Skip to Content

بلاگ

مفهوم SDN

مفهوم SDN

مفهوم SDN : در دنیای کنونی،دستگاه های شبکه و زیرساخت شبکه دارای دوبخش اساسی جهت کنترل وانتقال اطلاعات میباشند.

ما این دو بخش را با نام های Control plane و Data plane میشناسیم:

– Control plane وظیفه کنترل و تصمیم گیری رفتار و نحوه ی اجرای پروتکل ها (OSPF و STP و BGP و .. ) را بر عهده دارد که این امر در هر دستگاه شبکه کاملا مستقل بوده و معمولا به صورت Logical اجرا میگردد .

– Data plane وظیفه ارسال و دریافت اطلاعات برعهده دارد و به دلیل اینکه به صورت سخت افرازی بسته به نوع کاربرد (برای مثال سوییچ یا روتر) به صورت سخت افرازی و با مدارات و معماری پیشرفته پیاده سازی میگردد و از سرعت بسیار بالایی برخوردار است .
حال در نظر بگیریم تمامی Control Plane دستگاه های شبکه را یکپارچه کرده ایم، بنابراین کنترل و تصمیم گیری ها و همچنین نحوه ی ارسال اطلاعات تمامی پروتکل ها از طریق یک دستگاه انجام شود. SDN دقیقا به همین منظور به وجود آمد.

در معماری SDN دو مولفه ی اصلی وجود :

– Forwarding Elements یا همان سوییچ های SDN

– کنترل‌کننده‌های SDN

یک زیرساخت SDN همانندشبکه‌های سنتی دارای مجموعه‌ای ازتجهیزات شبکه (از جمله سوئیچ‌ها،‌مسیریاب‌ها و ..) می‌باشد.

تنها تفاوتی که در این بین وجود دارد، تبدیل تجهیزات فیزیکی سنتی به Forwarding Elements می‌باشد که این عناصر فاقد Control Plane می‌باشد که دراین صورت کل شبکه تبدیل به شبکه ای هوشمند میگردد. برای درک بهتر فرض کنید برای رسیدن به مقصد مورد نظر خود سوار ماشین خود شده و حرکت میکنید اما شما اطلاعی از وضعیت جاده و نحوی رفتار سایر ماشین ها ندارید چون خود در مسیر هستید و ممکن است به ترافیک شدید برخورد کنید ، حال فرض کنید قبل از حرکت با دید یک GPS پیشرفته تمامی مسیر ها را زیر نظر دارید و به طور حتم دقیق تر راحتر و سریع تر به مسیر خود میرسید، SDN دقیقا چنین عملکردی دارد.

کنترلر ها به منظور ارسال فرمان های کنترلی و ارتباط باForwarding Elements ازپروتکل OpenFlow استفاده میکنند.

مفهوم SDN

شرکت VMware و Cisco یکی از پیشگامان SDN محسوب میشوند که استراتژی‌های متفاوتی از SDN را رونمایی کرده‌اند. (Cisco Application Centric Infrastructure (ACI یک رویکرد hardware-centric برای قابل برنامه‌ریزی نمودن مراکز داده می‌باشد که بر مبنای سوییچ های ۹۰۰۰Nexus ارائه میشود، درحالیکه VMware NSX با مجازی‌سازی شبکه و استفاده از فناوری network overlay این کار را انجام می‌دهد البته استراتژی دیگر شرکت سیسکو Application Virtual Switch می‌باشد که مبتنی برمحصول Nexus 1000v را در راستای شبکه های مجازی نیز ارائه داده است.

دنیای شبکه در حال دگرگونی است، ما شاهد دیتاسنتر های مبتی بر SDDC) SDN)، شبکه های هوشمند سطح Storage و ارتباطات WAN و دیتاسنتر های مجازی خواهیم بود، مباحث SDN در دور های Cisco Cloud, VMware NSX , Cisco Data Center در وجود دارد و علاقه مندان میتوانند با شرکت در این دوره ها اطلاعات مربوط به راه اندازی و نحوی پیاده سازی محصولات Cisco و VMware را بدست آورند.

ادامه مطلب

تغییر firmware تلفن های سیسکو

تغییر firmware تلفن های سیسکو

تغییر firmware تلفن های سیسکو سری Cisco 7900 به sip
تلفن های سیسکو به واسطه فیلتر های قوی صوتی کیفیت صدای فوق العاده ای را در اختیار کاربران قرار می دهند .

سری تلفن های spa سیسکو که برای کسب و کارهای کوچک طراحی و تولید شده اند از پروتکل محبوب sip پشتیبانی می کنند ولی تلفن های سری تجاری مانند سری cisco 7900 series عمدتا دارای پروتکلSCCP هستند. چند سالی هست که سیسکو firmware هایی برای تلفن های این سری با پروتکل sip روی سایت خود قرار داده است. چون تلفن های سیسکو سری تجاری با کال منیجر سیسکو کانفیگ می شوند و به صورت web config نیستند برای تغییر فریمور آن ها باید از طریق tftp فرمیور جدید روی گوشی فلش شده بار گزاری گردد .

همچنین تنظیمات داخلی در فایل cnf قرار داده شده و همراه فریمور روی گوشی بارگزاری گردد.

تغییر فریمور با پروتکل sip و بار گزاری از طریق tftp

در این بخش تلاش داریم روش تغییر فریمور برای تلفن سیسکو Cisco 7960 را برای پروتکل sip و آموزش تنظیمات و بار گزاری از طریق tftp را آموزش دهیم.

ابتدا sip frimwere تلفن cisco ۷۹۶۰ را دانلود نمایید.
حال نام فایل کانفیگ با پسوند cnf را تغییر داده و “????????????” را با مک آدرس گوشی مورد نظر جایگزین نمایید SEP????????????.cnf, SIP????????????.cnf
نکته❗ مک گوشی مورد نظر را میتوانید از منو network setting گوشی، پشت گوشی و یا اگر DHCP Server دارید مک گوشی را در قسمت Leases پیدا و کپی کنید. مانند شکل زیر:

IP Phone MAC

IP Phone MAC

اکنون باید تنظیمات داخلی را روی فایل cnf انجام دهیم. هر جا آدرسip وجود دارد آن را با آدرس سرور sip خود جایگزین نمایید و شماره داخلی و پسورد را در بخش های مربوطه مانند متن زیر وارد نمایید.

image_version: P0S3-8-12-00

line1_name: 232

line1_authname: “232”

line1_shortname: “232” ; displayed on the phones softkey

line1_password: “gf%$#@HJ”

line1_displayname: “Erjaki”; the caller id

proxy1_port: 5060

proxy1_address: ۱۹۲.۱۶۸.۱.۲۵۲

# Phone Label (Text desired to be displayed in upper right corner)

phone_label: “ITTechnical” ; add a space at the end, looks neater

phone_password: “cisco” ; Limited to 31 characters (Default – cisco)

user_info: none

telnet_level: 2

#logo_url: “http://192.168.1.252/admin/images/IT.png”

نکته❗

توجه کنید که فایلی با پسوند sbn در پوشه فریمور وجود دارد که باید نام این فایل را در مقابل image_version کپی کنید.

نکته ❗

مطابق اطلاعات فوق باید یک extention در PBX با پروتکل sip در سرور الستیکس ایجاد گردد و nat آن مانند شکل زیر no باشد.

تنظیمات tftp در بخشglobal

tftpserver & tftpclient & syslogserver & dhcpserver تیک دار باشد .

تنظیمات tftp در بخشglobal

تنظیمات tftp در بخشglobal

درsetting در بخشtftp درbase directory مسیر فولدر فریمور را انتخاب کنید و درbind tftp آدرسip لن کامپیوتر خود را قرار دهید.

درSetting در بخش dhcp تنظیمات زیر را انجام دهید.

ای پی که میخواهیم به ipphone تعلق بگیرد = ip pool starting

Size pool = 5

آی پی لن کامپیوتر = Default router

Mack=255.255.255.0

آی پی لن کامپیوتر & Additional option =25

bind dhcp = آی پی لن کامپیوتر

pind address = بدون تیک

persistant = بدون تیک

در syslog هر دو گزینه تیک دار باشد.

حال پورت سوییچ تلفن ip را به پورت lan وصل نموده( ip لن ترجیحا ip سرور باشد) و لن های دیگر را غیر فعال نمایید.
اکنون زمان آن رسیده تا فریمور را با tftp به گوشی منتقل کنیم .اول باید گوشی را ریست کنیم بنابراین برق گوشی را قطع کرده و روی تلفن کلید “#” را نگه دارید حال برق گوشی را وصل کنید، وقتی led گوشی شروع به خاموش و روشن شدن نمود کد زیر را به ترتیب از چپ به راست برای فلش شدن گوشی وارد نمایید.

۱۲۳۴۵۶۷۸۹*۰#

پیغام keep network configs -۱=yes, 2=no که شما باید دکمه ۲ را فشار دهید.

خوب اگر این مراحل را به درستی انجام داده باشید گوشی بوت شده و فریمور در حال انتقال به گوشی می باشد، اما دو نکته را مورد توجه قرار دهید.

نکته اول:

اگر DHCP Server ندارید بعد از پایان کار انتقال فریمور sip قبل از قطع ارتباط گوشی با tftp از روی گوشی مود dhcp تلفن را غیر فعال کنید.

نکته دوم:

در داخلی های الستیکس که برای این تلفن ها در نظر گرفته اید گزینه nat را غیر فعال کنید.

حال که فریمور به sip تغییر کرد من بعد دیگر برای کانفیگ داخلی دیگری روی این گوشی دیگر نیازی به انجام این مراحل نیستید و لذا برای تغییر داخلی به منو settings رفته و Unlock config را زده و پسورد cisco را وارد میکنید تا قفل تنظیمات باز شود، بعد از باز کردن قفل در منو به مسیر زیر بروید:

settings> Network Configuration Menu> sip Configuration> Line 1

در اینجا باید داخلی را همراه با پسورد وارد کنید و در قسمت پروکسی سرور باید ip سرور را وارد کنید و در آخر تمام تنظیمات را save کنید به این منوال داخلی جدید ست شد.

ادامه مطلب

مدل های مختلف IOS های سوئیچ های سیسکو

مدل های مختلف IOS های سوئیچ های سیسکو

مدل های مختلف IOS های سوئیچ های سیسکو : یکی از رایج ترین سوالات تفاوت ها در مدل IOS در سوئیچ های سیسکو است . چه مدل IOS در کدام سوئیچ سیسکو قرار دارد ؟ و IOS مناسب برای استفاده درست از امکانات سوئیچ سیسکو چیست ؟ باید بدانیم که تجهیزات سیسکو با کمترین مدل IOS در بازار دیده میشوند. مطلب مهم این است که سوئیچ ها با شماره ورژن و ترخیص یکسان عرضه میشوند ، و تفاوت عمده در نوع سرویس دهی است . هدف این مقاله بیان تفاوت سرویس ها در IOS های مختلف است و البته توضیح امکانات و سرویس هایی که در IOS ها وجود دارد .

لیست زیر از کمترین امکانات به بیشترین امکانات است که هرکدام به صورت جداگانه توضیح داده شده .

  •  LAN Lite
  • LAN Base
  • IP Lite
  • IP Base
  •  IP Service

LAN Lite

از مدل LAN Lite میشود به عنوان ارزان ترین مدل IOS های سوئیچ های سیسکو یاد کرد . درواقع در اولین سطح IOS قرار گرفته است . از امکانات این مدل میشود به روتینگ لایه 2 و سرویس امنیتی و VoIP اشاره کرد . قابل ذکر است که این مدل IOS مناسب شرکتهای کوچک است و وظیفه برآورده کردن نیازمندیهای آن در شبکه های مدرن را به عهده دارد .

LAN Base

این مدل برای شرکتهای متوسط ممناسب است که به دنبال انعطاف و توانمندی بیش از LAN Lite هستند . اگر به اسم این مدل توجه کنید متوجه می شوید که مناسب برای استفاده از LAN  هایی است که single  و flat  هستند . و امکان استفاده از شبکه های توزیع شده مثل WAN را ندارند .

در این مدل امکاناتی مثل امکانات لایه 2 و موارد ذکر شده در لیست پایین وجود دارد :

  • AutoQoS
  • Ingress policy
  • Static Routing
  • DSCP Mapping
  • قسمتی از Dynamic Packer Routing
  • امکانات بیشتر VoIP نسبت به LAN Lite

دارای امکانات امنیتی زیر هم میباشد :

  • 802.1x port protection
  • Cisco Identity 4.0
  • IPSG
  • DHCP snooping

IP Lite

در این مدل از IOS های سوئیچ های سیسکو میتوانید تمام امکانات موجود در لایه 2 و مقداری از امکانات لایه 3 رو هم ببینید . البته این امکانات کمتر از امکانات مدل IP Base است ، امکاناتی مثل :

  • RIP v1 & v2
  • OSPF v2 stub and v3 stub
  • Equal-cost routing
  • EIGRP stub
  • HSRP
  • Protocol Independent Multicast PIM (sparse mode, dense mode, sparse dense mode, source specific multicast) stub
  • VRRP for IPv4
  • IPv6 First hop security source guard
  • Private VLAN
  • Per-vlan and per-port policies

IP BASE

در ابتدا باید بدانید مدلهای ios   که با IP شروع می شوند ، برای استفاده در شبکه شرکت های enterprise   مناسب هستند . و اگر این شرکتها دارای شعب بیشتری باشند کارایی این شبکه هم بالاتر میرود . تمرکز این شرکتها بر روی امنیت شبکه و البته قابلیت گسترش پذیری است . این مدل برای شرکتهایی با سایز متوسط به بالا مناسب است و میتواند امکانات زیر را ارائه بدهد :

  • تمام قابلیت های مسیر یابی dynamic لایه 3
  • تمام امکانات لایه 2 و static route

امکانات امنیتی بالاتر از LAN base  :

  • Vlan
  • Encrypted VPN tunneling
  • trustSec
  • SXP
  • 802.1AE
  • امکانات بهبود یافته برای QoS بسته های داده و VoIP در هر vlan

IP Service

این مدل از IOS های سوئیچ های سیسکو ، آخرین مدل در IOS میباشد، که از نظر گسترش پذیری و هزینه در رتبه بالایی قرار دارد و میتوان از این مدل در شرکتهایی با چند شعبه استفاده کرد . در نظر داشته باشید که میزان اختلاف این مدل با IP Base بسیار ناچیز است ، ولی از نظر سایز، ابعاد ، گسترش پذیری امکانات و سرویس دهی با  بقیه مدلهای IOS تفاوتهایی دارد ، و دارای امکانات بیشتری در routing لایه 3 میباشد .

جهت مشاهده و اگاهی از مدل های مخلف سوئیچ سیسکو و همچنین اگاهی از قیمت سوئیچ سیسکو بر روی عبارات مورد نظر کلیک نمایید .

ادامه مطلب

تعویض پورت پیش فرض تلنت در روتر سیسکو

تعویض پورت پیش فرض تلنت در روتر سیسکو

تعویض پورت پیش فرض تلنت در روتر سیسکو :یکی از مسائلی که ممکن است باعث به خطر افتادن امنیت روتر های مرزی که دارای IP Valid روی پورت های خود میباشند عملیات Burst Force برای پیدا کردن دسترسی Telnet میباشد.

در درجه اول توصیه میشود که به جای تلنت از SSH استفاده کنید ولی اگر به هر دلیلی میخواهید از روش تلنت استفاده کنید بهتر است این چند توصیه را جهت Secure کردن Line های VTY اعمال نمائید.

در درجه اول چند کامند:

login on-failure log
login on-success log
login delay 3
aaa authentication attempts login 1
aaa authentication fail-message c یک پیغام تهدید آمیز c
aaa authentication login default local-case
  • دو کامند اول یک trap برای ورود یا عدم ورود موفق به syslog ارسال میکند.
  • کامند سوم بعد از ورود 3 ثانیه تاخیر ایجاد میکند.
  • کامند چهارم تنها 1 بار اجازه authenticate به جای 3 بار Default میدهد.
  • کامند پنجم جهت ایجاد رعب و وحشت در شخصی است که به هر دلیلی میخواهد وارد روتر شما شود! شما میتوانید بنویسید که IP شما ثبت خواهد شد و مورد پیگیرد قانونی قرار خواهد گرفت.
  • و کامند آخر باعث میشودکه روتربه حروف بزرگ وکوچک در Username حساس شود،پس ازحروف بزرگ هم استفاده کنید.

تعویض پورت پیش فرض تلنت در روتر سیسکو

تعویض پورت پیشفرض تلنت یعنی 23 به مثلا 3001 یا هر چیز دیگر است.

R1-VG#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1-VG(config)#ip acce e telnet
R1-VG(config-ext-nacl)#permit tcp any any eq 3001
R1-VG(config-ext-nacl)#deny ip any any
R1-VG(config-ext-nacl)#exit
R1-VG(config)#line vty ?
<0-988> First Line number
R1-VG(config)#line vty 0 988
R1-VG(config-line)#rotary 1
R1-VG(config-line)#access-class telnet in
R1-VG(config-line)#^Z

توضیح اینکه ابتدامایک access-list به نام telnet ایجاد میکنیم ودرآن تمامی ارتباطات به جز پورت 3001 را deny میکنیم.

سپس وارد تنظیمات line vty که همان telnet و ssh خودمان است میشویم که بسته به مدل روتر و IOS تعداد آن متفاوت است.

سپس rotary group 1 را اعمال میکنیم که همان پورت 3001 است یا هرچیز دیگر.

سپس access-list telnet را که در آن تمامی ارتباطات به جز پورت 3001 (یا هرچیز دیگر) deny شده را اعمال میکنیم و save و تمام.

حالا تست میکنیم:

R2#1.1.1.1
Trying 1.1.1.1 …
% Connection refused by remote host

R2#1.1.1.1 3001
Trying 1.1.1.1, 3001 … Open
R1
User Access Verification
Username: GEEKBOY.IR

مشاهده می‌کنید که ابتدا با پورت پیش‌فرض 23 کانکشن refused شد اما با پورت 3001 ارتباط برقرار شد. اگر یک acl همراه با logging بر روی پورت ورودی روتر خود قرار دهید، بسته به تعداد IP های موجود تعداد زیادی تلاش جهت ارتباط بر روی پورت 23 خواهید دید.

ادامه مطلب

تکنولوژی FlexStack و FlexStack-Plus

تکنولوژی FlexStack و FlexStack-Plus

در این بخش قصد داریم به معرفی دو تکنولوژی FlexStack و FlexStack-Plus در لایه دو برای استک کردن سوئیچ های کاتالیست سری ۲۹۶۰ بپردازیم. دلایل موفق بودن سری های سیسکو ۲۹۵۰ و بعد ۲۹۶۰ ، که در لایه دو قرار دارند ، قیمت مناسب، قابلیت های کانفیگی Cisco IOS، امکانات مدیریتی ، متنوع بودن در تعداد و انواع پورت، قابلیت پردازشی در لایه کاری و کارکرد در شرایط دشوار است . عرضه مدل جدید سیسکو ۲۹۶۰ که با نام  ۲۹۶۰X شناخته میشود ، یکی از ساخته های موفق بوده . که یکی از اصلی ترین شعارهای آن مصرف پایین انرژی توسط تکنولوژی سیسکو (Cisco EnergyWise Technology) است ، که باعث میشود تا ۸۰% مصرف انرژی کاهش پیدا کند . این محصول دارای پاورسپلای ثابت و البته امکان نصب پاور redundant است.

 

FlexStack-Plus module blank cover

FlexStack-Plus module blank cover

 

FlexStack-Plus module

FlexStack-Plus module

 

 

 

 

 

screws on each side of the module

screws on each side of the module

 

FlexStack-Module

FlexStack-Module

تکنولوژی FlexStack / FlexStack-Plus

Flexstack نام تکنولوژی stacking است که برای سری سوئیچ های اترنت ۲۹۶۰S است و فقط این سوئیچ هاقادر به استفاده از این تکنولوژی هستند. Flexstack-Plus، برای سوئیچ های کاتالیست سری ۲۹۶۰X و ۲۹۶۰XR استفاده می شود . هر دو تکنولوژی Flexstack و Flexstack-Plus نیاز به یک ماژول اکسترنال خاص برای استک شدن با یکدیگر و همینطور کابل Flexstack خاص، برای ارتباط با ماژولها دارند .

باید بدانید بدون این ماژول ها امکان استفاده از تکنولوژی stacking وجود ندارد . اتصال سوئیچ ها به یکدیگر از طریق اتصال این ماژول مخصوص، این امکان را به وجود می آورد که سوئیچ های درون استک به صورت یک سوئیچ واحد عمل کنند . این تکنولوژی با استفاده از ساختارهای درونی، مانند  N+1 Redundancy، قابلیت پیش تنظیمی و دسترسی بالا، میتوانند باعث کاهش هزینه شوند .

البته این امکان در سوئیچ هایی که به صورت standalone استفاده می شوند ، وجود ندارد . همانطور که میدانید ویژگی های دسترسی بالا مثل EtherChannel و FlexLinks ، که بین اعضای یک استک کار می کند ، موجب بالا رفتن اتصالات شبکه و طول عمر می شود. همانطور که میدانید FlexStack-Plus بر پایه FlexStack است . FlexStack، در سال ۲۰۱۰ در سری سوئیچ های ۲۹۶۰-S و تکنولوژی FlexStack-Plus ، در سال ۲۰۱۳ با ماژولهای سری ۲۹۶۰X و ۲۹۶۰XR از سری سوئیچ های اترنت (کاتالیست) سیسکو معرفی شد.FlexStack-Plus به نوعی FlexStack پیشرفته است .

پهنای باند FlexStack-Plus به دو برابر افزایش یافته و اجازه می دهد تعداد سوئیچ های بیشتری عضو استک شوند. پهنای باند FlexStack-Plus برای اعضای یک استک ۸۰Gbps است .در حالیکه FlexStack  برای اعضای یک استک ۴۰Gbps است . این امکان وجود دارد که در تکنولوژی FlexStack-Plus هشت سوئیچ  ۲۹۶۰X یا ۲۹۶۰XR و در FlexStack چهار سوئیچ  ۲۹۶۰S عضو استک شوند.

Comparison-of-FlexStack-Plus-FlexStack-and-StackWise

Comparison-of-FlexStack-Plus-FlexStack-and-StackWise

Mixed FlexStack

باید بدانید Flexstack-plus با نسخه های پیشین ۲۹۶۰S و Flex-stack همخوانی دارد. امکان ترکیب ۲۹۶۰X و ۲۹۶۰S به عنوان اعضای یک Stack وجود دارد. هنگامیکه درون یک اسنک اعضایی مانند ۲۹۶۰X و ۲۹۶۰S وجود داشته باشد، Flexstack-Plus توانایی های خود را در حد یک Flexstack پایین می آورد. به طوریکه پهنای باند استک به Gbps 40 بیشینه اعضای یک استک به ۴ عضو میرسد. میتوانید تفاوت های Flexstack و Flexstack-Plus را در جدول زیر بخوانید .

Allowed-Mixed-Stack-Combinations

Allowed-Mixed-Stack-Combinations

تکنولوژی FlexStack و FlexStack-Plus به عنوان قسمتی از معماری شبکه توسعه پذیر، به راحتی و سریع امکان تدارک و مدیریت تعداد زیادی سوئیچ را در، هر مقیاسی ،فراهم میکند.

علت استک کردن سوئیچ های اترنت

استک کردن سوئیچ های اترنت، باعث کاهش هزینه در مدیریت شبکه و هزینه های نگه داری شبکه میشود، چون تعداد دستگاههای مدیریت کمتر میشوند و زمان دردسترس بودن (uptime) شبکه به وسیله قابلیت redundancy افزایش پیدا میکند. در شکل زیر میتوانید دو روش توسعه سویچ های اترنت در لایه access را مشاهده کنید.

comparison of flexstack and nonstacked configurations

comparison of flexstack and nonstacked configurations

در هر کدام از موارد بالا، چهار سوئیچ اترنت به سوئیچ core switch) 6509) متصل شده است. شکل سمت چپ ، ۴ سویچ را نشان می دهد که با کابل های مشابه در کنار یکدیگر قرار گرفته اند ولی در یک استک نیستند (به صورت standalone قرار گرفته اند). هرسوئیچ standalone ، ۲ پورت uplink در لایه distribution دارد که در یک گروه Etherchannel با یکدیگر ترکیب شده اند. درشکل سمت راست ، ۴ سوئیچ با تکنولوژی Flexstack-Plus با یکدیگر استک هستند .

استک، ۴ پورت uplink در لایه distribution دارد، و چون Flexstack از قابلیت Etherchanneling استفاده میکند ودر اینترفیس های اترنت قرار گرفته ،از یک استک پشتیبانی می کند. همانطور که میدانید هنگامیکه تمامی سوئیچ ها در یک استک هستند، می توان از تمامی مزایای EtherChannel استفاده کرد. وقتیکه سوئیچ ها دورن یک استک قرار می گیرند،از تمامی مزایای گروه بندی EtherChannel برخوردار میشوند. همانطور که در شکل بالا هم میبینید، ۴ پورت uplink درون یک گروه Etherchannel با یکدیگر قرار دارند.

۳  مزیت کاربردی استک کردن سویچ های اترنت برای مدیران شبکه

۱- مدیریت مرکزی (مدیریت از طریق یک نقطه واحد):

تکنولوژی FlexStack & FlexStack-Plus : تمامی سوئیچ های یک استک به عنوان یک سوئیچ واحد، قابل مدیریت هستند.این فناوری ، از تکرار کارهای مدیر شبکه جلوگیری می کند و از میزان کار هم می کاهد زیرا دستگاههای کمتری برای مدیریت وجود دارد. چندین سوئیچ فیزیکی داخل یک استک، به عنوان یک سوئیچ منطقی نشان داده می شوند و تنها یک IP آدرس برای مدیریت سوئیچ logical نیاز است. تمامی موارد مدیریتی برای (اینترفیس و Vlan) که بر روی سوئیچ های فیزیکی انجام میشوند، می توانند از طریق سوئیچ logical پیکربندی و مدیریت شوند. سوئیچ logical می تواند به تنهایی در شبکه نمایش داده شود.

۲- قابلیت HA ( دسترسی بالا) و Redundancy ( ارتباطات پایدار) :

اتصالات پرسرعت Flexstack، Redundancy را از هر عضو استک به عضو دیگر منتقل میکند. باید بدانید در معماری stacking، data path redundancy  (مسیر داده اضافی) قرار داده شده است.

FlexStack with Redundant Links

FlexStack with Redundant Links

برای درک بهتر تکنولوژی FlexStack & FlexStack-Plus به شکل بالا توجه کنید . همانطور که میبینید بین هر ۲ عضو داخل استک، ۲ مسیر فیزیکی از طریق کابل استک قرار داده میگیرد که اتصال سوئیچ های درون یک استک با کابل استک، یک مسیر redundant را فراهم می کند. این تکنولوژی قابلیت stacking، در دسترس بودن سوئیچ های اترنت را به وسیله قابلیت redundancy برای هر دو سوئیچ فیزیکی و پورت های uplink ایجاد می کند. در حقیقت یک ارتباط همیشگی پایدار فراهم می کند. چون تمام اجزای استک با لینک مستقل به سوییچ لایه بالا متصل می شوند و با از کار افتادن یکی از سوئیچ ها یا یکی از اینترفیس های uplink، مشکلی در کاآرایی ششبکه به وجود نمی آورد یا کل شبکه down نمی شود. از آنجاییکه هر سوییچ logical چندین پورت uplink دارد، سوییچ logical هنوز هم متصل به شبکه است چون حداقل یک پورت uplink فعال دارد.

۳- قابلیت مقیاس پذیری برای هماهنگ شدن با نیازهای شبکه:

نصب یک سویچ جدید به استک کار ساده ای است. با توجه به اینکه نیاز به access پورتهای اضافی بیشتر می شود، اضافه کردن یک سویچ جدید به استکی که در حال حاضروجود دارد، خیلی آسانتر و سریعتر از اضافه کردن یک سویچ standalone به شبکه است.

سوئیچ Master

در سوئیچ logical، یکی از سوییچ های فیزیکی به عنوان master عمل می کند.سوئیچ master وظیفه مدیریت تمامی سوئیچ های فیزیکی از جمله خودش را بر عهده دارد. اگر که سوئیچ master  ، از کار بیفتد ، یکی دیگر از اعضای استک به صورت اتوماتیک master می شود. براساس انتخاب ، تنظیمات استک در صورت از کار افتادن  یک عضو یا ریبوت شدن، کل استک حفظ می شود .

Flexstack، قابلیت ۱:N Redundancy را برای سوئیچ master به وجود می آورد و این امکان وجود دارد که هر لحظه یکی دیگر از اعضای استک نقش master را داشته باشد.

انعطاف پذیری Flexstack، باعث به وجود آمدن قابلیت modular stacking میشود. به معنا که سوئیچ های Cisco Catalyst 2960 هر زمان می توانند به وسیله ماژول Flexstack به استک اضافه شوند. در صورتی که نیاز به پورت های access وجود داشته باشد،سوئیچ های ۲۹۶۰ می توانند با یکدیگر استک شوند یا حتی استک جدیدی را درست کنند. این انعطاف پذیری برای مدیرشبکه باعث صرفه جویی در هزینه میشود و می تواند در صورت نیاز، سوئیچ های additional را به استک اضافه کند. زمانیکه چندین سوئیچ با تکنولوژی Flexstack با یکدیگر استک می شوند، اضافه کردن اعضا به استک و جایگزین کردن واحدهای فیزیکی آسانتر است. از آنجاییکه استک، پیکربندی را حفظ می کند، نیازی به backup گرفتن از پیکربندی سوئیچ ها قبل از حذف شدن نیست. همینطور، وقتیکه یک عضو جدید به استک وارد می شود، پیکربندی استک برای عضو جدید قرار می گیرد.در این زمان مدیر شبکه نیازی به بازیابی اطلاعات سوئیچ ندارد، چون استک مسئولیت آن را به عهده دارد.

 Stacking and clustering

Stacking، کلاسترینگ نیست. کلاسترینگ تکنولوژی است که برروی سوئیچ های اترنت سیسکو قرار دارد، و به مدیران شبکه اجازه می دهد تا تنها از طریق یک IP آدرس public به منظور مدیریت چندین سوئیچ فیزیکی استفاده شود.کلاسترینگ به مدیران شبکه کمک میکند علاوه برتمرکز بر روی مدیریت سوئیچ ها، مقدار IP Public های کمتری نیاز داشته باشد. باید بدانید Stacking خیلی بیشتر از مدیریت از طریق تنها یک نقطه و حفاظت IP آدرس کارایی دارد، چون Redundancy، Availability و مدیریت آسان را پیشنهاد می دهد. همچنین سری کاتالیست ۲۹۶۰ علاوه بر stacking، clustering را هم پشتیبانی می کند.

ماژول FlexStack

دو نوع ماژول برای FlexStack وجود دارد.

  1. نوع (ماژول PID:2960-S-Stack ) برای سوییچ های سری ۲۹۶۰S
  2. نوع (ماژول PID:2960-X-Stack) برای سری ۲۹۶۰x و ۲۹۶۰XR

هر مدل Flex-Stackیی دو پورت FlexStack را پشتیبانی می کند. ماژول FlexStack در عقب سوئیچ قرار می گیرد. دو کابل FlexStack که در ماژول FlexStack قرار دارد، data path redundancy را برای ترافیک درون استک فراهم می کنند. شکل پایین، نحوه قرارگیری ماژول در قسمت عقب سوییچ ۲۹۶۰ را نشان می دهد.تمامی انواع ماژولهای hot swappable , flexstack هستند .

FlexStack-Module-Inserted-into-Rear-of-2960-X

FlexStack-Module-Inserted-into-Rear-of-2960-X

FlexStack-Module

FlexStack-Module

 

 

مدلهای ۲۹۶۰S و ۲۹۶۰X سوئیچ های ۲۹۶۰ سیسکو هستند که توان پشتیبانی از Mixed Stack را دارا میباشند. همه مدلهای ۲۹۶۰، پروتکل FlexStack را اجرا میکنند  و البته اجازه می دهند که درون یک استک، با یکدیگر استک شوندالبته به جز سوئیچ های ۲۹۶۰XR که با هیچ کدام از سوییچ های ۲۹۶۰S و ۲۹۶۰X استک نمی شوند. برروی سوییچ ۲۹۶۰XR ، ویژگی LAN Lite تنظیم شده که با ویژگی LAN-Base که برروی سوئیچ های ۲۹۶۰X و ۲۹۶۰S تنظیم شده ،سازگاری ندارد.

در جدول زیر ترکیبات استک MIX را، که اجازه استک شدن دارند را میبینید که متوجه میشوید مدل های ۲۹۶۰ با ویژگی LAN Base می توانند با یکدیگر استک شوند.

Allowed-Mixed-Stack-Combinations

Allowed-Mixed-Stack-Combinations

Flexstack Cabling

همانطور که میدانید ، در تکنولوژی FlexStack – FlexStack-Plus برای اتصال سوئیچ های ۲۹۶۰ با یکدیگر برای استک شدن، از کابلهای ویژه ای استفاده می شود. در شکل بعدی، تصویری از قرارگرفتن کامل کابلهای FlexStack در ماژول FlexStack رامیبینید و زبانه خارجی کابل های استک علامت گذاری شده اند . علاوه بر دور بودن زبانه ها از یکدیگر، قسمت فلزی کانکتور طوری طراحی شده  اند تا از نصب اشتباه کابل جلوگیری شود.

FlexStack-Module-with-Cables

FlexStack-Module-with-Cables

FlexStack-Module-with-Cables

Fully Redundant Mode

زمانیکه هریک از اعضای درون استک، تکنولوژی FlexStack – FlexStack-Plus دو لینک FlexStack فعال داشته باشد، استک در حالت Fully Redundant عمل می کند. ۲ ارتباط FlexStack برای هریک از اعضا به یکدیگر را،  Redundancy فراهم می کند. اگر در هر سوئیچ  یک لینک FlexStack از دو لینک قطع شود، استک باقی مانده، برای فراهم کردن ارتباط استفاده می شود که یک ارتباط پایدار و همیشگی است.

Deployment Topology

شکل زیر عضو استک را با پهنای باند کامل و اتصالات Redundant در حالت Fully Redundant نشان میدهد که همانطور که میدانید اگر یکی از لینک های FlexStack قطع شود، استک همچنان به کار خود ادامه خواهد داد .

Fully-Redundant-Three-Member-Stack

Fully-Redundant-Three-Member-Stack

در شکل زیر ، یک استک با کابل کشی FlexStack که به طور کامل انجام نشده را مشاهده میکنید.

Nonredundant-Three-Member-Stack

Nonredundant-Three-Member-Stack

با توجه به شکل میتوان گفت، ترافیک دیتا از طریق عضو میانی عبور داده می شود. این استک در حالت nonredundant عمل می کند و تنها نیمی از پهنای باند ممکن را برای اعضاء فراهم می کند و هیچ اتصالی از طریق  Redundant ندارد.اعضای بالایی و پایینی هم از تمامی پهنای باند در حالت Fully Redundant استک استفاده نمی کنند و فقط از نیمی از پهنای باند استفاده میشود. پهنای باند Fully Redundant استک برای هر عضو ۲۹۶۰XR  و ۴۰Gbps  ۲۹۶۰X است و پهنای باند Fully Redundant استک برای هر عضو  ۲۰Gbps  ۲۹۶۰S  است.

به جدول زیر توجه کنید ، ۳ نوع کابل FlexStack-Plus با طول مختلف نشان داده شده است باید یدانید طول های مختلف امکان گسترش بیشتر را میدهند.

 

FlexStack-Cable-Lengths

FlexStack-Cable-Lengths

 

چگونگی استک شدن ۴ سوئیچ با استفاده از کابلهای ۰٫۵ متری ، ۱٫۰ متری و ۳٫۰ متری  را در شکل های زیر میبینید. اتصالات اعضای استک با استفاده از کابلهای استک ، کارایی دارند.

 

Four-Member-Stack-with-0.5-Meter-Cables

Four-Member-Stack-with-0.5-Meter-Cables

Four-Member-Stack-with-3.0-Meter-Cable

Four-Member-Stack-with-3.0-Meter-Cable

 

همانطور که میبینید کابل ۳ متری برای کامل کردن حلقه ارتباطی Redundant برای اتصال عضو بالایی به عضو پایینی استفاده شده است. اتصالات دیگر به صورت مستقیم به اعضای مجاور خود با استفاده از کابلهای ۰٫۵ متری انجام شده است.

ادامه مطلب

دستورات ARP

دستورات ARP

انتقال دیتا در شبکه، بر پایه IP است. IP یک شناسه منطقی است، که در لایه اینترنت کار می کند. بسته های IP خود در فریم های لایه فیزیکی قرار می گیرند. و سپس درون شبکه ارسال می شوند. اما Device ها و Workstation های درون شبکه محلی برای ارتباط با همدیگر نیازمند دانستن Mac Address یک دیگر هستند. این در حالیست که ما از کامپیوتر ها و دیوایس هایی مانند مودم،روتر،پرینتر و …. که در شبکه با آن ها کار می کنیم فقط آی پی آن ها را می دانیم در حالی که در عمل به  Mac Address آن ها نیاز است.

ارتباط بین دوکامپیوتر در ظاهر به وسیله IP انجام می گیرد ولی در واقع Mac Address ها هستند که این ارتباط را برقرار می کنند. اما نکته مهم این است که یک سیستم از کجا Mac Address سیستم های دیگری را که می خواهد از طریق شبکه با آنها ارتباط برقرار کند را بیابد؟ این امر با استفاده از پروتکل ARP میسر است.

ARP مسئول تبدیل IP به Mac Address است. این پروسه از طریق Broadcasting در داخل شبکه انجام می شود. بدین صورت که کامپیوتر ارسال کننده در داخل شبکه فریاد میزند که ” این آدرس IP متعلق به کدام سیستم است؟ من Mac Address تو را نیاز دارم ! “.

این Broadcast به داخل شبکه فرستاده می شود و همه ی کامپیوتر ها ، data های Broadcast را دریافت می کنند .سپس کامپیوتری که آدرس IP ارسال شده متعلق به آن باشد در پاسخ ، Mac Address خود را می فرستد. در نهایت این پروسه با در اختیار قرار دادن Mac Address به کامپیوتری که برای ارسال داده های خود نیازمند آن آدرس بود کامل می شود.

برای کاهش تعداد Broadcast ها و در نتیجه کاهش ترافیک شبکه، از یک Client Cache که آدرس ها را برای یک بازه زمانی درون یک جدول نگهداری می کند، استفاده می شود. این جدول (ARP Table یا ARP Cache) هر 120 ثانیه Reresh شده و تغییرات احتمالی را چک می کند.

به این نکته توجه کنید که ARP Table ویندوز را با Mac Address Table سوئیچ اشتباه نکنید. Mac Address Table سوئیچ ، مشخص کننده این است که کدام Mac Address به کدام پورت سوئیچ مربوط است که اگر بسته ای به سوئیچ برسد ، Mac Address مقصد آن را می خواند و بسته را بر روی پورت مربوط به آن می فرستد.

دستور ARP

با زدن این دستور در خط فرمان CMD ، لیستی از گزینه های ARP به شما نمایش داده خواهد شد.

آموزش دستور ARP

دستور ARP

دستور ARP –a

با این دستور می توانید ARP Table مربوط به همه کارت های شبکه را مشاهده کنید. می توانید به جای –a از –g هم استفاده کنید. هر دو دستور ARP –a و دستور ARP –g یک کار را انجام می دهند.

دستور ARP –a

دستور ARP –a

شناسایی کارخانه سازنده کارت شبکه با استفاده از MAC Address

حالا که MAC Address کامپیوتر های درون شبکه تان را دارید، می توانید اطلاعات بیشتری در مورد آن ها بدست بیاورید. مثلا اگر سه بخش اول MAC Address را در اینترنت جست و جو کنید نام شرکت سازنده را خواهید یافت.

شناسایی کارخانه سازنده کارت شبکه با استفاده از MAC Address

شناسایی کارخانه سازنده کارت شبکه با استفاده از MAC Address

دستور ARP -s

با این دستور می توانید یک IP به همراه MAC Address ش را به طور دستی یا Static به ARP Table اضافه کنید.

برای جلوگیری از سرقت اطلاعاتی در حمله ARP Poisoning می توانید از این دستور کمک بگیرید.

ARP –s 10.57.10.32 00-60-8c-0c-6c-6a
دستور ARP -s

دستور ARP -s

دستور ARP –d

دستور ARP -d قابلیت حذف دستی یک IP از ARP Table را به شما می دهد.

برای انجام این کار به روش زیر عمل کنید:

<ARP –d <IP Address

در قسمت <IP Address>بایدIP مد نظر را وارد کنید.

دستور ARP –d

دستور ARP –d

نکته: اگر کامپیوتر شما دو کارت شبکه یا بیشتر دارد به همان تعدادنیز ARP Table دارد.

اگر می خواهید ARP Table یک کارت شبکه خاص را ببینید به روش زیر عمل کنید:

<ARP –a –n <IP of specific NIC

در قسمت <IP of specific NIC> بایدIP آن کارت شبکه را وارد کنید.

 

 

ادامه مطلب

تکنولوژی TrustSec Cisco

تکنولوژی TrustSec Cisco

تکنولوژی TrustSec متعلق به شرکت Cisco علاوه بر تسهیل فرآیند آماده‌سازی و مدیریت دسترسی ایمن به شبکه، مدیران امنیتی را در تسریع عملیات امنیتی و اجرای هماهنگ Policy ها در سراسر شبکه یاری می‌کند. برخلاف مکانیسم‌های کنترل دسترسی که بر اساس توپولوژی شبکه عمل می‌کنند؛ روند کنترل TrustSec Cisco با استفاده از گروه بندی Policy ها تعریف می‌شود. در نتیجه قابلیت بخش بندی منابع و دسترسی ایمن حتی در صورت جابجایی منابع در شبکه‌های مجازی و سیار، به طور هماهنگ و پیوسته حفظ خواهد شد.

تکنولوژی TrustSec Cisco

عملکردهای TrustSec Cisco به منظور محافظت از دارایی ها و برنامه های کاربردی در سازمان‌ها و شبکه‌های دیتاسنتر در فرآیند سوئیچینگ، مسیریابی، LAN، بی‌سیم و محصولات فایروال گنجانده می‌شود.

قابلیت بخش بندی مبتنی بر Policy

در روش‌های قدیمی، بخش بندی یا Segmentation و محافظت از دارایی‌ها با استفاده از VLAN و ACL صورت می‌گیرد. اما در تکنولوژی TrustSec Cisco از Policy های امنیتی استفاده می‌شود که به زبان ساده ماتریسی نوشته شده و از IP و VLAN مجزا هستند. در این تکنولوژی، کاربران و اطلاعات آن‌ها دارای نقش‌های یکسان بوده و در یک گروه امنیتی قرار می‌گیرند.

Policy های TrustSec Cisco به صورت مرکزی ایجاد و به طور خودکار در شبکه‌های بی‌سیم، باسیم و VPN توزیع می‌شوند. در نتیجه کاربران و اطلاعات سازمانی، حتی در هنگام جابجایی در شبکه‌های مجازی و سیار نیز قادر به دریافت دسترسی ها و محافظت پیوسته و هماهنگ خواهند بود. بدین ترتیب زمان صرف شده برای امور مهندسی شبکه و اعتبارسنجی کاهش می‌یابد.

نگاهی جزیی به TrustSec

مزایای استفاده از TrustSec Cisco

TrustSec Cisco می‌تواند امور مهندسی تکراری و زمانبر امنیتی را در شبکه از قبیل تعریف قوانین فایروال، VLAN و ACL ساده‌سازی کند. در نتیجه علاوه بر کمک به بهینه‌سازی زمان در IT ، موجب بهبود وضعیت امنیتی سازمان می‌شود.

ساده سازی روند مدیریت دسترسی

ایجاد سیاست‌ها و مدیریت آن در یک ماتریس ساده با استفاده از یک زبان ساده می‌تواند روند مدیریت برای بخش بندی و کنترل دسترسی در سراسر سازمان را تسهیل کند. به علاوه این فناوری می‌تواند دسترسی به اطلاعات مهم و حیاتی را از طریق تعیین نقش‌های اصلی آن‌ها به راحتی کنترل کرده و گروه‌های کاربری مانند پیمانکاران، حسابداران و مدیران فروش یا نقش های سروری مانند پایگاه‌های داده HR یا سیستم‌های CRM را تعریف نماید.

تسریع عملیات های امنیتی

TrustSec Cisco علاوه بر ساده کردن فرآیندهای مدیریت و مهندسی در سازمان‌های IT، به صرفه جویی در زمان کمک می‌کند و آن‌ها را در همگام شدن با تغییرات کسب و کار یاری خواهد کرد. سرورهای جدید قادر هستند ظرف مدت چند دقیقه Onboard شوند. ضمن اینکه جابجایی، تغییرات و افزودن مواردی که نیازمند پشتیبانی IT است؛ به سرعت انجام شده و قابلیت خودکارسازی قوانین فایروال و مدیریت ACL نیز وجود دارد.

Policy های هماهنگ در هر مکان

TrustSec Cisco این قابلیت را داراد که Policy ها را در هر جایی از شبکه به صورت هماهنگ اجرا کرده و محافظت از اطلاعات و امکان دسترسی بدون مانع کاربران به منابع را تضمین کند. مدیرانی که مسئولیت تعریف Policy را بر عهده دارند، می‌توانند آن را در توپولوژی های باسیم، وایرلس و VPN استفاده کنند. در حالی که گسترش روش‌های قدیمی بخش بندی در شبکه‌های سازمانی به سختی صورت می‌گیرد؛ طراحی TrustSec Cisco به نحوی است که برای عملیات مختلف در هر اندازه‌ای مناسب بوده و ممکن است کاربران سیار، دفاتر شعب، محیط های Campus و دانشگاهی (چند ساختمان در یک محدوده که دارای ارتباطات شبکه‌ای هستند) و دیتاسنترها را دربرگیرد.

فرآیند دسترسی به TrustSEC در دیتاسنتر

بخش بندی شبکه‌های CAN

در شبکه‌های Campus یا به عبارتی شبکه‌هایی که شامل ساختمان‌هایی مجاور یکدیگر هستند؛ فرآیند بخش بندی گروه‌های مختلف کاربران در VLAN موضوعی متداول محسوب می‌شود. هر VLAN نیاز به یک فضای آدرس دارد و باید در یک Interface مسیریابی شده Upstream طراحی شود. این امر ممکن است مستلزم استفاده از ACL استاتیک یا عملکردهای ارسال و مسیریابی مجازی VRF برای حفظ جداسازی باشد. تعاملات کنترل شده بین گروه‌های کاربری باید در پیکربندی سوئیچ یا روتر تعریف شوند که امکان دارد این روند را پیچیده‌تر کند. به علاوه اینکه کنترل ارتباط در یک VLAN یا بخش بندی آن، کاری دشوار است.

راهکار TrustSec Cisco برای شبکه های CAN

TrustSec Cisco از تگ‌های مربوط به گروه‌های امنیتی یا STG برای تعریف دسترسی‌ها در شبکه استفاده می‌کند. تعامل سیستم‌های مختلف از طریق Policy های مبتنی بر گروه‌های امنیتی تعیین شده و نیاز به انجام تنظیمات پیچیده بر روی VLAN را از بین برده و طراحی نحوه دسترسی به شبکه را به صورت ساده حفظ می‌کند. ضمن این‌که از ازدیاد تعداد VLAN ها نیز جلوگیری خواهد شد. به علاوه می‌توان ارتباطات بین گروه‌های کاربری مختلف را رد کرده و ارتباطات کنترل شده در پورت‌ها و پروتکل های خاص را مجاز کرد. ACL های مربوط به گروه‌های امنیتی در این فناوری می‌تواند ترافیک‌های ناخواسته بین کاربران با نقش‌های مشابه را مسدود کرده و در نتیجه از فعالیت‌های مخرب و حتی Exploit کردن بدافزار به صورت Remote جلوگیری کند.

خودکارسازی Rule های فایروال

کنترل دسترسی بر اساس IP اغلب به ایجاد جداول بزرگی از قواعد فایروال منتهی می‌شود که درک و مدیریت آن را دشوار می‌کند. در دیتاسنترهای مجازی‌سازی شده به احتمال زیاد تعدادی فرآیند از سرورهای منطقی برای محافظت وجود دارد که ممکن است به طور مکرر تغییر در آن‌ها اتفاق بیافتد.

راهکار TrustSec Cisco جهت مدیریت Rule های فایروال

با TrustSec Cisco می‌توان قوانین فایروال را به جای IP سرورها، با استفاده از Role هر سرور نوشت. بنابراین Policy ها، ساده شده و مدیریت آن‌ها نیز تسهیل می‌شود. در دیتاسنترهای مجازی، عملکردهای TrustSec Ciscoدر پلتفرم های سوئیچینگ مجازی V 1000 Nexus Cisco این امکان را فراهم می‌کند که تخصیص نقش سرورها در یک پروفایل آماده‌سازی مشخص شده و به صورت خودکار با فایروال‌های سیسکو به اشتراک گذاشته شود. با افزایش بار کاری در یک پروفایل مشخص یا با جابجایی بار کاری، اطلاعات عضویت در گروه‌ها بر روی فایروال‌ها به طور آنی به روز رسانی می‌شود. در صورت اضافه شدن یک سرور با نقش مشخص نیازی به اضافه کردن آن به جدول دسترسی فایروال نخواهد بود.

ابزارهای TrustSec در سیسکو

قواعد مبتنی بر TrustSec Cisco در Manager Security Cisco

Policy های دسترسی BYOD به طور معمول با استفاده از فهرست‌های کنترل دسترسی IP محور به کار می‌روند تا قادر به کنترل نحوه دسترسی کاربران مجاز به منابع باشند. مدیریت ACL بر اساس IP می‌تواند به دلیل نیاز به نگهداری مداوم به یک مسئولیت اجرایی تبدیل شود.

راهکار TrustSec Cisco در امنیت BYOD

پروفایل بندی گسترده ISE، اعتبارسنجی موقعیت و قابلیت‌های یکپارچه سازی در مدیریت تجهیزات سیار را می‌توان به عنوان بخشی از فرآیند دسته بندی BYOD در طراحی Cisco TrustSec استفاده کرد. پس از آن، سوئیچ‌ها و فایروال‌های TrustSec Cisco می‌توانند دسته بندی BYOD را در نظر گرفته و موارد مبتنی بر Policy را در آن اجرا کنند. این رویکرد نه تنها به ارائه کنترل دسترسی با عملکرد بالا می‌پردازد بلکه Policy های دسترسی را به شیوه‌های بسیار ساده همراه با تلاش‌های مدیریتی کمتر تعریف خواهد کرد.

ادامه مطلب

معرفی سوئیچ های شرکت سیسکو

معرفی سوئیچ های شرکت سیسکو

سوئیچ ها

معرفی سوئیچ های شرکت سیسکو : سوئیچ ها دستگاه هایی هستند که قادر به پردازش فریم های لایه دوم بوده و بین دستگاه های متصل شده به سوئیچ یک رابطه یک به یک ایجاد میکند.این ارتباط میتواند به صورت Full-Duplex یا Half-Duplex صورت بپذیرد.

از لحاظ قدرت پردازش و انتقال فریم، سوئیچ ها در کلاس های متفاوتی قرار میگیرند که بسته به نوع نیاز باید سوئیچی انتخاب شود تا علاوه بر مقرون به صرفه بودن کارایی مورد نیاز در شبکه را فراهم آورد.

سوئیچ های Access

این سوئیچ ها رد پایین ترین رده از کلاس های سوئیچ بوده و برای متصل کردن کلاینت ها به شبکه مورد استفاده قرار میگیرد. در هنگام پیاده سازی ساختار سه لایه سیسکو این کلاس از سوئیچ ها در لایه Access قرار میگیرند.

سری سوئیچ های Access در این کلاس:

  • سری Cisco Catalyst 2960-X
  • سری Cisco Catalyst 3650
  • سری Cisco Catalyst 3850

سوئیچ های Distribution

این دسته از سوئیچ ها هت متصل کردن سوئیچ های Access به یکدیگر مورد استفاده قرار میگیرند و از لحاظ توان پردازشی نسبت به سوئیچ های Access پرسرعت تر و گران تر هستند.

در ساختار سه لایه سیسکو از این کلاس در لایه Distribution استفاده میشود.

سری سوئیچ های Distribution در این کلاس:

  • سری Cisco Catalyst 4500-X
  • سری Cisco Catalyst 3850 Fiber

سوئیچ های Core

این کلاس از سوئیچ ها فوق العاده پر سرعت و گران هستند و در قلب شبکه استفاده میشود. از این سوئیچ ها برای متصل کردن سوئیچ های لایه Distribution استفاده میشود.

سری سوئیچ های Core در این کلاس:

  • سری Cisco Nexus 7000
  • سری Cisco Catalyst 6800
  • سری Cisco Catalyst 6500

سوئیچ های Data Center

این دسته از سوئیچ ها به صورت اختصاصی برای محیط هایی طراحی شده اند که به صورت مستقیم و یا غیر مستقیم به سرورهایی قدرتمند متصل هستند. این سرورها سرویس های مجازی سازی، پردازش ابری و … را ارائه میدهند که به نسبت کلاینت های معمولی از معماری متفاوتی استفاده میکنند.

سری سوئیچ های Data Center در این کلاس:

  • سری Cisco Nexus 9000
  • سری Cisco Nexus 7000
  • سری Cisco Nexus 6000
  • سری Cisco Nexus 5000
ادامه مطلب

هشدار حمله Ghost DNS به روترهای خانگی

هشدار حمله Ghost DNS به روترهای خانگی

هشدار حمله Ghost DNS به روترهای خانگی: پژوهشگران امنیتی درباره نفوذ هکرها به صدهزار مودم و روتر خانگی در برزیل با حمله سایبری Ghost DNS هشدار دادند.

حمله سایبری جدیدی از طریق بدافزار Ghost DNS، صدهزار روتر خانگی را در برزیل آلوده‌ کرده‌است. هکرها در این حمله می ‌توانند اطلاعات حساس کاربر را با دستکاری مسیر ترافیک و هدایت قربانی به سمت صفحات جعلی سرقت کنند.

به گفته گروهی از پژوهشگران هم‌اکنون کنترل بیش از صدهزار مودم و روتر خانگی از برندهایی چون D-Link ،MikroTik ،TP-Link ،Huawei و SpeedTouch به دست هکرها افتاده است و آنها آدرس سرورهای DNS را برای مقاصد خود تغییر داده‌اند.

پژوهشگران از ۲۰ سپتامبر ۲۰۱۸ خبر از یک حمله گسترده داده‌اند. روند اینگونه است که در هنگام بازدید از صفحات آلوده به کدهای مخرب، یک اسکریپت به منظور بررسی باز بودن درگاه‌های روتر اجرا می‌‌شود و تلاش می‌کند از طریق حملات بروت فورس (Brute Force) به صفحه تنظیمات آن وارد شوند. در صورتی که حمله موفقیت‌آمیز باشد، آدرس‌های DNS و همچنین کلمه عبور روتر عوض می‌‌شود تا ضمن هدایت ترافیک کاربر به سمت شبکه‌های تحت کنترل هکرها، قادر به ورود به تنظیمات و بازگردانی آنها نباشد. از آنجایی که بسیاری از کاربران هرگز کلمه عبور پیش‌فرض روتر خود را تغییر نمی‌دهند، بسیاری از روترها در برابر این نوع حملات آسیب‌پذیر هستند.

بروت فورس یکی از انواع حملات هکری برای به‌دست آوردن رمز های عبور است. در این روش هکر با استفاده از نرم‌افزارهای مخصوص سعی می‌کند تمام عبارت‌های ممکن را بررسی کند. آشنایی با حملات brute force برای همه مدیران سایت‌ها و کاربران اینترنتی که دارای پنل مدیریت اینترنتی یا نام کاربری و رمز عبور در یک سایت خاص هستند لازم و ضروری است، چراکه با شناخت این نوع حمله و راهکار‌های مقابله با آن گامی بلند در راه ارتقای امنیت سایبری برداشته‌شده و میزان کمتری از سایت‌ها توسط این روش خطرناک مورد نفوذ قرار می‌گیرند.

حمله Ghost DNS به روترهای خانگی

این حمله را شرکت امنیت سایبری Netlab360 شناسایی کرده‌است. برندهایی که در این حمله تحت تاثیر قرار گرفته‌اند در ذیل آمده‌اند:

• 3COM OCR-812
• AP-ROUTER
• D-LINK
• D-LINK DSL-2640T
• D-LINK DSL-2740R
• D-LINK DSL-500
• D-LINK DSL-500G/DSL-502G
• Huawei SmartAX MT880a
• Intelbras WRN240-1
• Kaiomy Router
• MikroTiK Routers
• OIWTECH OIW-2415CPE
• Ralink Routers
• SpeedStream
• SpeedTouch
• Tenda
• TP-LINK TD-W8901G/TD-W8961ND/TD-8816
• TP-LINK TD-W8960N
• TP-LINK TL-WR740N
• TRIZ TZ5500E/VIKING
• VIKING/DSLINK 200 U/E

بررسی‌های شرکت امنیت سایبری Netlab ۳۶۰، حاکی از آن است که هکرها کاربران را به سمت صفحات جعلی فیشینگ هدایت می‌کنند و اطلاعات آنها را سرقت می‌کنند.

کاربران برای جلوگیری از حملات این‌چنینی باید Firmware های روتر خود را به‌روز نگه دارند و از برنامه‌های ضدویروس قدرتمند استفاده کنند. همچنین کلمه عبور پیش‌فرض روتر را تغییر دهند.

 

ادامه مطلب

پیکربندی EtherChannel بر روی سوئیچ های سیسکو

پیکربندی EtherChannel بر روی سوئیچ های سیسکو

پیکربندی EtherChannel بر روی سوئیچ های سیسکو تکنیکی است که به شما امکان را می دهد تا پورت اترنت چندگانه را در یک پورت منطقی ترکیب کنید  . بنابراین، به شما کمک می کند پهنای باند پورت های مختلف را ترکیب کنید . علاوه بر این ، در صورت failure شدن 1 Port، افزونگی نیز فراهم می شود . برای مثال، یک سناریو را در نظر بگیرید که در آن شما Fa0 / 1 interfaceو Fa0 / 2 را که هر یک تا 100 مگابیت در ثانیه از پهنای باند پشتیبانی می کنند ، در یک پورت منطقی (EtherChannel 1) به نام LogicalPort1 در نظر بگیرید .

پهنای باند از پورت 400 LogicalPort1 مگابیت در ثانیه خواهد بود . این همان چیزی است که Aggregation لینک نامیده شده است . علاوه بر این ، اگر یکی از interface شما مانند Fa0 / 1 از گروه کانال کاهش یابد ، interface دیگر مانند Fa0 / 2 هنوز هم قادر به ارائه اتصال خواهد بود .

این چیزی است که به نام redundancy نامیده می شود . تکنولوژی EtherChannel همچنین به عنوان( NIC Teaming )در مایکروسافت) (Link Aggregation در سیسکو) یا Ethernet Bridge (در لینوکس) شناخته می شود . در این پست ، ما توضیح خواهیم داد که چگونه EtherChannel را پیکربندی کنید .

در پیکربندی EtherChannel باید به نکات زیر توجه کنیم

  1. در پیکربندی ترتیب قرار گرفتن پورت های فیزیکی نباید حتما به ترتیب باشد یا حتی پورت ها بر روی یه Module باشد .
  2. همه پورت های شرکت کننده در گروه باید دارای یک سرعت و duplex باشند .
  3. همه پورتهای شرکت کننده باید به صورت فعال یا enable باشند .
  4. در EtherChannel پروتکلهای PAgP و LACP با یکدیگر سازگار نمی باشند .

برای اجرای تکنیک EtherChannel می توانید از هر یک از روش های زیر استفاده کنید:

PAgP

PAgP مخفف پروتکل Port Aggregation Protocol است . یک پروتکل انحصاری شرکت سیسکو می باشد و در صورتی می توانیم از این پروتکل استفاده کنیم که تجهیزات دو طرف برای اتصال Cisco باشد و وظیفه این پروتکل مدیریت و برقراری کانال EtherChannel می باشد .

LACP

LACP مخفف پروتکل Link Aggregation Control Protocol است . این یک پروتکل استاندارد است . این پروتکل مربوط به شرکت خاصی نیست ولی توسط شرکت سیسکو و سایر شرکتها پشتیبانی می شود و در صورتی که تجهیزات ما مربوط به شرکت های مختلفی هست می توانیم از این پروتکل برای برقراری ارتباط استفاده کنیم .

Static

هیچ پروتکل خاصی نیازی ندارد و مذاکره بین پورت اترنت به صورت دستی انجام می شود .

انواع مد های EtherChannel

on

این مد باعث فعال شدن EtherChannel بر روی اینترفیس بدون ارسال هیچ پیام LACP و PAgP می شود .

auto

در این مد هیچ پیام PAgP از طرف اینترفیس ارسال نمی شود ولی آماده پاسخگویی به پیام های PAgP از سوی سوئیچ مقابل می باشد و قادر به آغاز PAgP Negotiation نیست .

desirable

در این مد اینترفیس ها پیام های PAgP را ایجاد و به سمت سوئیچ مقابل ارسال می کند و قادر به آغاز PAgP Negotiation می باشد .

passive

در این مد هیچ پیام LACP از طرف اینترفیس ارسال نمی شود ولی آماده پاسخگویی به پیام های PAgP از سوی سوئیچ مقابل می باشد و قادر به آغاز LACP Negotiation نیست .

active

در این مد اینترفیس ها پیام های LACP را ایجاد و به سمت سوئیچ مقابل ارسال میکند و قادر به آغاز LACP Negotiation می باشد.

در این پست، ما درباره چگونگی پیکربندی EtherChannel بین دو سوئیچ سیسکو بحث خواهیم کرد .

برای  این منظور ، باید حداقل دو پورت اترنت را استفاده کنید . برای نشان دادن نحوه پیکربندی ، ما از interface Fa0 / 4 , Fa0 / 3 , Fa0 / 2 , Fa0 / 1 از هر دو سوئیچ استفاده خواهیم کرد . شکل زیر نشانگر توپولوژی است که ما برای پیکربندی EtherChannel استفاده می کنیم .

EntherChannel

برای پیکربندی EtherChannel بین سوئیچ های سیسکو، شما باید مراحل زیر را انجام دهید .

1- دستور زیر را برای تعریف interface ها که می خواهید در حالت EtherChannel تعریف کنید، اجرا کنید . پیکربندی اینترفیس مجازی EtherChannel بر روی سوئیچ 1.

Switch 1#Config t
Switch 1 (config)#interface EtherChannel 1
Switch 1 (config-if)#exit

2 -قرار دادن اینترفیس های فیزیکی سوئیچ در داخل اینترفیس مجازی EtherChannel شماره 1 که در مرحله قبلی ایجاد کردیم .

در این مرحله من قصد دارم اینترفیس های 1 تا 4 را در گروه EtherChannel 1 که در مرحله قبل ایجاد کردم قرار بدهم :

Switch 1#config t
Switch 1 (config)#interface range fastethernet 0/1 – 4
Switch 1 (config-if)# EtherChannel 1 mode desirable

3: پیکربندی اینترفیس مجازی EtherChannel بر روی سوئیچ 2

Switch 2#Config t
Switch 2 (config)#interface EtherChannel 1
Switch 2 (config-if)#exit

4: قرار دادن اینترفیس های فیزیکی سوئیچ در داخل اینترفیس مجازی EtherChannel شماره 1 که در مرحله قبلی ایجاد کردیم .
در این مرحله من قصد دارم اینترفیس های 1 تا 4 را در گروه EtherChannel 1 که در مرحله قبل ایجاد کردم قرار بدهم :

Switch 2#config t
Switch 2 (config)#interface range fastethernet 0/1 – 4
Switch 2 (config-if)# EtherChannel 1 mode auto

بعد از اتمام کانفیگ سوئیچ ها و اطمینان از درست بودن پیکربندی که انجام دادیم حال می توانیم ارتباط بین شبکه های متصل به Switch 1و Switch 2 را تست کنیم .

ادامه مطلب