آرشیو دسته بندی ها:Uncategorized

توسط

در

معرفی WDS در روترهای وایرلس و اکسس پوینت ها

WDS یا ( Wireless Distribution System سیستم توزیع بیسیم) سیستمی است که دستگاه های بیسیم (اکسس پوینت ها، مودم های وایرلس و روترهای وایرلس) در استاندارد 802.11 را قادر به برقرای ارتباط داخلی می کند . این مکانیزیم به شبکه های بیسیم اجازه می دهد تا محیط تحت پوشش خود را با استفاده از یک یا چند اکسس پوینت دیگر ، بدون نیاز به لینک سیمی بین آنها ، گسترش دهند .

به طور کلی ما با Wireless Distribution System می توانیم 3 کار را انجام دهیم :

1- برای ارتباط اکسس پوینت ها و گسترش شبکه های داخلی

معمولا Access Point ها برای وصل شدن به یکدیگر نیاز به ارتباط کابلی دارند اما این قابلیت امکان بیسیم بین دو Access Point را فراهم می کند . اگر شما دو Access Point داشته باشید و یکی از آن ها سرویس دهنده اصلی باشد Access Point دوم تنها امواج فرستنده را گرفته و تقویت کرده و مجدد ارسال می کند .

2- برای توزیع شبکه بیسیم

در این نوع که معمولا در خارج از کشور بهتر و بیشتر استفاده می گردد ، زیرا اینترنت رایگان بوده به این صورت که یک روتر به عنوان روتر مرکزی قرار می گیرد و همه مودم های اطراف را به آن روتر تنظیم می کنند و در همه جای شهر از یک روتر برای اینترنت استفاده خواهد شد . در ایران این نوع هیچ وقت انجام نمی گیرد چون اینترنت رایگان نمی باشد همچنان این روش در خارج از کشور امکان پذیر است اما به علت استفاده کم ، ضرر های کمی نیز دارد .

3- هک اینترنت

با این روش میتوان یک روتر مرکزی که یک دستگاه دیگر است راشناسایی کرد و می توان با گذاشتن مک ادرس آن روتر بر روی دستگاه روتر خود از اینترنت شخص بدون اطلاع استفاده کرد !!! البته این روش خیلی کار برد ندارد !!

در اجرای یک لینک WDS نکات زیر را به دقت به یاد داشته باشید :

برای ساختن اتصال Wireless Distribution System مابین دو دستگاه مختلف، باید هر دوی آنها Wireless Distribution System را پشتیبانی کنند اما فعال کردن این قابلیت روی یکی از آن ها کافیست .
بهترین مزیت Wireless Distribution System نسبت به روش های مشابه این است که مک آدرس فریم های اترنت در طول لینک Wireless Distribution System حفظ خواهند شد .
روترهای مرکزی و تکرار کننده باید روی کانال وایرلس ، متد رمزنگاری و پسورد یکسانی تنظیم شوند . در برخی دستگاه ها SSID جدیدی میتوان برای دستگاه تکرار کننده (Repeater) استفاده نمود .
در اکثر مواقع پهنای باند شبکه ای که روی WDS کار می کند نصف خواهد شد . (مثلا در حالتی که کلاینت های وایرلسی به روتر تکرار کننده متصل می شوند ) . برای کلاینت های که بصورت کابلی به روتر متصل می شوند پهنای باند تغییری نخواهد کرد .
Wireless Distribution System ممکن است بین محصولات مختلف سازگار نباشد (حتی محصولاتی از یک تولید کننده!!!) زیرا استاندارد IEEE 802.11-1999 بطور کامل نحوه انتقال فریم های داده و نحوه عملکرد روترهای وایرلس را در این مد ، تشریح نکرده است . پس برای اجرا سعی کنید حداقل از برند یکسانی برای اکسس پوینت مرکزی و اکسس پوینت تکرار کننده استفاده نمایید .
متد های رمز نگاری که کلیدهای دینامیک برای رمزنگاری به کار می برند مانند متد WPA/TKIP یا WPA2 در بیشتر مواقع در لینک Wireless Distribution System قابل استفاده نیستند ، اگرچه WPA/PSK اکثرا کار خواهد کرد . این مشکلات بخاطر ضعف استاندارد گذاری در این حوزه بوده و با معرفی استاندارد IEEE 802.11s احتمالا رفع خواهند شد . در نتیجه متد WEP و WPA استاتیک (PSK) را بکار ببرید . در ضمن در فریم ویرهایی که توسط توسعه دهندگان غیر رسمی مانند OpenWRT یا DD-WRT برای روترهای وایرلس مختلف ساخته می شود میتوان WDS را در متدهای پیشرفته تر رمزنگاری مانند WPA2 بکار گرفت اما به یاد داشته باشید این فیرم ویرها رسمی نبوده و باعث ابطال گارانتی محصول شده و ریسک بالایی برای نصب دارند .

ادامه مطلب

توسط

admin

در

Uncategorized

مفهوم پروتکل

بنظر من هنوز معنای پروتکل برای بسیاری نامفهوم هست که واقعا چرا آخر هر سرویس و یا خدماتی در شبکه کلمه پروتکل رو اضافه میکنن ؟ باید بگم پروتوکل همانگونه که از نامش پیداست یک قانون هست خوب شاید اینو همه ی ما بلد باشیم اما باید بگم بیشتر از یک قانون است !!! یعنی چی ؟ شما فرض کنید در دبیرخانه یک اداره بزرگ کار می کنید و وظیفه شما تفکیک و ارجاع نامه هاست که باید به مسئول مرتبطش ارجاع داده بشه!

اولش براتون سخته که بدونین این نامه با موضوع مثلا درخواست ملزومات مسئولش کی هستش ! اما بعد از یک مدت متوجه میشین که چه نامه هایی با چه موضوعاتی مربوط به چه کسانی هست و کدوم افراد باید به این نامه ها جواب بدن ! خوب اون موضوعه همون پروتکله هستش که میگه باباجان من باید برم تو پورت مثلا 21 تا یک نرم افزار مثل FTP بتونه منو بخونه و به من جواب بده! !!

در واقع شما با مشاهده موضوع نامه بدون اینکه بخواین متنش رو بخونین میتونین تشخیص بدین که حاوی چه اطلاعاتی هستش !!! برخی دیگر از پروتکلها برچسب هایی هستند که در هدر بسته ها اضافه می شوند و میتونن اون بسته رو سفارشی کنن مثل پروتکل TCP و UDP ، برخی دیگر از پروتکلها به شما خدماتی رو ارائه می دهند مثل پروتکل NTP که مربوط هستش به زمان جهانی و یا پروتکل NNTP که حاوی اطلاعات خبری است! برخی از پروتکلها هم حاوی یک سری اطلاعات هستن مثل SMTP که مربوط به ایمیل هستش ! و هزاران پروتوکل دیگه که میتونن در قالب TCP یا UDP ارائه شوند یعنی پست سفارشی یا عادی !

نکته ی مهم : این نکته رو همیشه بخاطر داشته باشید که اگر اطلاعات در قالب پروتکل ارائه نمی شد علاوه بر موضوعی که گفتم امکان کنترل و نظارت روی آن هم وجود نداشت یعنی اینکه شما از ده ها روش میتونین روی همین بسته ها اعمال کنترل و نظارت و به نوعی فیلترینگ کنید! امیدوارم این موضوع براتون روشن شده باشه .

پروتکل

شما پروتکل رو به عنوان یک شخص در نظر بگیرین که این آقا یا خانم یک وظیفه ای رو به عهده داره . مثلا توی یک مجلس عروسی یک نفر مسئول شمردن مهمونهاست تا صاحب مجلس تعداد نفرات رو بدونه که چند نفر اضافه تر اومدن یا کمتر . این فرد که مسئولیتی رو به عهده داره ما به این شخص میگیم ” آقای پروتوکل شمارشگر مهمانها” . یعنی کارش فقط اینه که مهمونها رو بشماره و کسی انتظار دیگه ای ازش نداره .

در همون مجلس عروسی یک شخص مسئول جمع آوری هدایاست و فقط و فقط کارش همینه .. یعنی مسئولیت و قانونی که براش تعیین کردن در این حیطه هست که ما بهش میگیم “آقای پروتوکل جمع آوری هدایا” و کسی انتظار دیگه ای ازش نداره .
توی شبکه هم همینه . هر کاری که داخل شبکه انجام میدیم کسی جز “آقایون پروتوکل” اینکار را انجام نخواهند داد . دوستان خوب درک کنیم که همه کارهای داخل شبکه . همه و همه رو یکسری آقایون به نام پروتوکل انجام میدن.

مثلا پروتکل ARP : این آقای ARP کارش اینه که بیاد آدرس آی پی رو به مک آدرس تبدیل کنه . یعنی وقتی شما پینگ میکنین یک آدرس آی پی رو ، در حقیقت پشت صحنه آقای پروتوکل ARP داره این تبدیلات رو انجام میده .

در معماری 7لایه OSI و یا 4 لایه TCP/IP شما در نظر بگیرین که یک ساختمان 7 طبقه یا 4 طبقه دارین . داخل تمام این طبقات افرادی که پروتوکل نام دارند ، دارند فعالیت می کنند . هر کدومشون هم وظایف خاص خودشون رو دارند .

معماری 7لایه OSI

حالا از طبقه هفتم قراره یک بسته ای بره به یک ساختمان دیگه ای در اونطرف خیابون . خب حالا این بسته برای اینکه بتونه بره به سمت دروازه ساختمان اول باید 7 تا مرحله رو طی کنه.. همه این طبقات یا مراحل میان مجددا این بسته رو بسته بندی می کنند(باند پیچی می کنند) و مشخصات و لیبل ها (هدرهای ) مربوط به همون طبقه رو به این بسته می زنند و میفرستنش به طبقه پایین تر (این آقایون پروتکل هستند که اینکار رو انجام میدن) . این مراحل ادامه پیدا میکنه تا اینکه بسته رو برسونن به دروازه و دست آژانس تلفنی (بستر ارتباطی .. کابل .. وایرلس .. فیبر نوری و …) تا ببره به مقصد و در مقصد هم این بسته تا به بالای طبقه ساختمونش میرسه و هر طبقه حالا بالعکس بسته ها رو از از بستش(باندش) جدا می کنه و اطلاعاتی رو که میخواد برمی داره و میده به طبقه بالاتر خودش .

پس میبینیم که توی کلیه مسیرها افرادی هستند تحت عنوان پروتکل که برای رسیدن یک بسته به مقصدش فعالیت می کنند تا این بسته بصورت صحیح به مقصدش برسه .

ادامه مطلب

توسط

admin

در

Uncategorized

پروتکل SSH

SSH ( پوسته امن )،پروتکل استانداردی برای مبادله ی رمز شده بین یک کامپیوتر و یک سرویس دهنده است. پروتکل رمزنگاری از مشاهده اطلاعات مبادله شده توسط اپراتور شبکه جلوگیری میکند. SSH میتواند برای کاربردهای متعددی بکار رود، که برقراری اتصال امن (secure login) و انتقال فایل امن (SCP/SFTP) کاربردهای رایج آن هستند.

کاربردهای SSH Tunneling

پروتکل SSH از آن دسته پروتکل هایی است که قابلیت های مرموز و در عین حال مخفی ای دارد که بسیاری از افرادی که از این پروتکل استفاده میکنند، به آن پی نبرده اند. یکی از این قابلیت ها، توانایی در ایجاد تونل های Encrypt شده در بطن پروتکل SSH است، که کانال های ارتباطی دو طرفه را پشتیبانی میکند. SSH یک پروتکل امن ارتباطی است که داده ها را از میان یک Tunnel ارتباطی امن منتقل می کند. SSH Tunneling تکنیک دیگری است که مهاجمین می توانند از طریق آن محدودیت های فایروال ها را دور بزنند و از آنها عبور کنند. با استفاده از SSH Tunneling آدرس IP شما نیز در محیط اینترنت مخفی باقی می ماند بنابراین هیچکس نمی تواند شما را مانیتور و یا شنود کند.

یکی از دلایلی که پروتکی مثل SSH طراحی شد مشکلاتی بود که در بحث استفاده از آدرس های IP عمومی یا Public وجود داشت ، به این معنی که هر کسی می توانست از هر جای دنیا به آدرس IP سرور شما متصل شود و این شخص ممکن است یک هکر باشد. مهاجمین با داشتن آدرس IP Public شما امکان حمله به شما از هر جای دنیا را داشتند. توسعه و طراحی SSH Tunneling مشکلات بسیاری که در حوزه امنیت آدرس های IP عمومی وجود داشت را حل کرد.

مکانیزم کاری SSH Tunnel زیاد پیچیده نیست و در واقع این تکنیک از یک سرور و یک کلاینت تشکیل شده است که Session ارتباطی امنی بین همدیگر برقرار می کنند که هیچکس نمی تواند وارد این Session و ارتباطات آن شود و به همین دلیل امنیت بالایی دارد و از طرفی تجهیزات یا افرادی که در مسیر راه امکان شنود اطلاعات را دارند نیز نمی توانند وارد مسیر مورد نظر بشوند. ایجاد کردن یک Tunnel برای ارتباط بین دو ماشین با آدرس های IP غیر عمومی یا Private نیازمند پیاده سازی سه مرحله ای و حداقل داشتن سه ماشین است ، این سه ماشین که در فرآیند SSH Tunnel استفاده می شوند موارد زیر هستند :
1.ماشین محلی ( Local Machine )
2.یک ماشین واسط میانی دارای آدرس IP Public جهت ارتباط اینترنتی
3.ماشین هدف که دارای یک آدرس IP غیر عمومی است و قبل از ارتباط ماشین محلی بایستی ارتباطش با ماشین میانی برقرار شود.

SSH Tunneling

شما می توانید به ترتیب زیر Tunnel ایجاد کنید :

• یک SSH Connection از Local Machine تا ماشین واسط یا Intermediate Machine ایجاد کنید که دارای آدرس IP Public است.

• به SSH Connection فرمان بدهید که صبر کند و ترافیک را از Local Port به سمت Intermediate Machine یا ماشین واسط منتقل کند تا ماشین واسط به سمت ماشین هدف ( Target Machine ) ترافیک را با آدرس IP Private انتقال دهد ! به اینکار Port Acceleration یا Port Forwarding گفته می شود.

• بر روی Local Machine نرم افزاری که می خواهید با ماشین مقصد ارتباط داشته باشد را انتخاب می کنید و تنظیمات Port Forwarding را بر روی آن انجام می دهید. حالا هر زمان که شما به local port متصل شوید ! ترافیک شما خودکار به سمت Remote Machine منتقل می شود.

بصورت ساده تر شما از کامپیوتر مبدا یک ارتباط SSH با کامپیوتر واسط برقرار می کنید. کامپیوتر واسط یک آدرس IP معتبر اینترنتی دارد، شما هر ترافیکی که از ماشین مبدا بخواهید به مقصد برسد طبیعتا اول باید با کامپیوتر واسط ارتباط بگیرد. یعنی اگر بخواهیم بگوییم یک فایل را آپلود کند اول باید دستور ما به کامپیوتر واسط برسد. سیستم مقصد الزامی ندارد که IP عمومی داشته باشد چون اگر اینترنت داشته باشد کافی است که بتواند به کامپیوتر واسط وصل شود، هر ترافیکی با هر پورتی بخواهد از کامپیوتر مبدا به کامپیوتر مقصد منتقل شود باید در تونل SSH قرار بگیرد یعنی به عبارت دیگر تبدیل به پورت 22 شود!! خوب اینکار را میگوییم تبدیل پورت یا Port Forwarding. حالا هر نرم افزاری که قرار بود از سیستم مبدا به مقصد متصل شود را باید تنظیمات استفاده از SSH Tunnel را روی آن انجام بدهیم. شما اگر یک کامپیوتر با پروکسی اینترنت داشته باشید طبیعی است که باید تنظیمات پروکسی را روی نرم افزارهایی که اینترنت میخواهند انجام بدهید.

خوب برای اینکه ارتباط بین سیستم ها امن باشد SSH از دو کلید رمزنگاری PKI برای رمزنگاری مسیر و داده ها استفاده می کند. این کلیدها نمایانگر کامپیوترهای مورد اعتماد در مسیر ارتباطی هستند. زمانیکه یک SSH Connection در حال ایجاد شدن است ، هر دو ماشین کلیدهای عمومی خودشان را به همدیگر می دهند ، اما فقط کامپیوتری قادر به رمزگشایی خواهد بود که کلید خصوصی را داشته باشد.

ادامه مطلب

توسط

admin

در

Uncategorized

معرفی Cisco IOS image

IOS، سیستم عامل هوشمند،جذاب و انحصاری انواع دستگاه های کمپانی سیسکو (switch , router,…) می باشد، که توان ارائه سرویس های مدیریتی ، امنیتی ، voip و… را دارد.

سیستم عامل Ios سیسکو مانند همه سیستم عامل های دستگاه های دیگر کامپیوتری مدیریت منابع سخت افزاری دستگاه را بر عهده داشته و رابط بین کاربر و دستگاه ها می باشد.

برای کنترل وتنظیم ios ، سیسکو محیط ترمینال یا خط فرمان ( CLI -command line interface) در اختیار کاربر قرار می دهد که با نوشتن و اجرای command ها بر روی ios میتوان دستگاه های سیسکو مثل سوئیچ سیسکو (switch , router,…) را تنظیم( config) کرد. البته می توان به کمک برخی از نرم افزارها مانند CCP و SDM، دسترسی های گرافیکی به IOS داشت.

اسم یک IOS دارای بخش های به شرح زیر می باشد:

IOS سیسکو

بخش اول:

مدل دستگاهی می باشد که IOS را پشتیبانی می کند. به عنوان مثال روتر ۳۶۴۰ یا ۳۷۲۵

نکته : البته برخی از IOS ها را می توان برای برخی از روترهای مشابه سیسکو استفاده کرد. به عنوان مثال ممکن است یک IOS مدل ۲۸۲۱ با مدل روتر ۲۸۱۱ نیز سازگار باشد.

بخش دوم :

این قسمت برخی از توانمندی های IOS را بیان می کند. به عنوان مثال entbase برگرفته از عبارت Entrerprise base می باشد. در ذیل، برخی از توانمندی ها لیست شده است.

IPBase
IP Services
Advanced IP Services
EnterpriseServices
Advanced Enterprise Services
IPVoice
Advanced Security
SP Services
EnterpriseBase

IPBase :

این IOS دارای قابلیت های اصلی و حداقل قابلیت های یک روتر می باشد.

به عنوان مثال IOS با توانمندی Enterprise Base دارای توانمندی های اصلی و همچنین قابلیت پشتیبانی از پروتکل های IPX و AppleTalk را پشتیبانی خواهد کرد.

IP Services :

این IOS دارای توانمندی های EIGRP/OSPF,BGP,GLBP,QoS,NAT,HA,VRF-lite,Netflow,Advance Multicast می باشد.

Advanced IP Services :

این IOS ها علاوه بر توانمندی های EIGRP/OSPF,BGP,GLBP,QoS,NAT,HA,VRF-lite,Netflow,Advance Multicas دارای توانمندی های دیگری مانند IP v6 و توانمندی های پیشرفته امنیتی می باشند.

Advanced Security :

این IOS دارای توانمندی های IOS Firewall، IDS، IPSec، ۳DES Enc، VPN، SSH می باشند.

SP Services :

این IOS ها دارای توانمندی های از قبیل MPLS, SSH, ATM, VoATM می باشند.

Ipvoice :

این IOS ها دارای توانمندی های از قبیل VoIP, VoFR, IP Telephony می باشد.

Enterprise Services :

این IOS ها دارای توانمندی های IOS های SP Services ، Enterprise Base ، Ipvoice می باشند

Advanced Enterprise Services :

یک IOS کامل با همه توانمندی ها می باشد.

بخش سوم:

در نام گذاری IOS سیسکو، c3725-entbase-mz.123-2.T.bin مربوط به عبارتی مانند mz می باشد.

حرف اول بخش سوم یعنی m، محل قرارگیری IOS سیسکو را مشخص می کند و بخش z نوع فشرده سازی را مشخص می کند.

برای محل قرارگیری IOS از کدهای زیر استفاده می شود:

M: در حافظه RAM
r: در حافظه ROM
f: در حافظه Flash
l: محل قرارگیری IOS در هنگام بوت و اجرای دستورات عوض می شود
برای تعیین نوع فشرده سازی از کدهای زیر استفاده می شود :

z: فشرده سازی zip
x: فشرده سازی mzip
w: فشرده سازی با الگوریتم STAC

بخش چهارم:

مربوط به نگارش IOS می باشد c3725-entbase-mz.123-2.T.bin به عنوان مثال نگارش این IOS نگارش ۱۲.۳ می باشد.

بخش پنجم:

که به صورت ۲ یا ممکن است در داخل پرانتز باشد مانند c3725-entbase-mz.123(2).T.bin می باشد نگارش مربوط به اینIOS را تعیین می کند به عنوان مثال در نام IOS بالا عدد ۲ بیانگر نگارش دوم این IOS می باشد.

بخش ششم:

که در این مثال c3725-entbase-mz.123-2.T.bin حرف T می باشد برخی ویژگی ها و خصوصیات IOS را عنوان خواهد کرد برای این بخش از کدهای زیر استفاده می شود.

T: بیانگر اضافه شدن یکسری ویژگی های جدید می باشد.
S: برخی ویژگی های امنیتی اضافه شده یا برخی نواقص امنیتی برطرف شده است.
E: بیانگر طراحی IOS برای سازمان های بزرگ و Enterprise می باشد
مراحل راه اندازی (Switch , Router) و بوت شدن IOS:
بعد از روش شدن (powered on) دستگاه ، بلافاصله

مراحله اول :

ابتدا Switch , Router با استفاده از عملیات ( post _Power On Self-Test) سلامت سخت افزار دستگاه را بررسی و چک می کند

مرحله دوم :

برنامه bootstrap یا (boothelper) از حافظه ROM اجرا و IOS را بصورت پیش فرض از حافظه Flash پیدا و برای اجرا به حافظ Ram انتقال می دهد .
( البته برنامه bootstrap به کدهای Configuration register برای پیدا کردن محل ذخیره ios توجه می کند که بصورت پیش فرض register کد به حافظه Flash اشاره میکند چون ممکن است ios درمحل دیگری یا کلا در حافظه Flash نباشد و یا موارد دیگرکه در ادامه توضیح میدهیم )

مرحله سوم :

وقتی IOS به حافظه Ram انتقال میابد ازحالت فشرده خارج میشود و اجرا میشود

مرحله چهارم:

در این مرحله IOS تلاش میکند تنظیمات خود را ازحافظه NVRAM بهRam انتقال و اجرا کند درصورتی که تنظیماتی در حافظه NVRAM از قبل ذخیره نشده باشد IOS سعی میکند دیگر حافظه ها مانند (TFTP) که احتمال ذخیره تنظیمات را دارند بررسی کند درنهایت اگه تنظیماتی را پیدا نکرد به حالت یا مد( Setup Mode – Initial Configuration Mode) می رود.

Cisco IOS image

ادامه مطلب

توسط

admin

در

Uncategorized

بررسی اجمالی سیسکو Silicon One

در مقاله امروز به بررسی اجمالی سیسکو Silicon One خواهیم پرداخت. با نخستین معماری یکپارچه سیلیکون برای دنیای وب و ارائه دهندگان خدمات شبکه آشنا شوید.

پیشرفتی فوق‌العاده در تأمین اینترنت نسل بعد

نوآوری ها پس از ۳۵ سال تجربه در ساخت پیچیده‌ترین شبکه‌های جهان با پردازنده سیلیکونی، اکنون بیش از ۹۰ درصد از بار ترافیک IP را به دوش می‌کشد. سیسکو هر فرضیه‌ای را در خصوص این‌که شبکه سیلیکون چگونه می‌تواند عملکرد و کارایی سوئیچینگ را با مقیاس، بافرینگ، قابلیت برنامه‌ریزی و کلاس‌های مسیریابی تحت‌الشعاع خود قرار دهد؛ به چالش می‌کشد.

یک پردازنده

Cisco Silicon One Q100 اولین پردازنده سیلیکون با یک تراشه ASIC در صنعت است که به رکورد ۱۰ ترابیت بر ثانیه می‌رسد.

دو برابر پهنای باند بیشتر

پهنای باند بیشتر شبکه در یک تراشه ASIC نسبت به سایر سیلیکون‌های مسیریاب

مسیریابی در مقیاس جهانی

آماده‌سازی برای مقیاس بی‌نهایت گسترده اینترنت

۳ برابر کارایی بیشتر

امکان ارسال پکت‌های بیشتر در هر ثانیه نسبت به سایر تراشه‌های قابل برنامه‌ریزی

بافرینگ عمیق

محافظت بیشتر مقابل از بین رفتن بسته‌ها در لینک‌های متراکم

قابلیت برنامه‌ریزی

امکان برنامه‌نویسی P4 برای ارتقا در آینده

۲ برابر راندمان بهتر

امکانات مسیریابی، مقیاس و عملکرد بهتر در کارایی سوئیچینگ

معماری یکپارچه

امکانات و ویژگی‌های Cisco Silicon One، خدمات و ثبات زیر را ارائه می‌دهد:

بازار اینترنت

ارائه دهندگان خدمات
ارائه دهندگان خدمات گسترده وب

فرم فاکتور

ثابت
ماژولار

امکانات

پردازنده کارت شبکه
روتر ماژولار
روتر روی چیپ

Cisco Silicon One نوآوری شبکه را متحول می‌کند

مهندسان شبکه می‌توانند زمان بیشتری را برای نوآوری در شبکه و زمان کمتری را برای راه‌اندازی شبکه صرف کنند. آن‌ها با در اختیار داشتن معماری یکپارچه سیلیکون می‌توانند معماری شبکه را سریع‌تر و ساده‌تر برنامه‌ریزی و مستقر کنند. بدون آن‌که نگران سازگاری سیستم‌های مختلف باشیم. آینده همینجاست.

ادامه مطلب

توسط

admin

در

Uncategorized

مفهوم SDN

مفهوم SDN : در دنیای کنونی،دستگاه های شبکه و زیرساخت شبکه دارای دوبخش اساسی جهت کنترل وانتقال اطلاعات میباشند.

ما این دو بخش را با نام های Control plane و Data plane میشناسیم:

– Control plane وظیفه کنترل و تصمیم گیری رفتار و نحوه ی اجرای پروتکل ها (OSPF و STP و BGP و .. ) را بر عهده دارد که این امر در هر دستگاه شبکه کاملا مستقل بوده و معمولا به صورت Logical اجرا میگردد .

– Data plane وظیفه ارسال و دریافت اطلاعات برعهده دارد و به دلیل اینکه به صورت سخت افرازی بسته به نوع کاربرد (برای مثال سوییچ یا روتر) به صورت سخت افرازی و با مدارات و معماری پیشرفته پیاده سازی میگردد و از سرعت بسیار بالایی برخوردار است .
حال در نظر بگیریم تمامی Control Plane دستگاه های شبکه را یکپارچه کرده ایم، بنابراین کنترل و تصمیم گیری ها و همچنین نحوه ی ارسال اطلاعات تمامی پروتکل ها از طریق یک دستگاه انجام شود. SDN دقیقا به همین منظور به وجود آمد.

در معماری SDN دو مولفه ی اصلی وجود :

– Forwarding Elements یا همان سوییچ های SDN

– کنترل‌کننده‌های SDN

یک زیرساخت SDN همانندشبکه‌های سنتی دارای مجموعه‌ای ازتجهیزات شبکه (از جمله سوئیچ‌ها،‌مسیریاب‌ها و ..) می‌باشد.

تنها تفاوتی که در این بین وجود دارد، تبدیل تجهیزات فیزیکی سنتی به Forwarding Elements می‌باشد که این عناصر فاقد Control Plane می‌باشد که دراین صورت کل شبکه تبدیل به شبکه ای هوشمند میگردد. برای درک بهتر فرض کنید برای رسیدن به مقصد مورد نظر خود سوار ماشین خود شده و حرکت میکنید اما شما اطلاعی از وضعیت جاده و نحوی رفتار سایر ماشین ها ندارید چون خود در مسیر هستید و ممکن است به ترافیک شدید برخورد کنید ، حال فرض کنید قبل از حرکت با دید یک GPS پیشرفته تمامی مسیر ها را زیر نظر دارید و به طور حتم دقیق تر راحتر و سریع تر به مسیر خود میرسید، SDN دقیقا چنین عملکردی دارد.

کنترلر ها به منظور ارسال فرمان های کنترلی و ارتباط باForwarding Elements ازپروتکل OpenFlow استفاده میکنند.

مفهوم SDN

شرکت VMware و Cisco یکی از پیشگامان SDN محسوب میشوند که استراتژی‌های متفاوتی از SDN را رونمایی کرده‌اند. (Cisco Application Centric Infrastructure (ACI یک رویکرد hardware-centric برای قابل برنامه‌ریزی نمودن مراکز داده می‌باشد که بر مبنای سوییچ های ۹۰۰۰Nexus ارائه میشود، درحالیکه VMware NSX با مجازی‌سازی شبکه و استفاده از فناوری network overlay این کار را انجام می‌دهد البته استراتژی دیگر شرکت سیسکو Application Virtual Switch می‌باشد که مبتنی برمحصول Nexus 1000v را در راستای شبکه های مجازی نیز ارائه داده است.

دنیای شبکه در حال دگرگونی است، ما شاهد دیتاسنتر های مبتی بر SDDC) SDN)، شبکه های هوشمند سطح Storage و ارتباطات WAN و دیتاسنتر های مجازی خواهیم بود، مباحث SDN در دور های Cisco Cloud, VMware NSX , Cisco Data Center در وجود دارد و علاقه مندان میتوانند با شرکت در این دوره ها اطلاعات مربوط به راه اندازی و نحوی پیاده سازی محصولات Cisco و VMware را بدست آورند.

ادامه مطلب

توسط

admin

در

Uncategorized

مفهوم NAT و انواع آن

هنگام استفاده از آدرس های IPv4 یکی از موارد مهم و حساس در استفاده از آنها، فضای آدرس دهی کم و محدود می باشد. با توجه به اینکه دستگاه هایی که به اینترنت متصل می شوند و نیاز به آدرس آی پی دارند و روز به روز درحال افزایش هستند، باید در روند استفاده از آنها محتاط تر عمل کرد. با توجه به این مسئله از روشی به نام NAT استفاده شد که بتوان با استفاده از آن سازمان شبکه های داخلی خودشان را با آدرس های خصوصی، آدرس دهی کنند و در صورت نیاز به دسترسی به اینترنت، از یک آدرس عمومی استفاده نمایند.

نحوه عملکرد NAT

برای مثال در شکل بالا، شبکه داخلی از محدوده آدرس های خصوصی برای شبکه داخلی استفاده کرده است، اما روتری که شبکه سازمان را به اینترنت متصل می کند دارای یک آدرس عمومی میباشد که اگر کلاینت ها درخواستی به سمت اینترنت ارسال کنند، روتر آدرس آنها را به آدرس عمومی خودش ترجمه کرده و سپس به سمت اینترنت ارسال می کند. به عبارت دیگر در اینجا با استفاده از یک آدرس عمومی می توان تعداد بسیار زیادی آدرس خصوصی را به اینترنت متصل کرد. این کار باعث صرفه جویی در مصرف آدرس های IP خواهد شد.

موارد استفاده از NAT :

زمانی که کلاینت های سازمانی برای برقراری ارتباط با اینترنت نیاز به آدرس عمومی نداشته باشند.

زمانی که قصد داشته باشید تا بدون ایجاد تغییر در ساختار آدرس دهی داخلی، ISP خود را تغییر دهید.

زمانی که نیاز به برقراری ارتباط بین دو شبکه اینترانت که دارای آدرس های یکسان هستند دارید.

NAT همانند هر تکنولوژی دیگر که دارای مزایا می باشد، یکسری معایب نیز دارد که در ادامه به بررسی این دو جنبه میپردازیم.

مزایای NAT:

استفاده از آدرس های عمومی را کم می کند.
راه حلی برای برقراری ارتباط بین محدوده آدرس های یکسان است.
ارائه راه حلی آسان جهت برقراری با اینترنت.
عدم نیاز به تغییر آدرس های درونی، در هنگام تغییر ISP.

معایب NAT:

عملیات ترجمه آدرس باعث افزایش تاخیر در روند سوئیچینگ می شود.
باعث می شود تا نودهای شبکه ارتباط مستقیم با یکدیگر نداشته باشند.
بعضی از برنامه ها از NAT پشتیبانی نمیکنند.

انواع NAT

به صورت کلی NAT به سه شکل قابل پیاده سازی می باشد که شامل:

NAT از نوع ایستا:

در این حالت عملیات تبدیل آدرس عمومی به خصوصی یک به یک است، به این معنی که شما باید به ازای هر آدرس خصوصی یک آدرس عمومی را در دسترس داشته باشید.

NAT از نوع پویا:

در این حالت یک استخر از آدرس های عمومی وجود دارد که اگر یکی از کلاینت ها قصد ارسال داده به سمت اینترنت داشته باشد، روتر یک آدرس را به صورت پویا به کلاینت اختصاص خواهد داد. به بیان دیگر شیوه عملکرد این نوع از NAT همانند ایستا بوده با این تفاوت که دیگر مدیر شبکه نیازی به تخصیص آدرس عمومی به خصوصی ندارد. توجه داشته باشید که همانند حالت قبل باید به ازای تمامی آدرس های خصوصی، آدرس عمومی وجود داشته باشد.

NAT از نوع Overloading:

به بیان ساده، این نوع از NAT همانند پویا بوده با این تفاوت که میتوان چندین آدرس خصوصی را با استفاده از یک آدرس عمومی به اینترنت متصل نمود. این شیوه از NAT بسیار محبوب و پر استفاده می باشد. با استفاده از این نمونه NAT می توان تا هزاران کامپیوتر را به اینترنت متصل نمود و همین مسئله باعث شده است تا استفاده از آدرس های عمومی تا حد زیادی مدیرت شده و بهینه باشد.

حال که با انواع NAT آشنا شدید بهتر است تا با چند واژه مهم در NAT آشنا شوید که آشنایی با آنها کمک شایانی به درک این مسئله به شما خواهد کرد.

نام های مورد استفاده در NAT

در هنگام استفاده از NAT چهار واژه اصلی مورد استفاده قرار میگیرد که آنها را در قالب چند شکل مورد بررسی قرار خواهیم داد.

Inside Local:

این دسته از آدرس ها، همان آدرس های محلی بوده که در شبکه خصوصی مورد استفاده قرار می گیرد و در هدر بسته ثبت شده است.

Outside Local:

این آدرس نشان دهنده مقصد بسته می باشد که در هدر بسته ثبت شده است.

Inside Global:

آدرسی است که بعد از انجام عملیات ترجمه در قسمت مبدا بسته قرار داده می شود.

توجه داشته باشید که تمام درخواست های ارسال شده توسط کلاینت دارای پورت هایی منحصر به فرد می باشد. از این رو روتر با استفاده از آدرس IP خودش و پورتی منحصر به فرد که برای کلاینت درنظر می گیرد خواهد توانست عملیات ترجمه را انجام دهد.

Outside Global:

این همان آدرس مقصد است که کلاینت درخواست های خود را برای آنها ارسال می کند.

NAT از نوع ایستا

همان گونه که در قسمت قبل اشاره کردیم، این نوع از NAT توسط مدیر شبکه انجام می شود و باید به ازای تک تک آدرس های خصوصی که قصد برقراری ارتباط با اینترنت را دارند، یک آدرس عمومی در اختیار داشته باشید. شیوه کار کرد این NAT در مراحل زیر توضیح داده شده است.

۱- ابتدا مدیر شبکه باید آدرس های IP عمومی در دسترس را به آدرس های خصوصی اختصاص دهد.

۲- یک رنج ۱۶تایی از آدرس IP در دسترس میباشد. مدیر

باتوجه به نیازهای خودش این آدرس ها را به کلاینت ها اختصاص میدهد.

برای مثال فرض کنید که مدیر آدرس ها را به صورت زیر تعریف کرده است.

آدرس عمومی	آدرس خصوصی
۷۸.۴۷.۵۰.۴۹	۱۹۲.۱۶۸.۱.۱۱
۷۸.۴۷.۵۰.۵۰	۱۹۲.۱۶۸.۱.۱۰

۳- حال در صورتی که آدرس ۱۹۲.۱۶۸.۱.۱۱ قصد برقراری ارتباط با اینترنت را داشته باشد، ابتدا آدرس مبدا آن توسط روتر به ۷۸.۴۷.۵۰.۴۹ تغییر کرده و سپس پکت ها به سمت اینترنت روانه میشوند.

NAT از نوع پویا

در این نوع از NAT تنها کاری که مدیر شبکه باید انجام دهد، این است که لیستی از آدرس های عمومی را برای روتر مشخص کنند تا این آدرسها به صورت خودکار به کلاینت هایی که قصد برقراری ارتباط با اینترنت را دارند اختصاص داده شود.

هر درخواستی که برای روتر ارسال شود اولین آدرس عمومی که آزاد میباشد و توسط کامپیوتر دیگری اشغال نشده است، انتخاب شده و به کلاینت اختصاص داده می شود.

مراحل این نوع از NAT به صورت زیر است:

۱- در ابتدای کار مدیر باید لیستی از آدرس های عمومی را در روتر تعریف کند.

۲- درهنگامی که یک کلاینت به منظور برقراری ارتباط با اینترنت، درخواست خود را به سمت روتر ارسال می کند، اولین آدرس آزاد به کلاینت اختصاص داده خواهد شد و تا زمانی که کلاینت ارتباط خودش را قطع نکند، IP برای آن رزرو خواهد ماند.

NAT از نوع Overload

این نوع NAT متفاوتتر از سایر روشها عمل میکند، در ادامه این روش را با جزئیات مورد بررسی قرار میدهیم.

۱- فرض کنید که روترتان دارای آدرس عمومی ۷۸.۴۷.۵۰.۴۹ است.

۲-در ادامه یک جدول تشکیل خواهد شد که در آن آدرس های Inside Local و Inside Global قرار دارد.

آدرس های Inside Global	آدرس های Inside Local
۷۸.۴۷.۵۰.۴۹:۱۰۲۴	۱۹۲.۱۶۸.۱.۱۱:۱۰۲۴
۷۸.۴۷.۵۰.۴۹:۱۰۲۵	۱۹۲.۱۶۸.۱.۱۰:۱۰۲۵

نکته ای که در این جدول قابل مشاهده است، آدرس های پورت می باشد که با کمک آنها می توان جریان های داده چندین کلاینت را تنها با یک آدرس عمومی تبادل کرد.

در سطح تئوریک می توان تا ۶۵.۰۰۰ کلاینت را تنها با یک آدرس عمومی به اینترنت متصل نمود.

نام های مورد استفاده در NAT

ادامه مطلب

توسط

admin

در

Uncategorized

راه اندازی IP Phone سیسکو

چگونه یک تلفن سیسکو یا IP Phone سیسکو را راه اندازی کنیم؟ انجام این کار بسیار ساده است. در این مقاله، نحوه‌ی راه اندازی IP Phone سیسکو و مراحل و نکات اصلی آن را به اشتراک خواهیم گذاشت. با RootLan همراه باشید.

شکل زیر نمای کلی از روند راه اندازی یک تلفن یا همان IP Phone سیسکو را بازگو می کند. اگر از یک سوئیچ سیسکو با قابلیت PoE استفاده می‌کنید، کار ساده خواهد بود. کلمه PoE سرواژه عبارت Power over Ethernet است. برای راه اندازی تلفن سیسکو مراحل زیر را دنبال کنید.

IP Phone سیسکو تلفن سیسکو سوئیچ سیسکو پیکربندی vlan

مراحل راه اندازی IP Phone سیسکو

دریافت برق از سوئیچ: اگر سوئیچ سیسکو مورد نظر قادر به ارائه PoE باشد؛ یک سیگنال سریع پالس را که FLP نام دارد، ارسال می‌کند. این سوئیچ با استفاده از FLP تعیین می‌کند که آیا دستگاه متصل شده [در اینجا IP Phone سیسکو] غیرفعال است یا خیر.

بارگذاری حافظه ذخیره شده در تلفن: Phone IP سیسکو دارای مقداری حافظه فلش است که در آن نسخه‌ای از سیستم عامل و تنظیمات تعریف شده توسط کاربر ذخیره می‌شود. در هنگام راه اندازی، تلفن بوت استرپ را بارگذاری می‌کند که حاوی یک فایل ایمیج در حافظه فلش است. با استفاده از این Image نرم افزار و سخت افزار خود را اولویت بندی می‌کند.

پیکربندی VLAN: پس از دریافت برق و انرژی و روشن شدن تلفن، سوئیچ یک پکت Cisco Discovery Protocol را به Phone IP ارسال می‌کند. اگر این ویژگی پیکربندی شده باشد؛ پکت پروتکل کشف سیسکو، تلفن را با اطلاعات صوتی VLAN آماده به کار می‌کند.

دریافت آدرس IP و سرور TFTP: تلفن، درخواستی به سرور DHCP ارسال می‌کند. DHCP سرور با حداقل یک آدرس IP، یک Subnet Mask و آی پی TFTP به تلفن پاسخ می‌دهد. IP Phone نیز متعاقبا به TFTP سرور پاسخ می‌دهد. سرور TFTP دارای پرونده های پیکربندی با پسوندهای cnf یا xml است. از آن برای ارتباط با سایر تلفن‌ها استفاده می‌شود که شامل پارامترهایی برای اتصال به CallManager سیسکو کاربرد دارد.

سرور TFTP اطلاعات پیکربندی مربوط به آن IP Phone را ارسال می‌کند که حاوی لیست سفارش شده تا حداکثر سه CallManager است. به طور کلی، هر زمان که تغییری در Cisco CallManager انجام شود که به ریست گوشی نیاز باشد؛ تغییر در فایل پیکربندی آن تلفن ایجاد خواهد شد. اگر تلفن با XML سازگار باشد، فایل XMLDefault.cnf.xml را درخواست می‌کند. در غیر این صورت فایل cnf را درخواست خواهد کرد.

اگر ثبت خودکار را در CallManager سیسکو فعال کرده باشید، تلفن‌ها از یک پرونده پیش‌فرض تنظیمات با نام sepdefault.cnf.xml از سرور TFTP استفاده می‌کنند. اگر به صورت دستی تلفن‌ها را به دیتابیس CallManager سیسکو وارد کنید، Phone IP به فایل cnf.xml که به نام دستگاه شما مرتبط است دسترسی پیدا می‌کند. فایل cnf.xml همچنین حاوی اطلاعاتی است که به گوشی نشان می‌دهد کدام Image باید بارگیری شود. اگر این ایمیج با آن‌چه که در حال حاضر بر روی تلفن است، متفاوت باشد؛ دستگاه از سرور TFTP ایمیج جدید را درخواست می‌کند. این فایل باید با پسوند bin ذخیره شده باشد.

ثبت نام با CallManager سیسکو: پس از به دست آوردن پرونده از سرور TFTP، تلفن تلاش می‌کند تا یک اتصال TCP را به لیست تماس‌های مهم Cisco CallManager ایجاد کند.

ادامه مطلب

توسط

admin

در

Uncategorized

پروتکل های مسیریابی Classful و Classless

پروتکل های مسیریابی Classful vs Classless

پروتکل های مسیریابی را مي توان از لحاظ پارامترهاي مختلف در گروه هاي جداگانه قرار داد . يکي از تفاوت ها در Subnet mask مربوط به آدرس ها در داخل پيام هاي ارسالي مي باشد . بدين صورت که برخي از آن ها Subnet mask مربوطه را نيز در داخل پيام ارسالي گنجانده ولي برخي ديگر اين کار را نمي کنند . به ترتيب پروتکل هاي دسته اول را پروتکل Classless وپروتکل هاي دسته دوم راپروتکل Classful گويند .

زمانیکه نسبت به پروتکل های مسیریابی و الگوریتم های آنها شناخت پیدا می کنیم سوالی به ذهن همه ما خطور می کند که : از کدام پروتکل مسیریابی برای شبکه خود باید استفاده کنم ؟

در پاسخ به این سوال باید گفت که هیچگونه جواب مستقیم و قطعی برای آن وجود ندارد و در واقع معیار پاسخ به این سوال بررسی و ارزیابی فاکتورهای مشخصی می باشد . از نوع شبکه مورد استفاده ما تا تجهیزات آن و طراحی و بسیاری موارد دیگر . در نهایت شما با بررسی هایی که انجام می دهید اقدام به انتخاب یک پروتکل و الگوریتم مسیریابی نموده و شبکه خود را بوسیله آن راه اندازی می کنید .

بر مبنای آدرس دهی TCP/IP پروتکل های مسیریابی را می توان به دو دسته زیر تقسیم بندی نمود :

پروتکل Classful
پروتکل Classless

پروتکل Classful

به پروتکل هایی گفته می شود که هیچگونه اطلاعات مرتبط با Subnet mask را در بروزرسانی های مسیریابی خود حمل نکرده و جابجا نمی کنند . همچنین در این پروتکل ها برای برقراری ارتباط و تبادل بروزرسانی ها اینترفیس ها متقابل باید از Subnet Mask یکسانی برخوردار باشند . یکی از مسائل مرتبط با این پروتکل ها ارسال بروزرسانی ها بصورت دوره های زمانی مشخص برای تمامی اینترفیس ها می باشد حال آنکه چه بروزرسانی رخ داده باشد یا خیر . ارسال این بروزرسانی ها بصورت مداوم بخصوص بر روی لینک های WAN که از پهنای باند کمتری برخوردار هستند بالطبع باعث افزایش ترافیک و کندی سرعت خواهد شد . بطور کلی پروتکل مسیریابی Distance Vector را می توان جز پروتکل های Classful قرار داد . بعنوان مثال RIPV1 و IGRP از پروتکل های نوع ِClassful می باشند .

پروتکل Classless

این پروتکل ها برخلاف پروتکل های Classful هنگام انتقال بروزرسانی و تغییرات اطلاعات مرتبط با Subnet Mask را نیز منتقل می کنند . این نوع از پروتکل ها به شبکه اجازه می دهند تا از Subnet و طول های آدرس دهی مختلف استفاده کند ، از اینرو از CIDR و VLSM نیز پشتیبانی می کنند . تفاوت دیگر این پروتکل ها با نوع پروتکل های Classful ارسال نکردن بروزرسانی ها بصورت پریودیک می باشد .

مطلب دیگر تبادل جدول مسیریابی با همسایه های خود در زمانی هست که تغییری در جدول رخ داده باشد و درست در همین زمان است که اقدام به ارسال بروزرسانی نیز می کنند . بطور کلی در این نوع پروتکل ها زمانی که شبکه همگرا شد یکبار جدول مسیریابی مبادله می شود و مجددا تنها در صورتیکه تغییری در توپولوژی و آدرس های شبکه رخ دهد اقدام به ارسال بروزرسانی و جدول مسیریابی می کند .

اینکار کمک شایانی به مدیریت پهنای باند و اشغال نبودن آن خواهد کرد . تنها ارسال زمانبندی شده توسط پروتکل Classless ارسال Hello Packet در بازه های زمانی معین می باشد که آن هم برای تشخیص فعال بودن دستگاه مقابل است و این مطلب نیز پهنای باند زیادی را اشغال نخواهد کرد.

مشخصات کلي مربوط به اين گروه آدرس هاي IP

- عمل Summarization در مرز بين شبکه ها بصورت خود به خود انجام مي گيرد .
- عمليات Summarization در مورد route هايي که بين شبکه هاي ناشناخته منتقل مي شوند انجام شده و به صورت آدرس هاي با کلاس استاندارد در خواهند آمد .
- پيام هايي که بين Subnetهاي يک شبکه کلاس استاندارد منتقل مي شوند،داراي ماسک مربوط به آدرس ها نيستند .
- پروتکل Classful فرض را بر اين مي گيرند که Interfaceهاي مربوط به تمامي روترها به شبکه هايي با ماسک يکسان متصل گشته اند ودليل نگنجاندن ماسک مربوطه در داخل پيام هاي ارسالي نيز همين مسئله است .
- شامل پروتکل هاي RIPv1 و IGRP مي باشد .

طرز هدايت پيام ها توسط پروتکل هاي Classful ،وابسته به قانون هاي مربوط به آنهاست.بدين صورت که اگر مورد متناظري در داخل جدول routing وجود داشته باشد،پيام دريافت شده به طرف همان مقصد هدايت خواهد شد . اگر هيچ مورد متناظري در داخل جدول وجود نداشته باشد ، پيام از بين خواهد رفت . حتي اگر از يک Default Route نيز استفاده شود ، تنها در صورتي استفاده از آن مجاز خواهد بود که هيچ نوع مورد متناظري در داخل جدول وجود نداشته باشد . بدين معني حتي در صورت وجود شبکه اصلي در داخل جدول route پيام ها از بين رفته و به سمت Default Route نيز ارسال نخواهند شد .

محدوديت هاي مربوط به اين دسته پروتکل ها

پروتکل Classful باعث از دست رفتن آدرس هاي بيشتري مي شوند.
استفاده از ويژگي VLSM در داخل شبکه مجاز نيست.
بدون استفاده از VLSM اندازه جدول روتينگ بيش از حد نرمال افزايش يافته و بنابراين پيام هاي Update انتقالي بين روتر ها نيز داراي سايزي بزرگتر خواهند بود.

CLASSLESS ROUTING

پروتکل هاي فوق براي حل محدوديت هاي موجود در پروتکل هاي Classful مورد استفاده قرار مي گيرند .

مشخصات کلي اين دسته از آدرس هاي Ip

- - Interfaceهاي متصل به يک شبکه لايه سوم مي توانند از ماسک هاي متفاوتي استفاده نمايند.
  - شامل پروتکل هاي BGP،RIPV2،IS-IS،EIGRP،OSPF مي شوند.
  - استفاده از ويژگي CIDR در داخل شبکه مجاز مي باشد.
  - استفاده از هر نوع Stigmatization دستي و اتوماتيک در مورد Routeهاي موجود در جدول Routing مجاز مي باشد .
  براي اينکه پروتکل Classful نيز از برخي مزاياي موجود در پروتکل Classless برخوردار گردند، دستور IP CLASSLESS را مي توان اجرا نمود.البته بصورت Default،دستور مزبور در نسخه هاي اخير IOS فعال گشته است .

ادامه مطلب

توسط

admin

در

Uncategorized

آموزش SNMP در روتر و سوئیچ های سیسکو

آموزش SNMP در روتر و سوئیچ های سیسکو Simple Network Management Protocol یا همان SNMP پروتکل مشهور و پرکاربرد برای جمع‌آوری اطلاعات شبکه و مدیریت شبکه است. از SNMP برای جمع‌آوری اطلاعات مربوط به کانفیگ و تجهیزات شبکه مثل سرور، پرینتر، سوئیچ و روتر بر اساس یک IP، استفاده می‌شود. نکته دیگر این است که به ساختمان داده این پروتکل MIB یا Management Information Base می‌گویند.

دراین مقاله می‌خواهیم روش‌های کنترل دسترسی به SNMP را در سوئیچ سیسکو و روترهای این کمپانی بررسی کنیم.

معرفی SNMP

SNMP به طور پیش‌فرض از پورت‌های UDP 161 برای پیام‌های عمومی و از پورت UDP 162 برای پیام‌های trap استفاده می‌کند. متأسفانه در حال حاضر SNMP ورژن 1 به طور گسترده استفاده می‌شود که خیلی ایمن نیست. در این ورژن، اطلاعات به صورت Clear-text ارسال می‌شود و یکی از ضعف‌های اصلی آن است.

توصیه می‌شود اگر از سیستم‌های مانیتورینگ یا پروتکل SNMP استفاده نمی‌کنید؛ می‌توانید با دستورات زیر این سرویس را غیرفعال کنید:

Switch(config)# no snmp-server community
Switch(config)# no snmp-server enable traps
Switch(config)# no snmp-server system-shutdown
Switch(config)# no snmp-server

اگر سرویس SNMP را برای سوئیچ‌ها و روترهای داخل شبکه نیاز دارید؛ بهتر است از SNMP ورژن 3 استفاده کنید. این ورژن بسیار امن‌تر از ورژن 1 خواهد بود. ورژن 3 از یک رمزنگاری Hash برای احراز هویت و محافظت از Community String استفاده می‌کند. پیش از کار با دستورات این نسخه، بهتر است تنظیمات ورژن قدیم پاکسازی شود. دستوراتی که در پایین آورده شده است، نشان می‌دهد یک مدل امنیتی برای SNMP V3 چگونه ایجاد می‌شود.

Switch(config)# no access-list 12
Switch(config)# access-list 12 permit 172.30.100.2
Switch(config)# access-list 12 permit 172.30.100.3

تعریف گروه Admin با دسترسی خواندن و نوشتن MIB

Switch(config)# snmp-server group admins v3 auth read adminview write adminview

سپس یک کاربر به عنوان مثال root با یک کلمه عبور برای این گروه تعریف می‌کنیم. این پسوورد می‌تواند با MD5 هش شود. در انتهای دستور اکسس لیست 12 به این کاربر اعمال می‌کنیم:

Switch(config)# snmp-server user root admins v3 auth md5 MyP@ssw0rd access 12

سرانجام می‌توان مشخص کرد adminview به کدام قسمت‌های MIB دسترسی داشته باشد. در دستورات زیر دسترسی به شاخه‌های Internet از MIB وجود دارد. اما به شاخه‌هایی که آدرس‌های IP و اطلاعات مسیریابی را شامل می‌شود خیر.

Switch(config)# snmp-server view adminview internet included
Switch(config)# snmp-server view adminview ipAddrEntry excluded
Switch(config)# snmp-server view adminview ipRouteEntry excluded

اگر فقط snmp ورژن 1 بر روی سوئیچ یا روتر قابل دسترس است؛ با دستورات زیر و با یک اکسس لیست می‌توانیم دسترسی فقط خواندن را به یک سری IP ها اعمال کنیم.

Switch(config)# no access-list 12
Switch(config)# access-list 12 permit 172.30.100.2
Switch(config)# access-list 12 permit 172.30.100.3
Switch(config)# snmp-server community Hash-960301 ro 12

در انتها سرویس SNMP Trap برای مدیریت سوئیچ با دستورات زیر تنظیم می‌شود:

Switch(config)# snmp-server host 172.30.100.2 traps Hash-960301
Switch(config)# snmp-server host 172.30.100.3 traps Hash-960301
Switch(config)# snmp-server trap-source Loopback0
Switch(config)# snmp-server enable traps

آموزش SNMP در روتر و سوئیچ های سیسکو

ادامه مطلب

1 2 → »