برترین متخصصان بین المللی شبکه را گلچین نماید ، شاید بتوان رتبه ی Cisco Certified Architect معادل فوق دکترای شبکه در گرایش Design دانست !

ادامه مطلب

توسط

در

Uncategorized

معرفی WDS در روترهای وایرلس و اکسس پوینت ها

معرفی  WDS در روترهای وایرلس و اکسس پوینت ها

WDS یا ( Wireless Distribution System سیستم توزیع بیسیم) سیستمی است که دستگاه های بیسیم (اکسس پوینت ها، مودم های وایرلس و روترهای وایرلس) در استاندارد 802.11 را قادر به برقرای ارتباط داخلی می کند . این مکانیزیم به شبکه های بیسیم اجازه می دهد تا محیط تحت پوشش خود را با استفاده از یک یا چند اکسس پوینت دیگر ، بدون نیاز به لینک سیمی بین آنها ، گسترش دهند .

به طور کلی ما با Wireless Distribution System می توانیم 3 کار را انجام دهیم :

1- برای ارتباط اکسس پوینت ها و گسترش شبکه های داخلی

معمولا Access Point ها برای وصل شدن به یکدیگر نیاز به ارتباط کابلی دارند اما این قابلیت امکان بیسیم بین دو Access Point  را فراهم می کند . اگر شما دو Access Point داشته باشید و یکی از آن ها سرویس دهنده اصلی باشد Access Point  دوم تنها امواج فرستنده را گرفته و تقویت کرده و مجدد ارسال می کند .

2- برای توزیع شبکه بیسیم

در این نوع که معمولا در خارج از کشور بهتر و بیشتر استفاده می گردد ، زیرا اینترنت رایگان بوده به این صورت که یک روتر به عنوان روتر مرکزی قرار می گیرد و همه مودم های اطراف را به آن روتر تنظیم می کنند و در همه جای شهر از یک روتر برای اینترنت استفاده خواهد شد . در ایران این نوع هیچ وقت انجام نمی گیرد چون اینترنت رایگان نمی باشد همچنان این روش در خارج از کشور امکان پذیر است اما به علت استفاده کم ، ضرر های کمی نیز دارد .

3- هک اینترنت

با این روش میتوان یک روتر مرکزی که یک دستگاه دیگر است راشناسایی کرد و می توان با گذاشتن مک ادرس آن روتر بر روی دستگاه روتر خود از اینترنت شخص بدون اطلاع استفاده کرد !!! البته این روش خیلی کار برد ندارد !!

در اجرای یک لینک WDS نکات زیر را به دقت به یاد داشته باشید :

  1. برای ساختن اتصال Wireless Distribution System مابین دو دستگاه مختلف، باید هر دوی آنها Wireless Distribution System را پشتیبانی کنند اما فعال کردن این قابلیت روی یکی از آن ها کافیست .
  2. بهترین مزیت Wireless Distribution System نسبت به روش های مشابه این است که مک آدرس فریم های اترنت در طول لینک Wireless Distribution System حفظ خواهند شد .
  3. روترهای مرکزی و تکرار کننده باید روی کانال وایرلس ، متد رمزنگاری و پسورد یکسانی تنظیم شوند . در برخی دستگاه ها SSID جدیدی میتوان برای دستگاه تکرار کننده (Repeater) استفاده نمود .
  4. در اکثر مواقع پهنای باند شبکه ای که روی WDS کار می کند نصف خواهد شد . (مثلا در حالتی که کلاینت های وایرلسی به روتر تکرار کننده متصل می شوند ) . برای کلاینت های که بصورت کابلی به روتر متصل می شوند پهنای باند تغییری نخواهد کرد .
  5. Wireless Distribution System ممکن است بین محصولات مختلف سازگار نباشد (حتی محصولاتی از یک تولید کننده!!!) زیرا استاندارد IEEE 802.11-1999 بطور کامل نحوه انتقال فریم های داده و نحوه عملکرد روترهای وایرلس را در این مد ، تشریح نکرده است . پس برای اجرا سعی کنید حداقل از برند یکسانی برای اکسس پوینت مرکزی و اکسس پوینت تکرار کننده استفاده نمایید .
  6. متد های رمز نگاری که کلیدهای دینامیک برای رمزنگاری به کار می برند مانند  متد WPA/TKIP یا WPA2 در بیشتر مواقع در لینک Wireless Distribution System قابل استفاده نیستند ، اگرچه WPA/PSK اکثرا کار خواهد کرد . این مشکلات بخاطر ضعف استاندارد گذاری در این حوزه بوده و با معرفی استاندارد IEEE 802.11s احتمالا رفع خواهند شد . در نتیجه متد WEP و WPA استاتیک (PSK) را بکار ببرید . در ضمن در فریم ویرهایی که توسط توسعه دهندگان غیر رسمی مانند OpenWRT یا DD-WRT برای روترهای وایرلس مختلف ساخته می شود میتوان WDS را در متدهای پیشرفته تر رمزنگاری مانند WPA2 بکار گرفت اما به یاد داشته باشید این فیرم ویرها رسمی نبوده و باعث ابطال گارانتی محصول شده و ریسک بالایی برای نصب دارند .
ادامه مطلب

توسط

در

Uncategorized

مفهوم پروتکل

مفهوم پروتکل

بنظر من هنوز معنای پروتکل برای بسیاری نامفهوم هست که واقعا چرا آخر هر سرویس و یا خدماتی در شبکه کلمه پروتکل رو اضافه میکنن ؟ باید بگم پروتوکل همانگونه که از نامش پیداست یک قانون هست خوب شاید اینو همه ی ما بلد باشیم اما باید بگم بیشتر از یک قانون است !!! یعنی چی ؟ شما فرض کنید در دبیرخانه یک اداره بزرگ کار می کنید و وظیفه شما تفکیک و ارجاع نامه هاست که باید به مسئول مرتبطش ارجاع داده بشه!

اولش براتون سخته که بدونین این نامه با موضوع مثلا درخواست ملزومات مسئولش کی هستش ! اما بعد از یک مدت متوجه میشین که چه نامه هایی با چه موضوعاتی مربوط به چه کسانی هست و کدوم افراد باید به این نامه ها جواب بدن ! خوب اون موضوعه همون پروتکله هستش که میگه باباجان من باید برم تو پورت مثلا 21 تا یک نرم افزار مثل FTP بتونه منو بخونه و به من جواب بده! !!

در واقع شما با مشاهده موضوع نامه بدون اینکه بخواین متنش رو بخونین میتونین تشخیص بدین که حاوی چه اطلاعاتی هستش !!! برخی دیگر از پروتکلها برچسب هایی هستند که در هدر بسته ها اضافه می شوند و میتونن اون بسته رو سفارشی کنن مثل پروتکل TCP و UDP ، برخی دیگر از پروتکلها به شما خدماتی رو ارائه می دهند مثل پروتکل NTP که مربوط هستش به زمان جهانی و یا پروتکل NNTP که حاوی اطلاعات خبری است! برخی از پروتکلها هم حاوی یک سری اطلاعات هستن مثل SMTP که مربوط به ایمیل هستش ! و هزاران پروتوکل دیگه که میتونن در قالب TCP یا UDP ارائه شوند یعنی پست سفارشی یا عادی !

نکته ی مهم : این نکته رو همیشه بخاطر داشته باشید که اگر اطلاعات در قالب پروتکل ارائه نمی شد علاوه بر موضوعی که گفتم امکان کنترل و نظارت روی آن هم وجود نداشت یعنی اینکه شما از ده ها روش میتونین روی همین بسته ها اعمال کنترل و نظارت و به نوعی فیلترینگ کنید! امیدوارم این موضوع براتون روشن شده باشه .

 

پروتکل

شما پروتکل رو به عنوان یک شخص در نظر بگیرین که این آقا یا خانم یک وظیفه ای رو به عهده داره . مثلا توی یک مجلس عروسی یک نفر مسئول شمردن مهمونهاست تا صاحب مجلس تعداد نفرات رو بدونه که چند نفر اضافه تر اومدن یا کمتر . این فرد که مسئولیتی رو به عهده داره ما به این شخص میگیم ” آقای پروتوکل شمارشگر مهمانها” . یعنی کارش فقط اینه که مهمونها رو بشماره و کسی انتظار دیگه ای ازش نداره .

در همون مجلس عروسی یک شخص مسئول جمع آوری هدایاست و فقط و فقط کارش همینه .. یعنی مسئولیت و قانونی که براش تعیین کردن در این حیطه هست که ما بهش میگیم “آقای پروتوکل جمع آوری هدایا” و کسی انتظار دیگه ای ازش نداره .
توی شبکه هم همینه . هر کاری که داخل شبکه انجام میدیم کسی جز “آقایون پروتوکل” اینکار را انجام نخواهند داد . دوستان خوب درک کنیم که همه کارهای داخل شبکه . همه و همه رو یکسری آقایون به نام پروتوکل انجام میدن.

مثلا پروتکل ARP : این آقای ARP کارش اینه که بیاد آدرس آی پی رو به مک آدرس تبدیل کنه . یعنی وقتی شما پینگ میکنین یک آدرس آی پی رو ، در حقیقت پشت صحنه آقای پروتوکل ARP داره این تبدیلات رو انجام میده .

در معماری 7لایه OSI و یا 4 لایه TCP/IP شما در نظر بگیرین که یک ساختمان 7 طبقه یا 4 طبقه دارین . داخل تمام این طبقات افرادی که پروتوکل نام دارند ، دارند فعالیت می کنند . هر کدومشون هم وظایف خاص خودشون رو دارند .

 

معماری 7لایه OSI

حالا از طبقه هفتم قراره یک بسته ای بره به یک ساختمان دیگه ای در اونطرف خیابون . خب حالا این بسته برای اینکه بتونه بره به سمت دروازه ساختمان اول باید 7 تا مرحله رو طی کنه.. همه این طبقات یا مراحل میان مجددا این بسته رو بسته بندی می کنند(باند پیچی می کنند) و مشخصات و لیبل ها (هدرهای ) مربوط به همون طبقه رو به این بسته می زنند و میفرستنش به طبقه پایین تر (این آقایون پروتکل هستند که اینکار رو انجام میدن) . این مراحل ادامه پیدا میکنه تا اینکه بسته رو برسونن به دروازه و دست آژانس تلفنی (بستر ارتباطی .. کابل .. وایرلس .. فیبر نوری و …) تا ببره به مقصد و در مقصد هم این بسته تا به بالای طبقه ساختمونش میرسه و هر طبقه حالا بالعکس بسته ها رو از از بستش(باندش) جدا می کنه و اطلاعاتی رو که میخواد برمی داره و میده به طبقه بالاتر خودش .

پس میبینیم که توی کلیه مسیرها افرادی هستند تحت عنوان پروتکل که برای رسیدن یک بسته به مقصدش فعالیت می کنند تا این بسته بصورت صحیح به مقصدش برسه .

ادامه مطلب

توسط

در

Uncategorized

پروتکل SSH

پروتکل SSH

SSH ( پوسته امن )،پروتکل استانداردی برای مبادله ی رمز شده بین یک کامپیوتر و یک سرویس دهنده است. پروتکل رمزنگاری از مشاهده اطلاعات مبادله شده توسط اپراتور شبکه جلوگیری میکند. SSH میتواند برای کاربردهای متعددی بکار رود، که برقراری اتصال امن (secure login) و انتقال فایل امن (SCP/SFTP) کاربردهای رایج آن هستند.

کاربردهای SSH Tunneling

پروتکل SSH از آن دسته پروتکل هایی است که قابلیت های مرموز و در عین حال مخفی ای دارد که بسیاری از افرادی که از این پروتکل استفاده میکنند، به آن پی نبرده اند. یکی از این قابلیت ها، توانایی در ایجاد تونل های Encrypt شده در بطن پروتکل SSH است، که کانال های ارتباطی دو طرفه را پشتیبانی میکند. SSH یک پروتکل امن ارتباطی است که داده ها را از میان یک Tunnel ارتباطی امن منتقل می کند. SSH Tunneling تکنیک دیگری است که مهاجمین می توانند از طریق آن محدودیت های فایروال ها را دور بزنند و از آنها عبور کنند. با استفاده از SSH Tunneling آدرس IP شما نیز در محیط اینترنت مخفی باقی می ماند بنابراین هیچکس نمی تواند شما را مانیتور و یا شنود کند.

یکی از دلایلی که پروتکی مثل SSH طراحی شد مشکلاتی بود که در بحث استفاده از آدرس های IP عمومی یا Public وجود داشت ، به این معنی که هر کسی می توانست از هر جای دنیا به آدرس IP سرور شما متصل شود و این شخص ممکن است یک هکر باشد. مهاجمین با داشتن آدرس IP Public شما امکان حمله به شما از هر جای دنیا را داشتند. توسعه و طراحی SSH Tunneling مشکلات بسیاری که در حوزه امنیت آدرس های IP عمومی وجود داشت را حل کرد.

مکانیزم کاری SSH Tunnel زیاد پیچیده نیست و در واقع این تکنیک از یک سرور و یک کلاینت تشکیل شده است که Session ارتباطی امنی بین همدیگر برقرار می کنند که هیچکس نمی تواند وارد این Session و ارتباطات آن شود و به همین دلیل امنیت بالایی دارد و از طرفی تجهیزات یا افرادی که در مسیر راه امکان شنود اطلاعات را دارند نیز نمی توانند وارد مسیر مورد نظر بشوند. ایجاد کردن یک Tunnel برای ارتباط بین دو ماشین با آدرس های IP غیر عمومی یا Private نیازمند پیاده سازی سه مرحله ای و حداقل داشتن سه ماشین است ، این سه ماشین که در فرآیند SSH Tunnel استفاده می شوند موارد زیر هستند :
1.ماشین محلی ( Local Machine )
2.یک ماشین واسط میانی دارای آدرس IP Public جهت ارتباط اینترنتی
3.ماشین هدف که دارای یک آدرس IP غیر عمومی است و قبل از ارتباط ماشین محلی بایستی ارتباطش با ماشین میانی برقرار شود.

SSH Tunneling

SSH Tunneling

شما می توانید به ترتیب زیر Tunnel ایجاد کنید :

• یک SSH Connection از Local Machine تا ماشین واسط یا Intermediate Machine ایجاد کنید که دارای آدرس IP Public است.

• به SSH Connection فرمان بدهید که صبر کند و ترافیک را از Local Port به سمت Intermediate Machine یا ماشین واسط منتقل کند تا ماشین واسط به سمت ماشین هدف ( Target Machine ) ترافیک را با آدرس IP Private انتقال دهد ! به اینکار Port Acceleration یا Port Forwarding گفته می شود.

• بر روی Local Machine نرم افزاری که می خواهید با ماشین مقصد ارتباط داشته باشد را انتخاب می کنید و تنظیمات Port Forwarding را بر روی آن انجام می دهید. حالا هر زمان که شما به local port متصل شوید ! ترافیک شما خودکار به سمت Remote Machine منتقل می شود.

بصورت ساده تر شما از کامپیوتر مبدا یک ارتباط SSH با کامپیوتر واسط برقرار می کنید. کامپیوتر واسط یک آدرس IP معتبر اینترنتی دارد، شما هر ترافیکی که از ماشین مبدا بخواهید به مقصد برسد طبیعتا اول باید با کامپیوتر واسط ارتباط بگیرد. یعنی اگر بخواهیم بگوییم یک فایل را آپلود کند اول باید دستور ما به کامپیوتر واسط برسد. سیستم مقصد الزامی ندارد که IP عمومی داشته باشد چون اگر اینترنت داشته باشد کافی است که بتواند  به کامپیوتر واسط وصل شود، هر ترافیکی با هر پورتی بخواهد از کامپیوتر مبدا به کامپیوتر مقصد منتقل شود باید در تونل SSH قرار بگیرد یعنی به عبارت دیگر تبدیل به پورت 22 شود!! خوب اینکار را میگوییم تبدیل پورت یا Port Forwarding. حالا هر نرم افزاری که قرار بود از سیستم مبدا به مقصد متصل شود را باید تنظیمات استفاده از SSH Tunnel را روی آن انجام بدهیم. شما اگر یک کامپیوتر با پروکسی اینترنت داشته باشید طبیعی است که باید تنظیمات پروکسی را روی نرم افزارهایی که اینترنت میخواهند انجام بدهید.

خوب برای اینکه ارتباط بین سیستم ها امن باشد SSH از دو کلید رمزنگاری PKI برای رمزنگاری مسیر و داده ها استفاده می کند. این کلیدها نمایانگر کامپیوترهای مورد اعتماد در مسیر ارتباطی هستند. زمانیکه یک SSH Connection در حال ایجاد شدن است ، هر دو ماشین کلیدهای عمومی خودشان را به همدیگر می دهند ، اما فقط کامپیوتری قادر به رمزگشایی خواهد بود که کلید خصوصی را داشته باشد.

ادامه مطلب

توسط

در

وبلاگ

تعریف Trunk

تعریف Trunk 

به عنوان کسی که در حوزه شبکه فعالیت میکند حتما میدانید که ما مفهومی به نام VLAN داریم که پورت های سویچ ها را از هم تفکیک و ترافیک آنها را مجزا می کنیم و در وهله اول باید به این موضوع توجه کنید که شما می توانید VLAN هایی به یک اسم و با یک ID مشترک در سویچ های مختلف شبکه داشته باشید که ترافیک این سویچ ها در این پورت ها برای VLAN مورد نظر ایزوله است !!

پس این طرز فکر را از ذهنتان بیرون بیندازید که VLAN فقط مختص یک سویچ و پورت های آن است و بس !!

شما می توانید کامپیوتری در VLAN 100 در سویچ MALI داشته باشید که بعد از جدا کردن از سیستم و بردن آن به طبقه دهم و اتصال به سویچ MODIRIYAT همچنان در همان VLAN 100 قرار داشته باشد !! اما چطور ممکن است که ما همچنان در یک VLAN باشیم و با کامپیوترهایی در سویچ های دیگر در همان VLAN صحبت کنیم ؟ شما می توانید با استفاده از یک پورت به عنوان شاه پورت ترافیک سویچ های مختلف به هم را مدیریت و آنها را به هم متصل کنید به این شاه پورت در اصطلاح فنی پورت Trunk گفته می شود.

پورت Trunk چیست

یک پورت ترانک یا Trunk Port در واقع پورتی است که وظیفه آن انتقال ترافیک VLAN هایی است که سویچ به آنها دسترسی دارد ، به فرآیندی که در آن ترافیک VLAN ها می تواند به سویچ دیگر از طریق پورت Trunk منتقل شود نیز Trunking گفته می شود. پورت های Trunk هر Frame را با استفاده از یک برچسب شناسایی منحصر به فرد که در اصطلاح Tag گفته می شود علامت گذاری می کند ، برای مثلا برچسبی بر روی یک Frame قرار می گیرد که مشخص کننده این است که این Frame متعلق به VLAN 100 می باشد.

البته برچسب های متنوعی وجود دارند که بر اساس پروتکل های مورد استفاده در سویچ متفاوت هستند ، معمولترین نوع برچسب ها یا Tag های مورد استفاده در Trunking برچسب 802.1Q و همچنین برچسب Inter-Switch Link یا ISL می باشد. این برچسب ها یا Tag ها زمانی کاربرد دارند که ترافیک بین سویچ ها جابجا می شوند. با استفاده از این مکانیزم و برچسب ها هرگاه یک Frame از سویچ خارج شود با توجه به برچسب مورد نظر ، مشخص می شود که قرار است به کجا هدایت شود و مسیر مشخصی را طی خواهد کرد و به VLAN مورد نظر ما هدایت می شود.

به این نکته توجه کنید که یک پورت اترنت یا می تواند یک Access Port باشد یا یک Trunk Port و نمی تواند بصورت همزمان هر دو کار را انجام بدهد ، بنابراین به پورتی که به عنوان Trunk تعریف شده است کامپیوتری را نمی توانید متصل کنید. نکته جالبتر در خصوص پورت های Trunk این است که برخلاف پورت های Access یا دسترسی ، این پورت ها می توانند همزمان به عضویت چندین VLAN در بیایند و به همین دلیل است که می توانند ترافیک های VLAN های مختلفی را همزمان هدایت کنند.

 

Trunk Port

Trunk Port

همانطور که گفتیم برای اینکه پورت ترانک ما به درستی بتواند ترافیک های VLAN های مختلف را هدایت کند با استفاده از پروتکل 802.1Q هر کدام از Frame هایی که از پورت های مختلف سویچ دریافت می شوند را برچسب گذاری یا Tag می زند. به این فرآیند 802.1Q Encapsulation نیز گفته می شود. در این روش Tag مورد نظر و مربوط به VLAN مورد نظر بر روی Header بسته یا Frame اطلاعاتی ما قرار می گیرد. محتویات این برچسب یا Tag مشخص کننده VLAN ای است که Frame از آن وارد سویچ شده است.

این فرآیند باعث می شود که هرگاه ترافیک از پورت های Trunk یک سویچ عبور می کنند مشخص باشد که قرار است به کدام VLAN وارد شوند و همزمان می توان چندین Frame از VLAN های مختلف را درون یک Trunk Port هدایت کرد. بصورت پیشفرض همه ترافیک VLAN های مختلف به سمت همه Trunk Port ها هدایت می شوند اما شما می توانید این روند را تغییر بدهید و طراحی خاص خودتان را در سویچ ها پیاده سازی کنید.

منظور از Native VLAN چیست

اما در این میان یک نکته جالب وجود دارد و آن هم VLAN محلی یا Native VLAN است. مفهوم این موضوع خیلی ساده است ، تصور کنید که 802.1Q هیچ برچسب یا Tag ای برای یک Frame قرار ندهد و آن را در Trunk برای سایر سویچ ها ارسال کند !! خوب چه اتفاقی می افتد ؟ سویچ های مقصد با توجه به برچسب باید مسیر Frame را و اینکه باید در کدام VLAN قرار بگیرد مشخص کنند اما Tag ای وجود ندارد !

در چنین مواقعی بصورت پیشفرض ما یک VLAN از قبل تعریف و پیکربندی شده بر روی همه سویچ ها داریم که به آن Native VLAN گفته می شود به این معنی که اگر ترافیک مورد نظر ما یا بهتر بگوییم Frame های ما که از پورت Trunk می آیند فاقد برچسب یا Tag بودند به سمت یک VLAN مشخص هدایت شوند که به آن Native VLAN گفته می شود.

ادامه مطلب

 

Recent Comments by admin

    No comments by admin