مفهوم PBX و کاربرد آن

مرکز تلفن PBX به فارسی پی بی ایکس سرواژه عبارت Private Branch Exchange یا سیستم مرکز تلفنی خصوصی است که وظیفه مدیریت و برنامه‌ریزی تماس‌های ورودی به شرکت یا سازمان را بر عهده دارد. این سیستم تجاری، ارتباطات سازمانی و تماس‌ها را هدایت کرده و انتقال تماس گیرنده به بخش‌های مختلف درون سازمانی را ممکن می‌سازد.

ارتباطات در شرکت‌های گوناگون گسترده‌تر شده‌اند و انتقال تماس‌ها با پیچیدگی بیشتری جریان دارد. PBX وظیفه‌ اپراتورهای سابق را به عهده دارد. PBX به جای استفاده از پروتکل‌های مخابراتی، با به کار گیری IP و اینترنت، ارتباطات را آسان‌تر کرده و IP-PBX به وجود آمد.

با رشد فناوری و به روز شدن خدمات، مراکز مدیریت تماس و مرکز تلفن گویا نیز تغییراتی کرد. در سیستم IP-PBX تمام امکانات و اطلاعات بر مبنای IP یا پروتکل اینترنتی شکل گرفته است. در نتیجه می‌تواند خدمات بیشتری را به ارمغان بیاورد. در سیستم های تلفنی ویپ VOIP کیفیت مکالمات از آنالوگ به صورت دیجیتال درآمده و با کیفیت بالاتری انجام می‌شود.

با سیستم PBX در تلفن سانترال به جای این‌که برای هر کاربر خط تلفن جداگانه تهیه شود؛ به کاربران این امکان را می‌دهد از یک خط تلفن شهری به صورت مشترک استفاده کرده و تماس‌های داخلی رایگان برقرار کنند. PBX مانند PSTN یا همان خطوط تلفن شهری در مقیاس کوچک عمل می‌کند. PBX می‌تواند راه‌حلی سخت‌افزاری مانند تلفن سانترال باشد یا حتی از روش‌های نرم‌افزاری در بستر ویپ استفاده کند.

مرکز تلفن مجازی PBX

IP-PBX یا مرکز تلفن هوشمند در بستر IP به صورت دیجیتال وظیفه مدیریت و ارسال تماس‌های تلفنی را بر عهده دارد. پس از برقراری تماس در سازمان، مسیر پاسخ به تماس گیرنده را به طور مستقیم به تلفن وصل نمی‌کند. ابتدا تلفن گویا پخش می‌شود. با پخش صدای از پیش ضبط شده از تماس گیرنده می‌خواهد تا عدد مربوط به واحدهای مختلف را شماره‌گیری کند.

مشتری عدد مربوطه را شماره گیری کرده و مرکز تلفن، تماس را وارد صف می‌کند. امکان این وجود دارد که به مخاطب اعلام شود چه تعداد کاربر در صف تماس وجود دارند. همچنین زمان پاسخگویی را به صورت تقریی اعلام خواهد کرد. در انتها‌، تلفن واحد مربوطه زنگ خواهد خورد و تماس برقرار می‌شود.

Hosted PBX چیست؟

Hosted PBX طبق رایانش ابری فعالیت می‌کند. در این روش، تمام سیستم تلفن سازمان توسط ارائه کننده‌ سرویس میزبانی می‌شود. تمام سیستم‌های سخت‌افزاری، نرم‌افزاری و تعمیر و نگهداری بر عهده‌ ارائه دهنده‌ سرویس است. بر خلاف مدل قبلی که نیازمند سرمایه‌گذاری جهت خرید تجهیزات و آموزش مداوم است؛ این سرویس بدون نیاز به خرید هرگونه سخت‌افزار یا نرم‌افزاری هزینه‌ها را کاهش خواهد داد.

مرکز تلفن مجازی با ظرفیت مورد نیاز از شرکت‌های ارائه کننده‌ سرویس به صورت ماهیانه و سالیانه قابل خریداری است. Hosted PBX محدودیت‌های PBX سنتی را ندارد. به سرعت راه‌اندازی می‌شود و در اختیار مشترک قرار می‌گیرد. سیستم‌های میزبانی PBX راهی مقرون به صرفه برای به روزرسانی ارتباط در داخل و خارج سازمان به شمار می‌رود.

مزایای ارتباط هوشمند با استفاده از مرکز تلفن IP-PBX عبارت است از:

• 1. انتقال خط تلفن بر روی شبکه دیتا و حذف هزینه سیم کشی تلفن
• 2. حذف هزینه تماس بین شهری و بین المللی با ایجاد ارتباط به شکل داخلی
• 3. برقراری تماس تلفنی فقط از طریق یک شماره تماس خاص
• 4. امکان استفاده به صورت بی‌سیم

راهکار استفاده از مرکز تلفن IP بهترین راه برای کاهش هزینه‌های تلفن در سازمان‌هایی با چند شعبه است. استفاده از مرکز تلفن IP-PBX بهترین راه برای شرکت‌ها و سازمان‌هایی است که قصد دارند رضایت مشتری را جلب کنند.

تغییر firmware تلفن های سیسکو

تغییر firmware تلفن های سیسکو سری Cisco 7900 به sip
تلفن های سیسکو به واسطه فیلتر های قوی صوتی کیفیت صدای فوق العاده ای را در اختیار کاربران قرار می دهند .

سری تلفن های spa سیسکو که برای کسب و کارهای کوچک طراحی و تولید شده اند از پروتکل محبوب sip پشتیبانی می کنند ولی تلفن های سری تجاری مانند سری cisco 7900 series عمدتا دارای پروتکلSCCP هستند. چند سالی هست که سیسکو firmware هایی برای تلفن های این سری با پروتکل sip روی سایت خود قرار داده است. چون تلفن های سیسکو سری تجاری با کال منیجر سیسکو کانفیگ می شوند و به صورت web config نیستند برای تغییر فریمور آن ها باید از طریق tftp فرمیور جدید روی گوشی فلش شده بار گزاری گردد .

همچنین تنظیمات داخلی در فایل cnf قرار داده شده و همراه فریمور روی گوشی بارگزاری گردد.

تغییر فریمور با پروتکل sip و بار گزاری از طریق tftp

در این بخش تلاش داریم روش تغییر فریمور برای تلفن سیسکو Cisco 7960 را برای پروتکل sip و آموزش تنظیمات و بار گزاری از طریق tftp را آموزش دهیم.

ابتدا sip frimwere تلفن cisco ۷۹۶۰ را دانلود نمایید.
حال نام فایل کانفیگ با پسوند cnf را تغییر داده و “????????????” را با مک آدرس گوشی مورد نظر جایگزین نمایید SEP????????????.cnf, SIP????????????.cnf
نکته مک گوشی مورد نظر را میتوانید از منو network setting گوشی، پشت گوشی و یا اگر DHCP Server دارید مک گوشی را در قسمت Leases پیدا و کپی کنید. مانند شکل زیر:

اکنون باید تنظیمات داخلی را روی فایل cnf انجام دهیم. هر جا آدرسip وجود دارد آن را با آدرس سرور sip خود جایگزین نمایید و شماره داخلی و پسورد را در بخش های مربوطه مانند متن زیر وارد نمایید.

image_version: P0S3-8-12-00

line1_name: 232

line1_authname: “232”

line1_shortname: “232” ; displayed on the phones softkey

line1_password: “gf%$#@HJ”

line1_displayname: “Erjaki”; the caller id

proxy1_port: 5060

proxy1_address: ۱۹۲.۱۶۸.۱.۲۵۲

# Phone Label (Text desired to be displayed in upper right corner)

phone_label: “ITTechnical” ; add a space at the end, looks neater

phone_password: “cisco” ; Limited to 31 characters (Default – cisco)

user_info: none

telnet_level: 2

#logo_url: “http://192.168.1.252/admin/images/IT.png”

نکته

توجه کنید که فایلی با پسوند sbn در پوشه فریمور وجود دارد که باید نام این فایل را در مقابل image_version کپی کنید.

نکته

مطابق اطلاعات فوق باید یک extention در PBX با پروتکل sip در سرور الستیکس ایجاد گردد و nat آن مانند شکل زیر no باشد.

تنظیمات tftp در بخشglobal

tftpserver & tftpclient & syslogserver & dhcpserver تیک دار باشد .

درsetting در بخشtftp درbase directory مسیر فولدر فریمور را انتخاب کنید و درbind tftp آدرسip لن کامپیوتر خود را قرار دهید.

درSetting در بخش dhcp تنظیمات زیر را انجام دهید.

ای پی که میخواهیم به ipphone تعلق بگیرد = ip pool starting

Size pool = 5

آی پی لن کامپیوتر = Default router

Mack=255.255.255.0

آی پی لن کامپیوتر & Additional option =25

bind dhcp = آی پی لن کامپیوتر

pind address = بدون تیک

persistant = بدون تیک

در syslog هر دو گزینه تیک دار باشد.

حال پورت سوییچ تلفن ip را به پورت lan وصل نموده( ip لن ترجیحا ip سرور باشد) و لن های دیگر را غیر فعال نمایید.
اکنون زمان آن رسیده تا فریمور را با tftp به گوشی منتقل کنیم .اول باید گوشی را ریست کنیم بنابراین برق گوشی را قطع کرده و روی تلفن کلید “#” را نگه دارید حال برق گوشی را وصل کنید، وقتی led گوشی شروع به خاموش و روشن شدن نمود کد زیر را به ترتیب از چپ به راست برای فلش شدن گوشی وارد نمایید.

۱۲۳۴۵۶۷۸۹*۰#

پیغام keep network configs -۱=yes, 2=no که شما باید دکمه ۲ را فشار دهید.

خوب اگر این مراحل را به درستی انجام داده باشید گوشی بوت شده و فریمور در حال انتقال به گوشی می باشد، اما دو نکته را مورد توجه قرار دهید.

نکته اول:

اگر DHCP Server ندارید بعد از پایان کار انتقال فریمور sip قبل از قطع ارتباط گوشی با tftp از روی گوشی مود dhcp تلفن را غیر فعال کنید.

نکته دوم:

در داخلی های الستیکس که برای این تلفن ها در نظر گرفته اید گزینه nat را غیر فعال کنید.

حال که فریمور به sip تغییر کرد من بعد دیگر برای کانفیگ داخلی دیگری روی این گوشی دیگر نیازی به انجام این مراحل نیستید و لذا برای تغییر داخلی به منو settings رفته و Unlock config را زده و پسورد cisco را وارد میکنید تا قفل تنظیمات باز شود، بعد از باز کردن قفل در منو به مسیر زیر بروید:

settings> Network Configuration Menu> sip Configuration> Line 1

در اینجا باید داخلی را همراه با پسورد وارد کنید و در قسمت پروکسی سرور باید ip سرور را وارد کنید و در آخر تمام تنظیمات را save کنید به این منوال داخلی جدید ست شد.

تعویض پورت پیش فرض تلنت در روتر سیسکو

تعویض پورت پیش فرض تلنت در روتر سیسکو :یکی از مسائلی که ممکن است باعث به خطر افتادن امنیت روتر های مرزی که دارای IP Valid روی پورت های خود میباشند عملیات Burst Force برای پیدا کردن دسترسی Telnet میباشد.

در درجه اول توصیه میشود که به جای تلنت از SSH استفاده کنید ولی اگر به هر دلیلی میخواهید از روش تلنت استفاده کنید بهتر است این چند توصیه را جهت Secure کردن Line های VTY اعمال نمائید.

در درجه اول چند کامند:

login on-failure log
login on-success log
login delay 3
aaa authentication attempts login 1
aaa authentication fail-message c یک پیغام تهدید آمیز c
aaa authentication login default local-case

• دو کامند اول یک trap برای ورود یا عدم ورود موفق به syslog ارسال میکند.
• کامند سوم بعد از ورود 3 ثانیه تاخیر ایجاد میکند.
• کامند چهارم تنها 1 بار اجازه authenticate به جای 3 بار Default میدهد.
• کامند پنجم جهت ایجاد رعب و وحشت در شخصی است که به هر دلیلی میخواهد وارد روتر شما شود! شما میتوانید بنویسید که IP شما ثبت خواهد شد و مورد پیگیرد قانونی قرار خواهد گرفت.
• و کامند آخر باعث میشودکه روتربه حروف بزرگ وکوچک در Username حساس شود،پس ازحروف بزرگ هم استفاده کنید.

تعویض پورت پیش فرض تلنت در روتر سیسکو

تعویض پورت پیشفرض تلنت یعنی 23 به مثلا 3001 یا هر چیز دیگر است.

R1-VG#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1-VG(config)#ip acce e telnet
R1-VG(config-ext-nacl)#permit tcp any any eq 3001
R1-VG(config-ext-nacl)#deny ip any any
R1-VG(config-ext-nacl)#exit
R1-VG(config)#line vty ?
<0-988> First Line number
R1-VG(config)#line vty 0 988
R1-VG(config-line)#rotary 1
R1-VG(config-line)#access-class telnet in
R1-VG(config-line)#^Z

توضیح اینکه ابتدامایک access-list به نام telnet ایجاد میکنیم ودرآن تمامی ارتباطات به جز پورت 3001 را deny میکنیم.

سپس وارد تنظیمات line vty که همان telnet و ssh خودمان است میشویم که بسته به مدل روتر و IOS تعداد آن متفاوت است.

سپس rotary group 1 را اعمال میکنیم که همان پورت 3001 است یا هرچیز دیگر.

سپس access-list telnet را که در آن تمامی ارتباطات به جز پورت 3001 (یا هرچیز دیگر) deny شده را اعمال میکنیم و save و تمام.

حالا تست میکنیم:

R2#1.1.1.1
Trying 1.1.1.1 …
% Connection refused by remote host

R2#1.1.1.1 3001
Trying 1.1.1.1, 3001 … Open
R1
User Access Verification
Username: GEEKBOY.IR

مشاهده می‌کنید که ابتدا با پورت پیش‌فرض 23 کانکشن refused شد اما با پورت 3001 ارتباط برقرار شد. اگر یک acl همراه با logging بر روی پورت ورودی روتر خود قرار دهید، بسته به تعداد IP های موجود تعداد زیادی تلاش جهت ارتباط بر روی پورت 23 خواهید دید.

۳  مزیت کاربردی استک کردن سویچ های اترنت برای مدیران شبکه

۱- مدیریت مرکزی (مدیریت از طریق یک نقطه واحد):

تکنولوژی FlexStack & FlexStack-Plus : تمامی سوئیچ های یک استک به عنوان یک سوئیچ واحد، قابل مدیریت هستند.این فناوری ، از تکرار کارهای مدیر شبکه جلوگیری می کند و از میزان کار هم می کاهد زیرا دستگاههای کمتری برای مدیریت وجود دارد. چندین سوئیچ فیزیکی داخل یک استک، به عنوان یک سوئیچ منطقی نشان داده می شوند و تنها یک IP آدرس برای مدیریت سوئیچ logical نیاز است. تمامی موارد مدیریتی برای (اینترفیس و Vlan) که بر روی سوئیچ های فیزیکی انجام میشوند، می توانند از طریق سوئیچ logical پیکربندی و مدیریت شوند. سوئیچ logical می تواند به تنهایی در شبکه نمایش داده شود.

۲- قابلیت HA ( دسترسی بالا) و Redundancy ( ارتباطات پایدار) :

اتصالات پرسرعت Flexstack، Redundancy را از هر عضو استک به عضو دیگر منتقل میکند. باید بدانید در معماری stacking، data path redundancy  (مسیر داده اضافی) قرار داده شده است.

برای درک بهتر تکنولوژی FlexStack & FlexStack-Plus به شکل بالا توجه کنید . همانطور که میبینید بین هر ۲ عضو داخل استک، ۲ مسیر فیزیکی از طریق کابل استک قرار داده میگیرد که اتصال سوئیچ های درون یک استک با کابل استک، یک مسیر redundant را فراهم می کند. این تکنولوژی قابلیت stacking، در دسترس بودن سوئیچ های اترنت را به وسیله قابلیت redundancy برای هر دو سوئیچ فیزیکی و پورت های uplink ایجاد می کند. در حقیقت یک ارتباط همیشگی پایدار فراهم می کند. چون تمام اجزای استک با لینک مستقل به سوییچ لایه بالا متصل می شوند و با از کار افتادن یکی از سوئیچ ها یا یکی از اینترفیس های uplink، مشکلی در کاآرایی ششبکه به وجود نمی آورد یا کل شبکه down نمی شود. از آنجاییکه هر سوییچ logical چندین پورت uplink دارد، سوییچ logical هنوز هم متصل به شبکه است چون حداقل یک پورت uplink فعال دارد.

۳- قابلیت مقیاس پذیری برای هماهنگ شدن با نیازهای شبکه:

نصب یک سویچ جدید به استک کار ساده ای است. با توجه به اینکه نیاز به access پورتهای اضافی بیشتر می شود، اضافه کردن یک سویچ جدید به استکی که در حال حاضروجود دارد، خیلی آسانتر و سریعتر از اضافه کردن یک سویچ standalone به شبکه است.

سوئیچ Master

در سوئیچ logical، یکی از سوییچ های فیزیکی به عنوان master عمل می کند.سوئیچ master وظیفه مدیریت تمامی سوئیچ های فیزیکی از جمله خودش را بر عهده دارد. اگر که سوئیچ master  ، از کار بیفتد ، یکی دیگر از اعضای استک به صورت اتوماتیک master می شود. براساس انتخاب ، تنظیمات استک در صورت از کار افتادن  یک عضو یا ریبوت شدن، کل استک حفظ می شود .

Flexstack، قابلیت ۱:N Redundancy را برای سوئیچ master به وجود می آورد و این امکان وجود دارد که هر لحظه یکی دیگر از اعضای استک نقش master را داشته باشد.

انعطاف پذیری Flexstack، باعث به وجود آمدن قابلیت modular stacking میشود. به معنا که سوئیچ های Cisco Catalyst 2960 هر زمان می توانند به وسیله ماژول Flexstack به استک اضافه شوند. در صورتی که نیاز به پورت های access وجود داشته باشد،سوئیچ های ۲۹۶۰ می توانند با یکدیگر استک شوند یا حتی استک جدیدی را درست کنند. این انعطاف پذیری برای مدیرشبکه باعث صرفه جویی در هزینه میشود و می تواند در صورت نیاز، سوئیچ های additional را به استک اضافه کند. زمانیکه چندین سوئیچ با تکنولوژی Flexstack با یکدیگر استک می شوند، اضافه کردن اعضا به استک و جایگزین کردن واحدهای فیزیکی آسانتر است. از آنجاییکه استک، پیکربندی را حفظ می کند، نیازی به backup گرفتن از پیکربندی سوئیچ ها قبل از حذف شدن نیست. همینطور، وقتیکه یک عضو جدید به استک وارد می شود، پیکربندی استک برای عضو جدید قرار می گیرد.در این زمان مدیر شبکه نیازی به بازیابی اطلاعات سوئیچ ندارد، چون استک مسئولیت آن را به عهده دارد.

 Stacking and clustering

Stacking، کلاسترینگ نیست. کلاسترینگ تکنولوژی است که برروی سوئیچ های اترنت سیسکو قرار دارد، و به مدیران شبکه اجازه می دهد تا تنها از طریق یک IP آدرس public به منظور مدیریت چندین سوئیچ فیزیکی استفاده شود.کلاسترینگ به مدیران شبکه کمک میکند علاوه برتمرکز بر روی مدیریت سوئیچ ها، مقدار IP Public های کمتری نیاز داشته باشد. باید بدانید Stacking خیلی بیشتر از مدیریت از طریق تنها یک نقطه و حفاظت IP آدرس کارایی دارد، چون Redundancy، Availability و مدیریت آسان را پیشنهاد می دهد. همچنین سری کاتالیست ۲۹۶۰ علاوه بر stacking، clustering را هم پشتیبانی می کند.

ماژول FlexStack

دو نوع ماژول برای FlexStack وجود دارد.

1. نوع (ماژول PID:2960-S-Stack ) برای سوییچ های سری ۲۹۶۰S
2. نوع (ماژول PID:2960-X-Stack) برای سری ۲۹۶۰x و ۲۹۶۰XR

هر مدل Flex-Stackیی دو پورت FlexStack را پشتیبانی می کند. ماژول FlexStack در عقب سوئیچ قرار می گیرد. دو کابل FlexStack که در ماژول FlexStack قرار دارد، data path redundancy را برای ترافیک درون استک فراهم می کنند. شکل پایین، نحوه قرارگیری ماژول در قسمت عقب سوییچ ۲۹۶۰ را نشان می دهد.تمامی انواع ماژولهای hot swappable , flexstack هستند .

مدلهای ۲۹۶۰S و ۲۹۶۰X سوئیچ های ۲۹۶۰ سیسکو هستند که توان پشتیبانی از Mixed Stack را دارا میباشند. همه مدلهای ۲۹۶۰، پروتکل FlexStack را اجرا میکنند  و البته اجازه می دهند که درون یک استک، با یکدیگر استک شوندالبته به جز سوئیچ های ۲۹۶۰XR که با هیچ کدام از سوییچ های ۲۹۶۰S و ۲۹۶۰X استک نمی شوند. برروی سوییچ ۲۹۶۰XR ، ویژگی LAN Lite تنظیم شده که با ویژگی LAN-Base که برروی سوئیچ های ۲۹۶۰X و ۲۹۶۰S تنظیم شده ،سازگاری ندارد.

در جدول زیر ترکیبات استک MIX را، که اجازه استک شدن دارند را میبینید که متوجه میشوید مدل های ۲۹۶۰ با ویژگی LAN Base می توانند با یکدیگر استک شوند.

Allowed-Mixed-Stack-Combinations

Flexstack Cabling

همانطور که میدانید ، در تکنولوژی FlexStack – FlexStack-Plus برای اتصال سوئیچ های ۲۹۶۰ با یکدیگر برای استک شدن، از کابلهای ویژه ای استفاده می شود. در شکل بعدی، تصویری از قرارگرفتن کامل کابلهای FlexStack در ماژول FlexStack رامیبینید و زبانه خارجی کابل های استک علامت گذاری شده اند . علاوه بر دور بودن زبانه ها از یکدیگر، قسمت فلزی کانکتور طوری طراحی شده  اند تا از نصب اشتباه کابل جلوگیری شود.

FlexStack-Module-with-Cables

FlexStack-Module-with-Cables

Fully Redundant Mode

زمانیکه هریک از اعضای درون استک، تکنولوژی FlexStack – FlexStack-Plus دو لینک FlexStack فعال داشته باشد، استک در حالت Fully Redundant عمل می کند. ۲ ارتباط FlexStack برای هریک از اعضا به یکدیگر را،  Redundancy فراهم می کند. اگر در هر سوئیچ  یک لینک FlexStack از دو لینک قطع شود، استک باقی مانده، برای فراهم کردن ارتباط استفاده می شود که یک ارتباط پایدار و همیشگی است.

Deployment Topology

شکل زیر عضو استک را با پهنای باند کامل و اتصالات Redundant در حالت Fully Redundant نشان میدهد که همانطور که میدانید اگر یکی از لینک های FlexStack قطع شود، استک همچنان به کار خود ادامه خواهد داد .

Fully-Redundant-Three-Member-Stack

در شکل زیر ، یک استک با کابل کشی FlexStack که به طور کامل انجام نشده را مشاهده میکنید.

Nonredundant-Three-Member-Stack

با توجه به شکل میتوان گفت، ترافیک دیتا از طریق عضو میانی عبور داده می شود. این استک در حالت nonredundant عمل می کند و تنها نیمی از پهنای باند ممکن را برای اعضاء فراهم می کند و هیچ اتصالی از طریق  Redundant ندارد.اعضای بالایی و پایینی هم از تمامی پهنای باند در حالت Fully Redundant استک استفاده نمی کنند و فقط از نیمی از پهنای باند استفاده میشود. پهنای باند Fully Redundant استک برای هر عضو ۲۹۶۰XR  و ۴۰Gbps  ۲۹۶۰X است و پهنای باند Fully Redundant استک برای هر عضو  ۲۰Gbps  ۲۹۶۰S  است.

به جدول زیر توجه کنید ، ۳ نوع کابل FlexStack-Plus با طول مختلف نشان داده شده است باید یدانید طول های مختلف امکان گسترش بیشتر را میدهند.

FlexStack-Cable-Lengths

چگونگی استک شدن ۴ سوئیچ با استفاده از کابلهای ۰٫۵ متری ، ۱٫۰ متری و ۳٫۰ متری  را در شکل های زیر میبینید. اتصالات اعضای استک با استفاده از کابلهای استک ، کارایی دارند.

Four-Member-Stack-with-0.5-Meter-Cables

Four-Member-Stack-with-3.0-Meter-Cable

همانطور که میبینید کابل ۳ متری برای کامل کردن حلقه ارتباطی Redundant برای اتصال عضو بالایی به عضو پایینی استفاده شده است. اتصالات دیگر به صورت مستقیم به اعضای مجاور خود با استفاده از کابلهای ۰٫۵ متری انجام شده است.

تکنولوژی TrustSec Cisco

تکنولوژی TrustSec متعلق به شرکت Cisco علاوه بر تسهیل فرآیند آماده‌سازی و مدیریت دسترسی ایمن به شبکه، مدیران امنیتی را در تسریع عملیات امنیتی و اجرای هماهنگ Policy ها در سراسر شبکه یاری می‌کند. برخلاف مکانیسم‌های کنترل دسترسی که بر اساس توپولوژی شبکه عمل می‌کنند؛ روند کنترل TrustSec Cisco با استفاده از گروه بندی Policy ها تعریف می‌شود. در نتیجه قابلیت بخش بندی منابع و دسترسی ایمن حتی در صورت جابجایی منابع در شبکه‌های مجازی و سیار، به طور هماهنگ و پیوسته حفظ خواهد شد.

عملکردهای TrustSec Cisco به منظور محافظت از دارایی ها و برنامه های کاربردی در سازمان‌ها و شبکه‌های دیتاسنتر در فرآیند سوئیچینگ، مسیریابی، LAN، بی‌سیم و محصولات فایروال گنجانده می‌شود.

قابلیت بخش بندی مبتنی بر Policy

در روش‌های قدیمی، بخش بندی یا Segmentation و محافظت از دارایی‌ها با استفاده از VLAN و ACL صورت می‌گیرد. اما در تکنولوژی TrustSec Cisco از Policy های امنیتی استفاده می‌شود که به زبان ساده ماتریسی نوشته شده و از IP و VLAN مجزا هستند. در این تکنولوژی، کاربران و اطلاعات آن‌ها دارای نقش‌های یکسان بوده و در یک گروه امنیتی قرار می‌گیرند.

Policy های TrustSec Cisco به صورت مرکزی ایجاد و به طور خودکار در شبکه‌های بی‌سیم، باسیم و VPN توزیع می‌شوند. در نتیجه کاربران و اطلاعات سازمانی، حتی در هنگام جابجایی در شبکه‌های مجازی و سیار نیز قادر به دریافت دسترسی ها و محافظت پیوسته و هماهنگ خواهند بود. بدین ترتیب زمان صرف شده برای امور مهندسی شبکه و اعتبارسنجی کاهش می‌یابد.

مزایای استفاده از TrustSec Cisco

TrustSec Cisco می‌تواند امور مهندسی تکراری و زمانبر امنیتی را در شبکه از قبیل تعریف قوانین فایروال، VLAN و ACL ساده‌سازی کند. در نتیجه علاوه بر کمک به بهینه‌سازی زمان در IT ، موجب بهبود وضعیت امنیتی سازمان می‌شود.

ساده سازی روند مدیریت دسترسی

ایجاد سیاست‌ها و مدیریت آن در یک ماتریس ساده با استفاده از یک زبان ساده می‌تواند روند مدیریت برای بخش بندی و کنترل دسترسی در سراسر سازمان را تسهیل کند. به علاوه این فناوری می‌تواند دسترسی به اطلاعات مهم و حیاتی را از طریق تعیین نقش‌های اصلی آن‌ها به راحتی کنترل کرده و گروه‌های کاربری مانند پیمانکاران، حسابداران و مدیران فروش یا نقش های سروری مانند پایگاه‌های داده HR یا سیستم‌های CRM را تعریف نماید.

تسریع عملیات های امنیتی

TrustSec Cisco علاوه بر ساده کردن فرآیندهای مدیریت و مهندسی در سازمان‌های IT، به صرفه جویی در زمان کمک می‌کند و آن‌ها را در همگام شدن با تغییرات کسب و کار یاری خواهد کرد. سرورهای جدید قادر هستند ظرف مدت چند دقیقه Onboard شوند. ضمن اینکه جابجایی، تغییرات و افزودن مواردی که نیازمند پشتیبانی IT است؛ به سرعت انجام شده و قابلیت خودکارسازی قوانین فایروال و مدیریت ACL نیز وجود دارد.

Policy های هماهنگ در هر مکان

TrustSec Cisco این قابلیت را داراد که Policy ها را در هر جایی از شبکه به صورت هماهنگ اجرا کرده و محافظت از اطلاعات و امکان دسترسی بدون مانع کاربران به منابع را تضمین کند. مدیرانی که مسئولیت تعریف Policy را بر عهده دارند، می‌توانند آن را در توپولوژی های باسیم، وایرلس و VPN استفاده کنند. در حالی که گسترش روش‌های قدیمی بخش بندی در شبکه‌های سازمانی به سختی صورت می‌گیرد؛ طراحی TrustSec Cisco به نحوی است که برای عملیات مختلف در هر اندازه‌ای مناسب بوده و ممکن است کاربران سیار، دفاتر شعب، محیط های Campus و دانشگاهی (چند ساختمان در یک محدوده که دارای ارتباطات شبکه‌ای هستند) و دیتاسنترها را دربرگیرد.

بخش بندی شبکه‌های CAN

در شبکه‌های Campus یا به عبارتی شبکه‌هایی که شامل ساختمان‌هایی مجاور یکدیگر هستند؛ فرآیند بخش بندی گروه‌های مختلف کاربران در VLAN موضوعی متداول محسوب می‌شود. هر VLAN نیاز به یک فضای آدرس دارد و باید در یک Interface مسیریابی شده Upstream طراحی شود. این امر ممکن است مستلزم استفاده از ACL استاتیک یا عملکردهای ارسال و مسیریابی مجازی VRF برای حفظ جداسازی باشد. تعاملات کنترل شده بین گروه‌های کاربری باید در پیکربندی سوئیچ یا روتر تعریف شوند که امکان دارد این روند را پیچیده‌تر کند. به علاوه اینکه کنترل ارتباط در یک VLAN یا بخش بندی آن، کاری دشوار است.

راهکار TrustSec Cisco برای شبکه های CAN

TrustSec Cisco از تگ‌های مربوط به گروه‌های امنیتی یا STG برای تعریف دسترسی‌ها در شبکه استفاده می‌کند. تعامل سیستم‌های مختلف از طریق Policy های مبتنی بر گروه‌های امنیتی تعیین شده و نیاز به انجام تنظیمات پیچیده بر روی VLAN را از بین برده و طراحی نحوه دسترسی به شبکه را به صورت ساده حفظ می‌کند. ضمن این‌که از ازدیاد تعداد VLAN ها نیز جلوگیری خواهد شد. به علاوه می‌توان ارتباطات بین گروه‌های کاربری مختلف را رد کرده و ارتباطات کنترل شده در پورت‌ها و پروتکل های خاص را مجاز کرد. ACL های مربوط به گروه‌های امنیتی در این فناوری می‌تواند ترافیک‌های ناخواسته بین کاربران با نقش‌های مشابه را مسدود کرده و در نتیجه از فعالیت‌های مخرب و حتی Exploit کردن بدافزار به صورت Remote جلوگیری کند.

خودکارسازی Rule های فایروال

کنترل دسترسی بر اساس IP اغلب به ایجاد جداول بزرگی از قواعد فایروال منتهی می‌شود که درک و مدیریت آن را دشوار می‌کند. در دیتاسنترهای مجازی‌سازی شده به احتمال زیاد تعدادی فرآیند از سرورهای منطقی برای محافظت وجود دارد که ممکن است به طور مکرر تغییر در آن‌ها اتفاق بیافتد.

راهکار TrustSec Cisco جهت مدیریت Rule های فایروال

با TrustSec Cisco می‌توان قوانین فایروال را به جای IP سرورها، با استفاده از Role هر سرور نوشت. بنابراین Policy ها، ساده شده و مدیریت آن‌ها نیز تسهیل می‌شود. در دیتاسنترهای مجازی، عملکردهای TrustSec Ciscoدر پلتفرم های سوئیچینگ مجازی V 1000 Nexus Cisco این امکان را فراهم می‌کند که تخصیص نقش سرورها در یک پروفایل آماده‌سازی مشخص شده و به صورت خودکار با فایروال‌های سیسکو به اشتراک گذاشته شود. با افزایش بار کاری در یک پروفایل مشخص یا با جابجایی بار کاری، اطلاعات عضویت در گروه‌ها بر روی فایروال‌ها به طور آنی به روز رسانی می‌شود. در صورت اضافه شدن یک سرور با نقش مشخص نیازی به اضافه کردن آن به جدول دسترسی فایروال نخواهد بود.

قواعد مبتنی بر TrustSec Cisco در Manager Security Cisco

Policy های دسترسی BYOD به طور معمول با استفاده از فهرست‌های کنترل دسترسی IP محور به کار می‌روند تا قادر به کنترل نحوه دسترسی کاربران مجاز به منابع باشند. مدیریت ACL بر اساس IP می‌تواند به دلیل نیاز به نگهداری مداوم به یک مسئولیت اجرایی تبدیل شود.

راهکار TrustSec Cisco در امنیت BYOD

پروفایل بندی گسترده ISE، اعتبارسنجی موقعیت و قابلیت‌های یکپارچه سازی در مدیریت تجهیزات سیار را می‌توان به عنوان بخشی از فرآیند دسته بندی BYOD در طراحی Cisco TrustSec استفاده کرد. پس از آن، سوئیچ‌ها و فایروال‌های TrustSec Cisco می‌توانند دسته بندی BYOD را در نظر گرفته و موارد مبتنی بر Policy را در آن اجرا کنند. این رویکرد نه تنها به ارائه کنترل دسترسی با عملکرد بالا می‌پردازد بلکه Policy های دسترسی را به شیوه‌های بسیار ساده همراه با تلاش‌های مدیریتی کمتر تعریف خواهد کرد.

معرفی سوئیچ های شرکت سیسکو

سوئیچ ها

معرفی سوئیچ های شرکت سیسکو : سوئیچ ها دستگاه هایی هستند که قادر به پردازش فریم های لایه دوم بوده و بین دستگاه های متصل شده به سوئیچ یک رابطه یک به یک ایجاد میکند.این ارتباط میتواند به صورت Full-Duplex یا Half-Duplex صورت بپذیرد.

از لحاظ قدرت پردازش و انتقال فریم، سوئیچ ها در کلاس های متفاوتی قرار میگیرند که بسته به نوع نیاز باید سوئیچی انتخاب شود تا علاوه بر مقرون به صرفه بودن کارایی مورد نیاز در شبکه را فراهم آورد.

سوئیچ های Access

این سوئیچ ها رد پایین ترین رده از کلاس های سوئیچ بوده و برای متصل کردن کلاینت ها به شبکه مورد استفاده قرار میگیرد. در هنگام پیاده سازی ساختار سه لایه سیسکو این کلاس از سوئیچ ها در لایه Access قرار میگیرند.

سری سوئیچ های Access در این کلاس:

• سری Cisco Catalyst 2960-X
• سری Cisco Catalyst 3650
• سری Cisco Catalyst 3850

سوئیچ های Distribution

این دسته از سوئیچ ها هت متصل کردن سوئیچ های Access به یکدیگر مورد استفاده قرار میگیرند و از لحاظ توان پردازشی نسبت به سوئیچ های Access پرسرعت تر و گران تر هستند.

در ساختار سه لایه سیسکو از این کلاس در لایه Distribution استفاده میشود.

سری سوئیچ های Distribution در این کلاس:

• سری Cisco Catalyst 4500-X
• سری Cisco Catalyst 3850 Fiber

سوئیچ های Core

این کلاس از سوئیچ ها فوق العاده پر سرعت و گران هستند و در قلب شبکه استفاده میشود. از این سوئیچ ها برای متصل کردن سوئیچ های لایه Distribution استفاده میشود.

سری سوئیچ های Core در این کلاس:

• سری Cisco Nexus 7000
• سری Cisco Catalyst 6800
• سری Cisco Catalyst 6500

سوئیچ های Data Center

این دسته از سوئیچ ها به صورت اختصاصی برای محیط هایی طراحی شده اند که به صورت مستقیم و یا غیر مستقیم به سرورهایی قدرتمند متصل هستند. این سرورها سرویس های مجازی سازی، پردازش ابری و … را ارائه میدهند که به نسبت کلاینت های معمولی از معماری متفاوتی استفاده میکنند.

سری سوئیچ های Data Center در این کلاس:

• سری Cisco Nexus 9000
• سری Cisco Nexus 7000
• سری Cisco Nexus 6000
• سری Cisco Nexus 5000

هشدار حمله Ghost DNS به روترهای خانگی

هشدار حمله Ghost DNS به روترهای خانگی: پژوهشگران امنیتی درباره نفوذ هکرها به صدهزار مودم و روتر خانگی در برزیل با حمله سایبری Ghost DNS هشدار دادند.

حمله سایبری جدیدی از طریق بدافزار Ghost DNS، صدهزار روتر خانگی را در برزیل آلوده‌ کرده‌است. هکرها در این حمله می ‌توانند اطلاعات حساس کاربر را با دستکاری مسیر ترافیک و هدایت قربانی به سمت صفحات جعلی سرقت کنند.

به گفته گروهی از پژوهشگران هم‌اکنون کنترل بیش از صدهزار مودم و روتر خانگی از برندهایی چون D-Link ،MikroTik ،TP-Link ،Huawei و SpeedTouch به دست هکرها افتاده است و آنها آدرس سرورهای DNS را برای مقاصد خود تغییر داده‌اند.

پژوهشگران از ۲۰ سپتامبر ۲۰۱۸ خبر از یک حمله گسترده داده‌اند. روند اینگونه است که در هنگام بازدید از صفحات آلوده به کدهای مخرب، یک اسکریپت به منظور بررسی باز بودن درگاه‌های روتر اجرا می‌‌شود و تلاش می‌کند از طریق حملات بروت فورس (Brute Force) به صفحه تنظیمات آن وارد شوند. در صورتی که حمله موفقیت‌آمیز باشد، آدرس‌های DNS و همچنین کلمه عبور روتر عوض می‌‌شود تا ضمن هدایت ترافیک کاربر به سمت شبکه‌های تحت کنترل هکرها، قادر به ورود به تنظیمات و بازگردانی آنها نباشد. از آنجایی که بسیاری از کاربران هرگز کلمه عبور پیش‌فرض روتر خود را تغییر نمی‌دهند، بسیاری از روترها در برابر این نوع حملات آسیب‌پذیر هستند.

بروت فورس یکی از انواع حملات هکری برای به‌دست آوردن رمز های عبور است. در این روش هکر با استفاده از نرم‌افزارهای مخصوص سعی می‌کند تمام عبارت‌های ممکن را بررسی کند. آشنایی با حملات brute force برای همه مدیران سایت‌ها و کاربران اینترنتی که دارای پنل مدیریت اینترنتی یا نام کاربری و رمز عبور در یک سایت خاص هستند لازم و ضروری است، چراکه با شناخت این نوع حمله و راهکار‌های مقابله با آن گامی بلند در راه ارتقای امنیت سایبری برداشته‌شده و میزان کمتری از سایت‌ها توسط این روش خطرناک مورد نفوذ قرار می‌گیرند.

حمله Ghost DNS به روترهای خانگی

این حمله را شرکت امنیت سایبری Netlab360 شناسایی کرده‌است. برندهایی که در این حمله تحت تاثیر قرار گرفته‌اند در ذیل آمده‌اند:

• 3COM OCR-812
• AP-ROUTER
• D-LINK
• D-LINK DSL-2640T
• D-LINK DSL-2740R
• D-LINK DSL-500
• D-LINK DSL-500G/DSL-502G
• Huawei SmartAX MT880a
• Intelbras WRN240-1
• Kaiomy Router
• MikroTiK Routers
• OIWTECH OIW-2415CPE
• Ralink Routers
• SpeedStream
• SpeedTouch
• Tenda
• TP-LINK TD-W8901G/TD-W8961ND/TD-8816
• TP-LINK TD-W8960N
• TP-LINK TL-WR740N
• TRIZ TZ5500E/VIKING
• VIKING/DSLINK 200 U/E

بررسی‌های شرکت امنیت سایبری Netlab ۳۶۰، حاکی از آن است که هکرها کاربران را به سمت صفحات جعلی فیشینگ هدایت می‌کنند و اطلاعات آنها را سرقت می‌کنند.

کاربران برای جلوگیری از حملات این‌چنینی باید Firmware های روتر خود را به‌روز نگه دارند و از برنامه‌های ضدویروس قدرتمند استفاده کنند. همچنین کلمه عبور پیش‌فرض روتر را تغییر دهند.