آموزش روتینگ سوئیچ لایه سه سیسکو

آموزش روتینگ سوئیچ لایه سه سیسکو

/0 دیدگاه /در /توسط

آموزش روتینگ سوئیچ لایه سه سیسکو

روتینگ امکان جالب و هیجان انگیزی برای یک سوئیج است به عبارت دیگر روتینگ فاصله بین سوئیچ و روتر را کمتر میکند در واقع محصولات جدید سیسکو را نه میتوان روتر نامید نه سوئیچ چون مثلا سری 6500 امکانات لایه یک تا هفت را در حد عالی به شما ارائه میکند که این باعث میشود تصویر ذهنی کاربران نسبت به این محصولات عوض شود.

روتینگ در سوئیچ های سیسکو

روتینگ قابلیتی است که ما منحصرا آن را در اختیار روتر هایی در محصولات سیسکو می دانستیم اما با ارائه سوئیچ های سیسکو سری 3550 و امکانات فوق العاده لایه سه آن نظر ها به سوئیچ های سیسکو عوض شد. از دید یک کارشناس شبکه سوئیچ لایه سه سیسکو ابزاری همه فن حریف است که پاسخگوی گستره وسیعی از نیازهای شبکه است محدودیت تعداد پورت روتر را نداشته و همچنین از فناوری ASIC برای پردازش استفاده میکند که این باعث load کمتر و سرعت بیشتر است البته نباید این نکته را فراموش کرد که سوئیچ ها اساسا سوئیچ هستند. برای این کار بهینه سازی شده اند برای مثال RAM سوئیچ ها قابل ارتقاء نبوده و از ماژول های WIC و NM و همچنین ارتباطات WAN و تکنولوژی های مربوط به آن پشتیبانی نمیکنند در واقع سوئیچ ها با VLAN ها کاردارند و این امکانات روتینگی لایه سه این مزیت را به سوئیچ های سیسکو میبخشد که بتوانند ترافیک این VLAN ها را هم Route کنند.

روتینگ قابلیت بسیار مهمی بود که سیسکو از سری 3550 به سوئیچ های میان رده خود اضافه نمود که پس از آن 3560 با بهبود های فراوان و سپس سوئیچ سیسکو 3750 پادشاه سوئیچ های سیسکو با قابلیت های فراوان و قدرت بالا حلال مشکلات شبکه ها و مطلوب متخصصان شبکه گردید بدین ترتیب که در اکثر پیاده سازی ها حضور سوئیچ سیسکو 3750 به عنوان جزئی بی بدیل از شبکه مشاهده میشود.

البته محدودیت های و تفاوت های زیادی بین یک روتر و یک سوئیچ لایه سه وجود دارد که نمی توان از آن چشم پوشی کرد و همیشه نیاز به یک روتر صرف در شبکه های حتی کوچک هم حس میشود برای مثال امکانات NAT کردن در سوئیچ های لایه سه وجود ندارد ولی با تمام این احوال امکانات dynamic routing و پشتیبانی از پروتکل های روتینگی مهمی مثل EIGRP – OSPF – BGP و همچنین استاتیک روتینگ Policy Based Routing امکانات ACL حرفه ای و QOS و خیل کثیری از امکانات روتر ها در سوئیچ های لایه سه وجود داشته که با توجه به تعدد پورت ها استفاده از آنها در بسیاری از ماموریت ها راه گشا خواهد بود.

برای فعال کردن امکانات روتینگ در سوئیچ لایه سه مثل سوئیچ سیسکو 3750 و تبدیل آن به یک روتر کار چندانی لازم نیست که انجام دهید کافیست ابتدا با دستور IP Routing امکانات روتینگ را فعال کرده و پس از آن میتوانید به هر پورت IP اختصاص دهید و یا پورت ها را در لایه دو قرار داده و به vlan ها IP دهید از دیگر قابلیت ها امکان فعال سازی DHCP برای اختصاص IP به کلاینت ها و همچنین فعال سازی dynamic routing protocol است.

نکته جالب اینکه پس از فعال کردن امکانات روتینگ سوئیچ لایه سه سیسکو خللی در کارکرد لایه دو آن ایجاد نمیشود بلکه میتوانید تنظیمات لایه دو خود را نظیر vlan ها و پورت های trunk و همچنین stp – vtp – etherchannel را نیز داشته باشید.

فعال کردن امکانات روتینگ:

R1(config)#ip routing

اختصاص IP به یک پورت خاص

R1(config)#int gi 1/0/20
R1(config-if)#no switchport
R1(config-if)#ip add 217.218.1.1 255.255.255.0

کانفیگ پورت به صورت لایه 2 و اختصاص IP به vlan مربوطه :

R1(config-if)#switchport
R1(config-if)#switchport mode access
R1(config-if)#sw acce vlan 303
R1(config)#int vlan 303
R1(config-if)#ip add 217.218.1.1 255.255.255.0

فعال کردن eigrp:

R1(config)#router eigrp 1
R1(config-router)#network 217.218.1.0 0.0.0.255
R1(config-router)#redistribute connected
R1(config-router)#no auto-summary

نوشتن یک استاتیک روت:

R1(config)#ip route 8.8.8.8 255.255.255.255 172.16.64.1

نوشتن یک ACL و اختصاص آن:

R1(config)#ip acce e 110
R1(config-ext-nacl)#per ip 217.218.1.0 0.0.0.255 any
R1(config-ext-nacl)#per icmp an any
R1(config-ext-nacl)#per tcp an an eq 80
R1(config-ext-nacl)#deny ip any any
R1(config)#int vlan 301
R1(config-if)#ip access-group 110 in

اینها مثال هایی بود از گوشه ای از امکانات لایه سه ایه سوئیچ های لایه سه سیسکو که با فعال کردن قابلیت روتینگ آن دری جدید از امکانات و قابلیت ها به روی شما گشوده خواهد شد.

در کل با تمام کارامدی سوئیچ های لایه سه سیسکو نباید ماموریت ذاتی و اصلی این تجهیزات که همانا سوئیچینگ است را از خاطر برد این سوئیچ ها با بهبود های نرم افزاری صورت گرفته امکانات روتینگ را نیز برای بهبود عملکرد دارا بوده ولی نباید از آنها قابلیت های یک روتر تمام عیار را انتظار داشت همانطور که با اضافه کردن یک ماژول سوئیچ NME-X-23ES-1G به یک روتر ISR نمیتوان قابلیت ها و پرفورمنس کامل یک سوئیچ را از آن انتظار داشت چون یک روتر است !! ولی در مواردی مثلا یک pop site و یا در مقاطعی که نیاز به تعدد پورت و همچنین روتینگ باشد به جای استفاده از یک سوئیچ در کنار روتر و inter vlan routing میتوان از امکانات ویژه یک سوئیچ لایه سه بهره مند گردید.

تکنولوژی TrustSec Cisco

تکنولوژی TrustSec Cisco

/0 دیدگاه /در /توسط

تکنولوژی TrustSec Cisco

تکنولوژی TrustSec متعلق به شرکت Cisco علاوه بر تسهیل فرآیند آماده‌سازی و مدیریت دسترسی ایمن به شبکه، مدیران امنیتی را در تسریع عملیات امنیتی و اجرای هماهنگ Policy ها در سراسر شبکه یاری می‌کند. برخلاف مکانیسم‌های کنترل دسترسی که بر اساس توپولوژی شبکه عمل می‌کنند؛ روند کنترل TrustSec Cisco با استفاده از گروه بندی Policy ها تعریف می‌شود. در نتیجه قابلیت بخش بندی منابع و دسترسی ایمن حتی در صورت جابجایی منابع در شبکه‌های مجازی و سیار، به طور هماهنگ و پیوسته حفظ خواهد شد.

تکنولوژی TrustSec Cisco

عملکردهای TrustSec Cisco به منظور محافظت از دارایی ها و برنامه های کاربردی در سازمان‌ها و شبکه‌های دیتاسنتر در فرآیند سوئیچینگ، مسیریابی، LAN، بی‌سیم و محصولات فایروال گنجانده می‌شود.

قابلیت بخش بندی مبتنی بر Policy

در روش‌های قدیمی، بخش بندی یا Segmentation و محافظت از دارایی‌ها با استفاده از VLAN و ACL صورت می‌گیرد. اما در تکنولوژی TrustSec Cisco از Policy های امنیتی استفاده می‌شود که به زبان ساده ماتریسی نوشته شده و از IP و VLAN مجزا هستند. در این تکنولوژی، کاربران و اطلاعات آن‌ها دارای نقش‌های یکسان بوده و در یک گروه امنیتی قرار می‌گیرند.

Policy های TrustSec Cisco به صورت مرکزی ایجاد و به طور خودکار در شبکه‌های بی‌سیم، باسیم و VPN توزیع می‌شوند. در نتیجه کاربران و اطلاعات سازمانی، حتی در هنگام جابجایی در شبکه‌های مجازی و سیار نیز قادر به دریافت دسترسی ها و محافظت پیوسته و هماهنگ خواهند بود. بدین ترتیب زمان صرف شده برای امور مهندسی شبکه و اعتبارسنجی کاهش می‌یابد.

نگاهی جزیی به TrustSec

مزایای استفاده از TrustSec Cisco

TrustSec Cisco می‌تواند امور مهندسی تکراری و زمانبر امنیتی را در شبکه از قبیل تعریف قوانین فایروال، VLAN و ACL ساده‌سازی کند. در نتیجه علاوه بر کمک به بهینه‌سازی زمان در IT ، موجب بهبود وضعیت امنیتی سازمان می‌شود.

ساده سازی روند مدیریت دسترسی

ایجاد سیاست‌ها و مدیریت آن در یک ماتریس ساده با استفاده از یک زبان ساده می‌تواند روند مدیریت برای بخش بندی و کنترل دسترسی در سراسر سازمان را تسهیل کند. به علاوه این فناوری می‌تواند دسترسی به اطلاعات مهم و حیاتی را از طریق تعیین نقش‌های اصلی آن‌ها به راحتی کنترل کرده و گروه‌های کاربری مانند پیمانکاران، حسابداران و مدیران فروش یا نقش های سروری مانند پایگاه‌های داده HR یا سیستم‌های CRM را تعریف نماید.

تسریع عملیات های امنیتی

TrustSec Cisco علاوه بر ساده کردن فرآیندهای مدیریت و مهندسی در سازمان‌های IT، به صرفه جویی در زمان کمک می‌کند و آن‌ها را در همگام شدن با تغییرات کسب و کار یاری خواهد کرد. سرورهای جدید قادر هستند ظرف مدت چند دقیقه Onboard شوند. ضمن اینکه جابجایی، تغییرات و افزودن مواردی که نیازمند پشتیبانی IT است؛ به سرعت انجام شده و قابلیت خودکارسازی قوانین فایروال و مدیریت ACL نیز وجود دارد.

Policy های هماهنگ در هر مکان

TrustSec Cisco این قابلیت را داراد که Policy ها را در هر جایی از شبکه به صورت هماهنگ اجرا کرده و محافظت از اطلاعات و امکان دسترسی بدون مانع کاربران به منابع را تضمین کند. مدیرانی که مسئولیت تعریف Policy را بر عهده دارند، می‌توانند آن را در توپولوژی های باسیم، وایرلس و VPN استفاده کنند. در حالی که گسترش روش‌های قدیمی بخش بندی در شبکه‌های سازمانی به سختی صورت می‌گیرد؛ طراحی TrustSec Cisco به نحوی است که برای عملیات مختلف در هر اندازه‌ای مناسب بوده و ممکن است کاربران سیار، دفاتر شعب، محیط های Campus و دانشگاهی (چند ساختمان در یک محدوده که دارای ارتباطات شبکه‌ای هستند) و دیتاسنترها را دربرگیرد.

فرآیند دسترسی به TrustSEC در دیتاسنتر

[su_box title=”حتما بخوانید:” style=”soft” box_color=”#1753ff” radius=”0″]پیاده سازی Protected Port در سوئیچ سیسکو
بررسی فایروال Cisco ASA (قسمت اول)
بررسی فایروال Cisco ASA (قسمت دوم)[/su_box]

بخش بندی شبکه‌های CAN

در شبکه‌های Campus یا به عبارتی شبکه‌هایی که شامل ساختمان‌هایی مجاور یکدیگر هستند؛ فرآیند بخش بندی گروه‌های مختلف کاربران در VLAN موضوعی متداول محسوب می‌شود. هر VLAN نیاز به یک فضای آدرس دارد و باید در یک Interface مسیریابی شده Upstream طراحی شود. این امر ممکن است مستلزم استفاده از ACL استاتیک یا عملکردهای ارسال و مسیریابی مجازی VRF برای حفظ جداسازی باشد. تعاملات کنترل شده بین گروه‌های کاربری باید در پیکربندی سوئیچ یا روتر تعریف شوند که امکان دارد این روند را پیچیده‌تر کند. به علاوه اینکه کنترل ارتباط در یک VLAN یا بخش بندی آن، کاری دشوار است.

راهکار TrustSec Cisco برای شبکه های CAN

TrustSec Cisco از تگ‌های مربوط به گروه‌های امنیتی یا STG برای تعریف دسترسی‌ها در شبکه استفاده می‌کند. تعامل سیستم‌های مختلف از طریق Policy های مبتنی بر گروه‌های امنیتی تعیین شده و نیاز به انجام تنظیمات پیچیده بر روی VLAN را از بین برده و طراحی نحوه دسترسی به شبکه را به صورت ساده حفظ می‌کند. ضمن این‌که از ازدیاد تعداد VLAN ها نیز جلوگیری خواهد شد. به علاوه می‌توان ارتباطات بین گروه‌های کاربری مختلف را رد کرده و ارتباطات کنترل شده در پورت‌ها و پروتکل های خاص را مجاز کرد. ACL های مربوط به گروه‌های امنیتی در این فناوری می‌تواند ترافیک‌های ناخواسته بین کاربران با نقش‌های مشابه را مسدود کرده و در نتیجه از فعالیت‌های مخرب و حتی Exploit کردن بدافزار به صورت Remote جلوگیری کند.

خودکارسازی Rule های فایروال

کنترل دسترسی بر اساس IP اغلب به ایجاد جداول بزرگی از قواعد فایروال منتهی می‌شود که درک و مدیریت آن را دشوار می‌کند. در دیتاسنترهای مجازی‌سازی شده به احتمال زیاد تعدادی فرآیند از سرورهای منطقی برای محافظت وجود دارد که ممکن است به طور مکرر تغییر در آن‌ها اتفاق بیافتد.

راهکار TrustSec Cisco جهت مدیریت Rule های فایروال

با TrustSec Cisco می‌توان قوانین فایروال را به جای IP سرورها، با استفاده از Role هر سرور نوشت. بنابراین Policy ها، ساده شده و مدیریت آن‌ها نیز تسهیل می‌شود. در دیتاسنترهای مجازی، عملکردهای TrustSec Ciscoدر پلتفرم های سوئیچینگ مجازی V 1000 Nexus Cisco این امکان را فراهم می‌کند که تخصیص نقش سرورها در یک پروفایل آماده‌سازی مشخص شده و به صورت خودکار با فایروال‌های سیسکو به اشتراک گذاشته شود. با افزایش بار کاری در یک پروفایل مشخص یا با جابجایی بار کاری، اطلاعات عضویت در گروه‌ها بر روی فایروال‌ها به طور آنی به روز رسانی می‌شود. در صورت اضافه شدن یک سرور با نقش مشخص نیازی به اضافه کردن آن به جدول دسترسی فایروال نخواهد بود.

ابزارهای TrustSec در سیسکو

قواعد مبتنی بر TrustSec Cisco در Manager Security Cisco

Policy های دسترسی BYOD به طور معمول با استفاده از فهرست‌های کنترل دسترسی IP محور به کار می‌روند تا قادر به کنترل نحوه دسترسی کاربران مجاز به منابع باشند. مدیریت ACL بر اساس IP می‌تواند به دلیل نیاز به نگهداری مداوم به یک مسئولیت اجرایی تبدیل شود.

راهکار TrustSec Cisco در امنیت BYOD

پروفایل بندی گسترده ISE، اعتبارسنجی موقعیت و قابلیت‌های یکپارچه سازی در مدیریت تجهیزات سیار را می‌توان به عنوان بخشی از فرآیند دسته بندی BYOD در طراحی Cisco TrustSec استفاده کرد. پس از آن، سوئیچ‌ها و فایروال‌های TrustSec Cisco می‌توانند دسته بندی BYOD را در نظر گرفته و موارد مبتنی بر Policy را در آن اجرا کنند. این رویکرد نه تنها به ارائه کنترل دسترسی با عملکرد بالا می‌پردازد بلکه Policy های دسترسی را به شیوه‌های بسیار ساده همراه با تلاش‌های مدیریتی کمتر تعریف خواهد کرد.

NAT چیست و انواع NAT قسمت اول

NAT چیست و انواع NAT

/1 دیدگاه/در /توسط

NAT چیست و انواع NAT

NAT چیست و انواع NAT که هنگام استفاده از آدرس‌های IPV4 یکی از موارد مهم و حساس در استفاده از آنها، فضای آدرس‌دهی کم و محدود است. دستگاه‌هایی که به اینترنت متصل می‌شوند و نیاز به آدرس IP دارند، روز به روز درحال افزایش هستند. در نتیجه باید در روند استفاده از آنها محتاط‌تر عمل کرد. با توجه به این مسئله از روشی به نام NAT استفاده می‌شود که می‌توان با استفاده از آن سازمان شبکه‌های داخلی را با آدرس‌های خصوصی، آدرس‌دهی کرد. در نتیجه در صورت نیاز به دسترسی به اینترنت، از یک آدرس عمومی استفاده می‌کنیم.

نحوه عملکرد NAT

نحوه عملکرد NAT

 

برای مثال در شکل بالا از محدوده آدرس‌های خصوصی برای شبکه داخلی استفاده شده است. اما روتری که شبکه سازمان را به اینترنت متصل می‌کند دارای یک آدرس عمومی است که اگر کلاینت‌ها درخواستی به سمت اینترنت ارسال کنند، روتر آدرس آنها را به آدرس عمومی خودش ترجمه کرده و سپس به سمت اینترنت ارسال می‌کند. به عبارت دیگر در اینجا با استفاده از یک آدرس عمومی می‌توان تعداد بسیار زیادی آدرس خصوصی را به اینترنت متصل کرد. این کار باعث صرفه‌جویی در تعداد آدرس‌های IP خواهد شد.

موارد استفاده از NAT

  • زمانی که کلاینت‌های سازمانی برای برقراری ارتباط با اینترنت نیاز به آدرس عمومی نداشته باشند.
  • زمانی که قصد داشته باشید بدون ایجاد تغییر در ساختار آدرس‌دهی داخلی، ISP خود را تغییر دهید.
  • زمانی که نیاز به برقراری ارتباط بین دو شبکه اینترانت که دارای آدرس‌های یکسان هستند دارید.

NAT مانند هر تکنولوژی دیگری دارای مزایا و معایبی است که در ادامه به بررسی این دو جنبه می‌پردازیم.

مزایای NAT

  • استفاده از آدرس‌های عمومی را کم می‌کند.
  • راه‌حلی برای برقراری ارتباط بین محدوده آدرس‌های یکسان است.
  • راه‌حلی آسان جهت برقراری با اینترنت محسوب می‌شود.
  • نیازی به تغییر آدرس‌های درونی در هنگام تغییر ISP ندارد.

معایب NAT

  • عملیات ترجمه آدرس باعث افزایش تأخیر در روند سوئیچینگ می‌شود.
  • باعث می‌شود تا نودهای شبکه با یکدیگر ارتباط مستقیم نداشته باشند.
  • بعضی از برنامه‌ها از NAT پشتیبانی نمی‌کنند.

انواع NAT

به‌صورت کلی NAT به سه شکل قابل پیاده‌سازی است.

NAT از نوع ایستا

در این حالت عملیات تبدیل آدرس عمومی به خصوصی یک به یک است. به این معنی که شما باید به ازای هر آدرس خصوصی یک آدرس عمومی را در دسترس داشته باشید. این نوع از NAT توسط مدیر شبکه انجام می‌شود و باید به ازای تک تک آدرس‌های خصوصی که قصد برقراری ارتباط با اینترنت را دارند، یک آدرس عمومی در اختیار داشته باشد. شیوه کارکرد این NAT در مراحل زیر توضیح داده شده است.

۱. ابتدا ادمین شبکه باید آدرس‌های IP عمومی در دسترس را به آدرس‌های خصوصی اختصاص دهد.

۲. یک بازه 16 تایی از آدرس IP در دسترس باشد تا مدیر با توجه به نیازهای خودش این آدرس‌ها را به کلاینت‌ها اختصاص دهد.

برای مثال فرض کنید که مدیر آدرس‌ها را به صورت زیر تعریف کرده است:

آدرس عمومی آدرس خصوصی
۷۸.۴۷.۵۰.۴۹ ۱۹۲.۱۶۸.۱.۱۱
۷۸.۴۷.۵۰.۵۰ ۱۹۲.۱۶۸.۱.۱۰

۳. در صورتی که آدرس ۱۹۲.۱۶۸.۱.۱۱ قصد برقراری ارتباط با اینترنت را داشته باشد، ابتدا آدرس مبدأ آن توسط روتر به ۷۸.۴۷.۵۰.۴۹ تغییر کرده و سپس پکت‌ها به سمت اینترنت روانه می‌شوند.

NAT از نوع پویا

در این حالت یک استخر از آدرس‌های عمومی وجود دارد که اگر یکی از کلاینت‌ها قصد ارسال داده به سمت اینترنت را داشته باشد، روتر یک آدرس را به صورت پویا به کلاینت اختصاص خواهد داد. به بیان دیگر شیوه عملکرد این نوع از NAT همانند ایستا بوده با این تفاوت که ادمین شبکه نیازی به تخصیص آدرس عمومی به خصوصی ندارد. توجه داشته باشید که مانند حالت قبل باید به ازای تمامی آدرس‌های خصوصی، آدرس عمومی وجود داشته باشد.

در NAT از نوع پویا تنها کاری که مدیر شبکه باید انجام دهد این است که لیستی از آدرس‌های عمومی را برای روتر مشخص کند تا این آدرس‌ها به صورت خودکار به کلاینت‌هایی که قصد برقراری ارتباط با اینترنت را دارند اختصاص داده شود. هر درخواستی که برای روتر ارسال شود اولین آدرس عمومی آزاد که توسط کامپیوتر دیگری اشغال نشده است، انتخاب شده و به کلاینت اختصاص داده می‌شود.

مراحل NAT از نوع پویا به صورت زیر است:

۱. در ابتدای کار مدیر باید لیستی از آدرس‌های عمومی را در روتر تعریف کند.

۲. هنگامی که یک کلاینت به‌منظور برقراری ارتباط با اینترنت، درخواست خود را به سمت روتر ارسال می‌کند، اولین آدرس آزاد به کلاینت اختصاص داده خواهد شد. تا زمانی که کلاینت ارتباط خودش را قطع نکند، IP برای آن رزرو خواهد ماند.

NAT از نوع Overloading

NAT از نوع Overloading به بیان ساده مانند مدل پویا است با این تفاوت که می‌توان چندین آدرس خصوصی را با استفاده از یک آدرس عمومی به اینترنت متصل کرد. این شیوه از NAT بسیار محبوب و پر استفاده است. با استفاده از این نمونه NAT می‌توان تا هزاران کامپیوتر را به اینترنت وصل کرد و همین مسئله باعث شده است تا استفاده از آدرس‌های عمومی تا حد زیادی مدیرت شده و بهینه باشند.

این نوع NAT متفاوت‌تر از سایر روش‌ها عمل می‌کند؛ در ادامه این روش را با جزئیات بیشتر مورد بررسی قرار می‌دهیم:

۱. فرض کنید که روتر شما دارای آدرس عمومی ۷۸.۴۷.۵۰.۴۹ است.

۲. جدولی تشکیل خواهد شد که در آن آدرس‌های Inside Local و Inside Global قرار دارند.

آدرس های Inside Global آدرس های Inside Local
۷۸.۴۷.۵۰.۴۹:۱۰۲۴ ۱۹۲.۱۶۸.۱.۱۱:۱۰۲۴
۷۸.۴۷.۵۰.۴۹:۱۰۲۵ ۱۹۲.۱۶۸.۱.۱۰:۱۰۲۵

نکته‌ای که در این جدول قابل مشاهده است، آدرس پورت‌ها هستند که با کمک آنها می‌توان جریان‌های داده چندین کلاینت را تنها با یک آدرس عمومی تبادل کرد. در سطح تئوری می‌توان تا 65 هزار کلاینت را تنها با یک آدرس عمومی به اینترنت متصل کرد.

حال که با انواع NAT آشنا شدید بهتر است تا با چند واژه مهم در NAT آشنا شوید که آشنایی با آنها کمک شایانی به درک عمیق‌تر مسئله خواهد کرد.

نام های مورد استفاده در NAT

در هنگام استفاده از NAT چهار واژه اصلی مورد استفاده قرار می‌گیرند که آنها را در قالب چند شکل مورد بررسی قرار خواهیم داد.

Inside Local

Inside Local دسته‌ای از آدرس‌های محلی هستند که در شبکه خصوصی مورد استفاده قرار می‌گیرند و در هدر بسته ثبت شده است.

Outside Local

آدرس Outside Local نشان دهنده مقصد بسته است که در هدر بسته ثبت شده است.‌

Inside Global

Inside Global آدرسی است که بعد از انجام عملیات ترجمه در قسمت مبدأ بسته قرار داده می‌شود. توجه داشته باشید که تمام درخواست‌های ارسال شده توسط کلاینت دارای پورت‌هایی منحصر به‌فرد هستند. از این رو روتر با استفاده از آدرس IP خودش و پورتی منحصر به‌فرد که برای کلاینت در نظر می‌گیرد، خواهد توانست عملیات ترجمه را انجام دهد.

Outside Global

در نهایت آدرس مقصد یا Outside Global را داریم که کلاینت، درخواست‌های خود را برای آن ارسال می‌کند.

 

نام های مورد استفاده در NAT

نام های مورد استفاده در NAT

 

منبع: networkvid

 

مطالب مرتبط 

پیاده سازی NAT

آموزش سیسکو Cisco قسمت اول

آموزش سیسکو Cisco قسمت دوم

آموزش سیسکو Cisco قسمت سوم

آموزش سیسکو Cisco قسمت چهارم

آموزش سیسکو Cisco قسمت پنجم

آموزش دستور ARP

آموزش دستور ARP

/2 دیدگاه /در /توسط

انتقال دیتا در شبکه، بر پایه IP است. IP یک شناسه منطقی است، که در لایه اینترنت کار می کند. بسته های IP خود در فریم های لایه فیزیکی قرار می گیرند. و سپس درون شبکه ارسال می شوند. اما Device ها و Workstation های درون شبکه محلی برای ارتباط با همدیگر نیازمند دانستن Mac Address یک دیگر هستند. این در حالیست که ما از کامپیوتر ها و دیوایس هایی مانند مودم،روتر،پرینتر و …. که در شبکه با آن ها کار می کنیم فقط آی پی آن ها را می دانیم در حالی که در عمل به  Mac Address آن ها نیاز است.

ارتباط بین دوکامپیوتر در ظاهر به وسیله IP انجام می گیرد ولی در واقع Mac Address ها هستند که این ارتباط را برقرار می کنند. اما نکته مهم این است که یک سیستم از کجا Mac Address سیستم های دیگری را که می خواهد از طریق شبکه با آنها ارتباط برقرار کند را بیابد؟ این امر با استفاده از پروتکل ARP میسر است.

ARP مسئول تبدیل IP به Mac Address است. این پروسه از طریق Broadcasting در داخل شبکه انجام می شود. بدین صورت که کامپیوتر ارسال کننده در داخل شبکه فریاد میزند که ” این آدرس IP متعلق به کدام سیستم است؟ من Mac Address تو را نیاز دارم ! “.

این Broadcast به داخل شبکه فرستاده می شود و همه ی کامپیوتر ها ، data های Broadcast را دریافت می کنند .سپس کامپیوتری که آدرس IP ارسال شده متعلق به آن باشد در پاسخ ، Mac Address خود را می فرستد. در نهایت این پروسه با در اختیار قرار دادن Mac Address به کامپیوتری که برای ارسال داده های خود نیازمند آن آدرس بود کامل می شود.

برای کاهش تعداد Broadcast ها و در نتیجه کاهش ترافیک شبکه، از یک Client Cache که آدرس ها را برای یک بازه زمانی درون یک جدول نگهداری می کند، استفاده می شود. این جدول (ARP Table یا ARP Cache) هر 120 ثانیه Reresh شده و تغییرات احتمالی را چک می کند.

به این نکته توجه کنید که ARP Table ویندوز را با Mac Address Table سوئیچ اشتباه نکنید. Mac Address Table سوئیچ ، مشخص کننده این است که کدام Mac Address به کدام پورت سوئیچ مربوط است که اگر بسته ای به سوئیچ برسد ، Mac Address مقصد آن را می خواند و بسته را بر روی پورت مربوط به آن می فرستد.

دستور ARP

با زدن این دستور در خط فرمان CMD ، لیستی از گزینه های ARP به شما نمایش داده خواهد شد.

آموزش دستور ARP

دستور ARP

دستور ARP –a

با این دستور می توانید ARP Table مربوط به همه کارت های شبکه را مشاهده کنید. می توانید به جای –a از –g هم استفاده کنید. هر دو دستور ARP –a و دستور ARP –g یک کار را انجام می دهند.

دستور ARP –a

دستور ARP –a

شناسایی کارخانه سازنده کارت شبکه با استفاده از MAC Address

حالا که MAC Address کامپیوتر های درون شبکه تان را دارید، می توانید اطلاعات بیشتری در مورد آن ها بدست بیاورید. مثلا اگر سه بخش اول MAC Address را در اینترنت جست و جو کنید نام شرکت سازنده را خواهید یافت.

شناسایی کارخانه سازنده کارت شبکه با استفاده از MAC Address

شناسایی کارخانه سازنده کارت شبکه با استفاده از MAC Address

دستور ARP -s

با این دستور می توانید یک IP به همراه MAC Address ش را به طور دستی یا Static به ARP Table اضافه کنید.

برای جلوگیری از سرقت اطلاعاتی در حمله ARP Poisoning می توانید از این دستور کمک بگیرید.

ARP –s 10.57.10.32 00-60-8c-0c-6c-6a
دستور ARP -s

دستور ARP -s

دستور ARP –d

دستور ARP -d قابلیت حذف دستی یک IP از ARP Table را به شما می دهد.

برای انجام این کار به روش زیر عمل کنید:

<ARP –d <IP Address

در قسمت <IP Address>بایدIP مد نظر را وارد کنید.

دستور ARP –d

دستور ARP –d

نکته: اگر کامپیوتر شما دو کارت شبکه یا بیشتر دارد به همان تعدادنیز ARP Table دارد.

اگر می خواهید ARP Table یک کارت شبکه خاص را ببینید به روش زیر عمل کنید:

<ARP –a –n <IP of specific NIC

در قسمت <IP of specific NIC> بایدIP آن کارت شبکه را وارد کنید.

 

مطالب مرتبط 

 

آموزش سیسکو Cisco قسمت اول

آموزش سیسکو Cisco قسمت دوم

آموزش سیسکو Cisco قسمت سوم

آموزش سیسکو Cisco قسمت چهارم

آموزش سیسکو Cisco قسمت پنجم

آموزش دستورات Show در روترهای سیسکو

آموزش دستورات Show در روترهای سیسکو

/0 دیدگاه /در /توسط

آموزش دستورات Show در روترهای سیسکو:

 در این مقاله با اجرای دستور زیر جدول روتینگ را بررسی می‌کنیم.

دستور Show IP Route:

Router#show ip route

Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP

D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area

N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2

E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP

i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area

* – candidate default, U – per-user static route, o – ODR

P – periodic downloaded static route

Gateway of last resort is not set

D 192.168.1.0/24 [90/30720] via 192.168.2.1, 00:04:48, FastEthernet0/0

C 192.168.2.0/24 is directly connected, FastEthernet0/0

D 192.168.3.0/24 [90/30720] via 192.168.2.2, 00:04:47, FastEthernet0/0

C 192.168.4.0/24 is directly connected, FastEthernet0/1

با دستور Show IP Route، جدول روتینگ نمایش داده شده است که اگر به جدول توجه کنید، دو شبکه را دریافت کرده که با حرف D شروع می‌ شوند. حرف D به معنای Eigrp است و نشان‌ دهنده‌ ی این است که از روترهای دیگر این شبکه ها را یاد گرفته، شبکه‌ های پشت روترهای R2 و R3 را یاد گرفته است. در روترهای دیگر هم به همین صورت است.

 

دستور show ip eigrp neighbors:

برای نمایش همسایگی (Neighbors)، باید از دستور زیر در مد Privileged استفاده کنید:

 

Router#show ip eigrp neighbors

IP-EIGRP neighbors for process 200

H Address Interface Hold Uptime SRTT RTO Q Seq

(sec) (ms) Cnt Num

۰ ۱۹۲.۱۶۸.۲.۱ Fa0/0 13 00:44:14 40 1000 0 6

۱ ۱۹۲.۱۶۸.۲.۳ Fa0/0 11 00:39:02 40 1000 0 7

این دستور در روتر R2 وارد شده است و نتیجه ی آن را مشاهده می‌ کنید؛ لیست Ip هایی که با آن‌ ها ارتباط همسایگی دارد را نمایش داده است.

 

دستور Show Ip Eigrp Interface:

این دستور برای نمایش اطلاعات interface هایی است که پروتکل EIGRP روی آن فعال‌ شده است. این دستور را در R2 وارد می‌ کنیم:

 

Router#show ip eigrp interface
IP-EIGRP interfaces for process 200
Xmit Queue Mean Pacing Time Multicast Pending
Interface Peers Un/Reliable SRTT Un/Reliable Flow Timer Routes
Fa0/0 2 0/0 1236 0/10 0 0
Fa0/1 0 0/0 1236 0/10 0 0

 

به نتیجه ی کار دقت کنید، اگر به Fa0/0 دقت کنید، نوشته است، PEER 2، یعنی اینکه از طریق اینترفیس Fa0/0 توانسته دو تا Neghibors را یاد بگیرد، Neighbors همان اینتر فیس های روترهای همسایه هستند که روی آن‌ ها Eigrp راه‌ اندازی شده است.

 

دستور Show IP eigrp Topology:

این دستور کل اطلاعات جدول توپولوژی را به شما نمایش می‌ دهد و می‌ گوید که شبکه را از کدام مسیر دریافت کرده و …

 

Router#show ip eigrp topology
IP-EIGRP Topology Table for AS 200
Codes: P – Passive, A – Active, U – Update, Q – Query, R – Reply,r – Reply status
P 192.168.2.0/24, 1 successors, FD is 28160
via Connected, FastEthernet0/0
P 192.168.3.0/24, 1 successors, FD is 28160
via Connected, FastEthernet0/1
P 192.168.4.0/24, 1 successors, FD is 30720
via 192.168.2.3 (30720/28160), FastEthernet0/0
P 192.168.1.0/24, 1 successors, FD is 30720
via 192.168.2.1 (30720/28160), FastEthernet0/0

اگر به گزینه ی اول نگاه کنید، می‌ گوید شبکه ی ۱۹۲.۱۶۸.۲.۰ یک مسیر successor است، یعنی یک مسیر اصلی است و از طریق اینتر فیس FastEthernet 0/0 وارد همین روتر که داخل آن هستیم، شده است. بقیه هم به همین صورت است، پس نتیجه می گیریم که این جدول، کل اینترفیس هایی را به ما نشان می‌ دهد که Eigrp روی آن‌ ها Run شده است.

دستور Show IP eigrp Traffic:

این دستور نشان‌ دهنده ی پکت های دریافتی و ارسالی است، مانند زیر:

 

Router#show ip eigrp traffic
IP-EIGRP Traffic Statistics for process 100
Hellos sent/received: 0/0
Updates sent/received: 0/0
Queries sent/received: 0/0
Replies sent/received: 0/0
Acks sent/received: 0/0
Input queue high water mark 1, 0 drops
SIA-Queries sent/received: 0/0
SIA-Replies sent/received: 0/0

مطالب مرتبط 

 

دستورات تنظیمات روتر و سوئیچ سیسکو

دستورات پیکربندی سوئیچ سیسکو

آموزش سیسکو Cisco قسمت اول

آموزش سیسکو Cisco قسمت دوم

آموزش سیسکو Cisco قسمت سوم

آموزش سیسکو Cisco قسمت چهارم

آموزش سیسکو Cisco قسمت پنجم

تفاوت Circuit Switching و Packet Switching

تفاوت Circuit Switching و Packet Switching

/0 دیدگاه /در /توسط

تفاوت Circuit Switching و Packet Switching

قبل از اینکه به بررسی تفاوت این دو مورد بپردازیم بد نیست که اصلا بدانیم Switching چیست ؟ در واقع Switch کردن در علم کامپیوتر به معنی انتخاب راه یا راهگزینی است ، یعنی زمانیکه شما اطلاعاتی را از یک مبدا می خواهید به یک مقصد ارسال کنید در واقع آنها را از مسیری که وجود دارد Switch می کنید.

حالا نوبت به تفاوت این دو می رسد ، زمانیکه شما می خواهید یک داده را از طریق سرویس های مخابراتی و زیرساخت های ارتباطی در شبکه ها منتقل کنید بصورت کلی دو نوع انتقال وجود دارد ، یا انتقال اطلاعات شما بصورت سویئچینگ مدار یا Circuit Switching انجام می شود یا بصورت سوئیچینگ بسته یا Packet Switching انجام می شود. فراموش نکنید که بحث ما در خصوص ارتباطات راه دور و شبکه های گسترده یا WAN می باشد.

سوئیچینگ مدار یا Circuit Switching چیست ؟

وقتی صحبت از Circuit Switching می شود شما می توانید دقیقا مکانیزمی مشابه خط تلفن قدیمی را در نظر بگیرید . شما هر زمانی که بخواهید از خط استفاده کنید گوشی را بر می دارید و شماره یا کانال مربوط به مقصد را انتخاب می کنید و ارتباط می گیرید و در این ارتباط کانال ارتباطی صرفا مختص شما می باشد و شما می توانید از پنهای باند موجود و سایر منابعی که در بستر این ارتباط وجود دارد بصورت اختصاصی استفاده کنید و هرگاه که کارتان برای انتقال داده تمام شد ارتباط تلفن یا کانال را قطع می کنید .

از مزیت های چنین سیستمی این است که شما امکان استفاده از لینک ارتباطی بصورت مقطعی و زمانبندی مشخص را خواهید داشت و هر موقع به ارتباط نیاز نداشتید آن را قطع می کنید و باعث می شود برعکس خطوط ارتباطی اختصاصی هزینه های شما بالا نباشد.با توجه به اختصاصی بودن ارتباط در زمان برقراری کلیه داده ها و اطلاعاتی که در خطوط رد و بدل می شود با سرعت بالاتر و همچنین با تغییر کمتر به مقصد می رسند و این باعث می شود سرعت ارتباطی شما بعضا بهتر باشد.

اما مشکل بزرگ این شبکه ها محدودیت تعداد کسانی است که می خواهند از لینک ارتباطی استفاده کنند، در واقع در هر زمان ممکن است یک نفر و یک ارتباط از مبدا به مقصد برقرار شود و باقی افراد ممکن است مجبور باشند پشت خط باقی بمانند و منتظر خالی شدن لینک باشند. در Circuit Switching مسیر انتقال داده کاملا از قبل مشخص است و به هیچ عنوان نیازی به مسیریابی برای ارسال داده نمی باشد.

سوئیچینگ بسته یا Packet Switching چیست ؟

وقتی صحبت از Packet Switching می شود دقیقا شما ساختار شبکه های کامپیوتری را تصور کنید که هر داده ای تبدیل به بسته های کوچک شده و درون شبکه ارسال می شود و با توجه به آدرس مبدا و مقصد و شماره و ساختار بسته اطلاعاتی در مسیر ارتباطی که به احتمال زیاد بسته های سایر کامپیوترها نیز وجود دارند ارسال خواهد شد و کامپیوتر مقصد نیز با توجه به آدرس مقصد بسته را دریافت می کند.

در این نوع شبکه ها بسته ها بصورت مجزا و جدا جدا برای مقصد ارسال می شود . با توجه به اینکه در یک مسیر ارتباطی بسته های متفاوت و متعددی از کامپیوترهای مختلف وجود خواهد داشت بنابراین ما به پروتکل هایی نیاز داریم تا بسته های اطلاعاتی را از مبدا تا مقصد هدایت کنند که در واقع همان پروتکل های مسیریابی در این لایه محسوب می شود . دقت کنید که در شبکه های Packet Switching برخلاف ظاهر آنها مکانیزم کاری در لایه دوم از مدل OSI انجام می شود و در واقع ما Frame داریم نه Packet …

هر بسته بصورت جداگانه به مقصد ارسال می شود و از این رو با توجه به اینکه پردازش بر روی بسته ها انجام می شود ممکن است بسته ها از مسیرهای مختلفی به مقصد برسند و از طرفی این شبکه ها کندتر از شبکه های Circuit Switching بعضا عمل می کنند . از نمونه این نوع زیرساخت های ارتباطی می توان به Frame Relay و همچنین ساختار MPLS جدید اشاره کرد.

نتیجه گیری

شبکه های Circuit Switching با ماهیت انتقال صدا و شبکه های Packet Switching با ماهیت انتقال داده طراحی و معرفی شده اند ، امروزه با استفاده از تکنولوژی های Qos یا کیفیت سرویس ، امکان ارائه خدمات انتقال صدا در قالب Packet Switching نیز فراهم شده است. در شبکه های Packet Switching تمامی پهنای باند بصورت بهینه مورد استفاده قرار می گیرد در حالیکه در شبکه های Circuit Switching هر ارتباطی نیاز به پهنای باند اختصاصی داشته و ممکن است باعث عدم امکان استفاده سایرین از خطوط شود. شبکه های Packet Switching برای تعداد بالای کاربر نیز قابل استفاده هستند در صورتیکه در Circuit Switching تعداد کاربران محدود است. امروزه تقریبا اکثر شبکه های زیرساختی از نوع Packet Switching هستند.

 

منبع: آی تی پرو

مراحل بوت شدن روتر سیسکو

مراحل بوت شدن روتر سیسکو

/0 دیدگاه /در /توسط

مراحل بوت شدن روتر سیسکو

همانطور که می دانید تجهیزاتی مانند روتر و سویچ دقیقا مشابه سخت افزارهایی را دارند که شما در PC های خانگی یا لپتاپ ها دارید ، آنها هم یک سیستم کامپیوتری هستند که به جای اینکه در قالب یک لپتاپ یا Case ما از آنها استفاده کنیم در قالب یک دستگاه سخت افزاری به شکل Appliance از آنها استفاده می کنیم.

همه تجهیزات برای خودشان فرآیندی دارند که از زمان روشن شدن دستگاه تا رسیدن به سیستم عامل مربوطه انجام می شود که به این فرآیند در اصطلاح در روترهای سیسکو Cisco Boot Sequence یا ترتیب بوت روترهای سیسکو گفته می شود.

در این فرآیند سخت افزارهای سیستم بررسی می شوند و در صورت نیاز نرم افزارهای وابسته به آنها نیز اجرا می شوند تا تمامی آزمایش ها بر روی دستگاه قبل از رسیدن به سیستم عامل یا همان IOS انجام شده باشد ، این فرآیند شامل مراحل زیر می باشد :

مراحل بوت شدن روتر سیسکو

مراحل بوت شدن روتر سیسکو

1-همانند یک سیستم معمولی کامپیوتری روتر به محض روش شدن فرآیند POST که مخفف Power On Self-Test است را انجام می دهد. POST تمامی سخت افزارهای موجود بر روی دستگاه را تست می کند و از صحت عملکرد آنها اطمینان حاصل می کند.

برای مثال تمامی Interface های یک روتر در این میان تست می شوند. نرم افزار یا بهتر بگوییم میان افزاری که فرآیند POST را در روترها انجام می دهد هم در حافظه ROM ذخیره شده است و هم از همین حافظه اجرا می شود.

2-در مرحله بعدی برنامه ای به نام bootstrap که در ROM ذخیره شده است و برای اجرای نرم افزارها استفاده می شود مقدار یا Value مربوط به Configuration Register را بررسی می کند تا محل Load کردن IOS روتر را پیدا کند.Value پیشفرض Configuration Register عدد Hexadecimal ای به شکل 0x2102 می باشد.

زمانیکه Value به شکل 0x2102 باشد به این معناست که روتر باید سیستم عامل IOS روتر را از Image ای که در حافظه Flash روتر وجود دارد Load کند و همچنین startup Configuration خود را با سرعت 9600 baud rate برای پورت کنسول تعریف کند. اگر Value به شکل 0x2102 باشد ، بعد از اینکه این مرحله تمام شد bootstrap نرم افزار IOS را از حافظه Flash می خواند و Load می کند.

نکته : وظیفه اصلی برنامه Bootstrap شناسایی سخت افزارها و پیدا کردن نرم افزار IOS روتر و سپس Load کردن Image این نرم افزار است. بصورت پیشفرض در تمامی روترهای سیسکو IOS از حافظه Flash ای که روی روترها قرار دارد Load می شود.محل دیگری که می توان IOS های روترهای سیسکو را قرارداد تا از آن Load شوند TFTP سرور است که معمولا بر روی یک دستگاه کامپیوتر قرار می گیرد. اگر برنامه Bootstrap نتواند یک Image معتبر پیدا کند به عنوان ROM Monitor عمل خواهد کرد.

محیط ROM Monitor در واقع یک محیط Command ای است که شما می توانید برای برخی از پیکربندی های روتر خود از قبیل دانلود کردن Image سیستم عامل IOS از TFTP سرور و یا ریکاور کردن رمز های عبور قراموش شده و یا حتی تغییر دادن Configuration Register و برخی دیگر از تنظیمات از آن استفاده کنید.

3- بعد از این مرحله نرم افزار IOS به دنبال یک Configuration-File معتبر که در NVRAM ذخیره شده باشد می گردد. به این فایل startup-config هم گفته می شود. اگر در این میان در NVRAM فایل Startup Configuration وجود داشت روتر از طریق این فایل تنظیمات و دستورات را می خواند اما اگر فایلی پیدا نشد در NVRAM ، سیستم عامل IOS روتر System Configuration Setup را نمایش می دهد.

4- زمانیکه Startup Configuration بصورت کامل Load شد ، IOS به شما خط فرمان User Mode روتر را نمایش می دهد .

منبع: آی تی پرو

پورت Trunk چیست

پورت Trunk چیست

/0 دیدگاه /در /توسط

تعریف Trunk 

به عنوان کسی که در حوزه شبکه فعالیت میکند حتما میدانید که ما مفهومی به نام VLAN داریم که پورت های سویچ ها را از هم تفکیک و ترافیک آنها را مجزا می کنیم و در وهله اول باید به این موضوع توجه کنید که شما می توانید VLAN هایی به یک اسم و با یک ID مشترک در سویچ های مختلف شبکه داشته باشید که ترافیک این سویچ ها در این پورت ها برای VLAN مورد نظر ایزوله است !!

پس این طرز فکر را از ذهنتان بیرون بیندازید که VLAN فقط مختص یک سویچ و پورت های آن است و بس !!

شما می توانید کامپیوتری در VLAN 100 در سویچ MALI داشته باشید که بعد از جدا کردن از سیستم و بردن آن به طبقه دهم و اتصال به سویچ MODIRIYAT همچنان در همان VLAN 100 قرار داشته باشد !! اما چطور ممکن است که ما همچنان در یک VLAN باشیم و با کامپیوترهایی در سویچ های دیگر در همان VLAN صحبت کنیم ؟ شما می توانید با استفاده از یک پورت به عنوان شاه پورت ترافیک سویچ های مختلف به هم را مدیریت و آنها را به هم متصل کنید به این شاه پورت در اصطلاح فنی پورت Trunk گفته می شود.

پورت Trunk چیست

یک پورت ترانک یا Trunk Port در واقع پورتی است که وظیفه آن انتقال ترافیک VLAN هایی است که سویچ به آنها دسترسی دارد ، به فرآیندی که در آن ترافیک VLAN ها می تواند به سویچ دیگر از طریق پورت Trunk منتقل شود نیز Trunking گفته می شود. پورت های Trunk هر Frame را با استفاده از یک برچسب شناسایی منحصر به فرد که در اصطلاح Tag گفته می شود علامت گذاری می کند ، برای مثلا برچسبی بر روی یک Frame قرار می گیرد که مشخص کننده این است که این Frame متعلق به VLAN 100 می باشد.

البته برچسب های متنوعی وجود دارند که بر اساس پروتکل های مورد استفاده در سویچ متفاوت هستند ، معمولترین نوع برچسب ها یا Tag های مورد استفاده در Trunking برچسب 802.1Q و همچنین برچسب Inter-Switch Link یا ISL می باشد. این برچسب ها یا Tag ها زمانی کاربرد دارند که ترافیک بین سویچ ها جابجا می شوند. با استفاده از این مکانیزم و برچسب ها هرگاه یک Frame از سویچ خارج شود با توجه به برچسب مورد نظر ، مشخص می شود که قرار است به کجا هدایت شود و مسیر مشخصی را طی خواهد کرد و به VLAN مورد نظر ما هدایت می شود.

به این نکته توجه کنید که یک پورت اترنت یا می تواند یک Access Port باشد یا یک Trunk Port و نمی تواند بصورت همزمان هر دو کار را انجام بدهد ، بنابراین به پورتی که به عنوان Trunk تعریف شده است کامپیوتری را نمی توانید متصل کنید. نکته جالبتر در خصوص پورت های Trunk این است که برخلاف پورت های Access یا دسترسی ، این پورت ها می توانند همزمان به عضویت چندین VLAN در بیایند و به همین دلیل است که می توانند ترافیک های VLAN های مختلفی را همزمان هدایت کنند.

 

Trunk Port

Trunk Port

همانطور که گفتیم برای اینکه پورت ترانک ما به درستی بتواند ترافیک های VLAN های مختلف را هدایت کند با استفاده از پروتکل 802.1Q هر کدام از Frame هایی که از پورت های مختلف سویچ دریافت می شوند را برچسب گذاری یا Tag می زند. به این فرآیند 802.1Q Encapsulation نیز گفته می شود. در این روش Tag مورد نظر و مربوط به VLAN مورد نظر بر روی Header بسته یا Frame اطلاعاتی ما قرار می گیرد. محتویات این برچسب یا Tag مشخص کننده VLAN ای است که Frame از آن وارد سویچ شده است.

این فرآیند باعث می شود که هرگاه ترافیک از پورت های Trunk یک سویچ عبور می کنند مشخص باشد که قرار است به کدام VLAN وارد شوند و همزمان می توان چندین Frame از VLAN های مختلف را درون یک Trunk Port هدایت کرد. بصورت پیشفرض همه ترافیک VLAN های مختلف به سمت همه Trunk Port ها هدایت می شوند اما شما می توانید این روند را تغییر بدهید و طراحی خاص خودتان را در سویچ ها پیاده سازی کنید.

منظور از Native VLAN چیست

اما در این میان یک نکته جالب وجود دارد و آن هم VLAN محلی یا Native VLAN است. مفهوم این موضوع خیلی ساده است ، تصور کنید که 802.1Q هیچ برچسب یا Tag ای برای یک Frame قرار ندهد و آن را در Trunk برای سایر سویچ ها ارسال کند !! خوب چه اتفاقی می افتد ؟ سویچ های مقصد با توجه به برچسب باید مسیر Frame را و اینکه باید در کدام VLAN قرار بگیرد مشخص کنند اما Tag ای وجود ندارد !

در چنین مواقعی بصورت پیشفرض ما یک VLAN از قبل تعریف و پیکربندی شده بر روی همه سویچ ها داریم که به آن Native VLAN گفته می شود به این معنی که اگر ترافیک مورد نظر ما یا بهتر بگوییم Frame های ما که از پورت Trunk می آیند فاقد برچسب یا Tag بودند به سمت یک VLAN مشخص هدایت شوند که به آن Native VLAN گفته می شود.

معرفی SSH Tunneling

معرفی SSH Tunneling

/0 دیدگاه /در /توسط

تعریف SSH

SSH ( پوسته امن )،پروتکل استانداردی برای مبادله ی رمز شده بین یک کامپیوتر و یک سرویس دهنده است. پروتکل رمزنگاری از مشاهده اطلاعات مبادله شده توسط اپراتور شبکه جلوگیری میکند. SSH میتواند برای کاربردهای متعددی بکار رود، که برقراری اتصال امن (secure login) و انتقال فایل امن (SCP/SFTP) کاربردهای رایج آن هستند.

کاربردهای SSH Tunneling

پروتکل SSH از آن دسته پروتکل هایی است که قابلیت های مرموز و در عین حال مخفی ای دارد که بسیاری از افرادی که از این پروتکل استفاده میکنند، به آن پی نبرده اند. یکی از این قابلیت ها، توانایی در ایجاد تونل های Encrypt شده در بطن پروتکل SSH است، که کانال های ارتباطی دو طرفه را پشتیبانی میکند. SSH یک پروتکل امن ارتباطی است که داده ها را از میان یک Tunnel ارتباطی امن منتقل می کند. SSH Tunneling تکنیک دیگری است که مهاجمین می توانند از طریق آن محدودیت های فایروال ها را دور بزنند و از آنها عبور کنند. با استفاده از SSH Tunneling آدرس IP شما نیز در محیط اینترنت مخفی باقی می ماند بنابراین هیچکس نمی تواند شما را مانیتور و یا شنود کند.

یکی از دلایلی که پروتکی مثل SSH طراحی شد مشکلاتی بود که در بحث استفاده از آدرس های IP عمومی یا Public وجود داشت ، به این معنی که هر کسی می توانست از هر جای دنیا به آدرس IP سرور شما متصل شود و این شخص ممکن است یک هکر باشد. مهاجمین با داشتن آدرس IP Public شما امکان حمله به شما از هر جای دنیا را داشتند. توسعه و طراحی SSH Tunneling مشکلات بسیاری که در حوزه امنیت آدرس های IP عمومی وجود داشت را حل کرد.

مکانیزم کاری SSH Tunnel زیاد پیچیده نیست و در واقع این تکنیک از یک سرور و یک کلاینت تشکیل شده است که Session ارتباطی امنی بین همدیگر برقرار می کنند که هیچکس نمی تواند وارد این Session و ارتباطات آن شود و به همین دلیل امنیت بالایی دارد و از طرفی تجهیزات یا افرادی که در مسیر راه امکان شنود اطلاعات را دارند نیز نمی توانند وارد مسیر مورد نظر بشوند. ایجاد کردن یک Tunnel برای ارتباط بین دو ماشین با آدرس های IP غیر عمومی یا Private نیازمند پیاده سازی سه مرحله ای و حداقل داشتن سه ماشین است ، این سه ماشین که در فرآیند SSH Tunnel استفاده می شوند موارد زیر هستند :
1.ماشین محلی ( Local Machine )
2.یک ماشین واسط میانی دارای آدرس IP Public جهت ارتباط اینترنتی
3.ماشین هدف که دارای یک آدرس IP غیر عمومی است و قبل از ارتباط ماشین محلی بایستی ارتباطش با ماشین میانی برقرار شود.

SSH Tunneling

SSH Tunneling

شما می توانید به ترتیب زیر Tunnel ایجاد کنید :

• یک SSH Connection از Local Machine تا ماشین واسط یا Intermediate Machine ایجاد کنید که دارای آدرس IP Public است.

• به SSH Connection فرمان بدهید که صبر کند و ترافیک را از Local Port به سمت Intermediate Machine یا ماشین واسط منتقل کند تا ماشین واسط به سمت ماشین هدف ( Target Machine ) ترافیک را با آدرس IP Private انتقال دهد ! به اینکار Port Acceleration یا Port Forwarding گفته می شود.

• بر روی Local Machine نرم افزاری که می خواهید با ماشین مقصد ارتباط داشته باشد را انتخاب می کنید و تنظیمات Port Forwarding را بر روی آن انجام می دهید. حالا هر زمان که شما به local port متصل شوید ! ترافیک شما خودکار به سمت Remote Machine منتقل می شود.

بصورت ساده تر شما از کامپیوتر مبدا یک ارتباط SSH با کامپیوتر واسط برقرار می کنید. کامپیوتر واسط یک آدرس IP معتبر اینترنتی دارد، شما هر ترافیکی که از ماشین مبدا بخواهید به مقصد برسد طبیعتا اول باید با کامپیوتر واسط ارتباط بگیرد. یعنی اگر بخواهیم بگوییم یک فایل را آپلود کند اول باید دستور ما به کامپیوتر واسط برسد. سیستم مقصد الزامی ندارد که IP عمومی داشته باشد چون اگر اینترنت داشته باشد کافی است که بتواند  به کامپیوتر واسط وصل شود، هر ترافیکی با هر پورتی بخواهد از کامپیوتر مبدا به کامپیوتر مقصد منتقل شود باید در تونل SSH قرار بگیرد یعنی به عبارت دیگر تبدیل به پورت 22 شود!! خوب اینکار را میگوییم تبدیل پورت یا Port Forwarding. حالا هر نرم افزاری که قرار بود از سیستم مبدا به مقصد متصل شود را باید تنظیمات استفاده از SSH Tunnel را روی آن انجام بدهیم. شما اگر یک کامپیوتر با پروکسی اینترنت داشته باشید طبیعی است که باید تنظیمات پروکسی را روی نرم افزارهایی که اینترنت میخواهند انجام بدهید.

خوب برای اینکه ارتباط بین سیستم ها امن باشد SSH از دو کلید رمزنگاری PKI برای رمزنگاری مسیر و داده ها استفاده می کند. این کلیدها نمایانگر کامپیوترهای مورد اعتماد در مسیر ارتباطی هستند. زمانیکه یک SSH Connection در حال ایجاد شدن است ، هر دو ماشین کلیدهای عمومی خودشان را به همدیگر می دهند ، اما فقط کامپیوتری قادر به رمزگشایی خواهد بود که کلید خصوصی را داشته باشد.

روش های سوئیچینگ و مسیریابی در شبکه های محلی Packet Switching

روش های سوئیچینگ و مسیریابی در شبکه های محلی

/2 دیدگاه /در /توسط

تعریف سوئیچینگ

فرآیندهای Routing یا مسیریابی و سوئیچینگ Switching اساس و پایه کاری یک ارتباط شبکه را تشکیل می‌دهند. اگر کمی در مورد دوره‌های شرکت سیسکو آشنایی داشته باشید، به احتمال زیاد با این دو واژه برخورد کرده‌اید.

هر کدام از این فرآیندها در لایه‌های مختلفی از شبکه انجام می‌شوند و به عنوان یک کارشناس شبکه می‌بایست تفاوت آن‌ها را به خوبی بدانید. فرآیند سویچینگ یا Switching در لایه دوم از مدل OSI انجام می‌شود. سوئیچینگ به معنی رد و بدل کردن بسته‌های داده بین تجهیزات یک شبکه محلی یا Local است. هنگامی که صحبت از شبکه محلی می‌شود یعنی اطلاعات قرار نیست از شبکه شما خارج شود و فقط در شبکه محلی یا LAN باقی می‌ماند.

تعریف سوئیچینگ

تعریف سوئیچینگ

سوئیچ شبکه با استفاده از ساختار آدرس سخت‌افزاری کارت شبکه یا همان MAC Address می‌داند که باید Packet یا بهتر بگوییم فریم‌ها را به سمت کدام مقصد ارسال کند. یک سوئیچ برای خود دارای یک جدول مک آدرس یا MAC Address Table است. تمام آدرس‌های مک که به پورت‌های سوئیچ متصل شده‌اند، در این جدول ذخیره می‌شوند.

به بسته‌های اطلاعاتی در لایه دوم از مدل OSI در اصطلاح فریم یا Ethernet Frame گفته می‌شود. سوئیچ شبکه با استفاده از مکانیزم جدول مک، قادر به شناسایی مبدا و مقصد ارسالی Frame خواهد بود. سخت‌افزارهایی که به آن متصل شده‌اند را با استفاده از این جدول می‌شناسد. به این ترتیب فقط می‌توان از فرآیند سوئیچینگ در شبکه‌های کوچک LAN استفاده کرد. در برخی منابع MAC Address Table با نام CAM Table هم معرفی می‌شود.

روش های سوئیچینگ

سوئیچ به منظور مسیریابی ترافیک موجود در شبکه از سه روش سوئیچینگ استفاده می‌کند.

  1. Store and forward
  2. Cut through
  3. Fragment Free
Switching

Switching

روش Store and Forward

در این روش سوئیچ در ابتدا تمام بسته اطلاعاتی را ذخیره می‌کند. سپس به خطایابی آن بسته می‌پردازد و در صورتی که خطایی در بسته پیدا کند، به سرعت آن را حذف می‌کند. در صورتی که سوئیچ خطایی پیدا نکند، آدرس کارت شبکه گیرنده بسته را جستجو کرده و پس از پیدا کردن آدرس مقصد، بسته را به نود مقصد ارسال می‌کند.

این نوع سوئیچ‌ها برای شبکه‌های محلی بسیار مناسب هستند؛ چرا که بسته‌های اطلاعاتی خراب شده را پاکسازی می‌کنند. به همین دلیل این سوئیچ‌ها باعث کاهش بروز عمل تصادم یا Collision خواهند شد. این روش، ساده‌ترین روش سوئیچینگ محسوب می‌شود.

روش Store and Forward

روش Store and Forward

پل‌ها یا هاب‌ها از این روش استفاده می‌کنند؛ در صورتی که سوئیچ‌ها می‌توانند از هر سه روش مورد بحث بهره ببرند.

در سوئیچینگ به روش Store and Forward زمانی که سوئیچ فریمی دریافت می‌کند، ابتدا آن را در حافظه رم خود Buffer می‌کند. در مرحله بعد آدرس‌های مک مبدا و مقصد را از هدر فریم خوانده ولی پیش از ارسال آن به سمت مقصد، کد CRC فریم را از بخش Trailer چک می‌کند. در صورتی که عدد CRC صحیح باشد، سوئیچ فریم را به سمت مقصد ارسال می‌کند. اما اگر مشکلی داشته باشد، آن فریم را به عنوان یک Corrupted Frame یا یک فریم خراب تشخیص داده و توسط سوئیچ Drop می‌شود.

روش Store and forward روش مناسبی است؛ چرا که فریم‌ها ابتدا بررسی می‌شوند و در صورت مشکل‌دار بودن توسط سوئیچ سریعا Drop می‌شوند. به این ترتیب فریم به مقصد ارسال نمی‌شود. مشکل این روش سرعت پایین آن است. دلیل این سرعت پایین هم این است که بررسی کد CRC از یک طرف و خواندن مک آدرس مبدا و مقصد از سوی دیگر، بار زیادی را روی پردازنده تحمیل می‌کند.

روش Cut Through

این نوع از سویئچ ها سه یا چهار بایت اول یک بسته را میخوانند تا بالاخره آدرس مقصد را پیدا کنند سپس بسته را به آن بخش یا سگمنتی که آدرس مقصد بسته را دارد ارسال میکنند و بقیه قسمت های باقی مانده را ار نظر خطایابی مورد بررسی قرار نمی دهند .

این نوع سوئیچ ها ، به محض دریافت بسته ، سریعا Mac Address بسته را می خوانند و آن 6 بایت آدرس MAC را ذخیره میکنند و در حالتی که بقیه بسته ها در حال رسیدن به سوئیچ هستند ، بسته ای که بررسی کرده را به سمت نود مقصد ارسال میکند .
در این نوع سوئیچینگ فقط قسمت های اولیه فریم که شامل Preamble و آدرس MAC گیرنده می شود توسط دستگاه چک میشود و فریم سریعا به مقصد خودش هدایت میشود.

خوبیه این روش نسبت به حالت Store and forward این است که سرعت بالاتری دارد و مشکل این روش یا بهتر بگویم نقطه ضعف این روش احتمال فرستاده شدن فریم های بد به مقصد های مورد نظر است زیرا که CRC فریم مورد اندازه گیری واقع نمیشود .

خیلی از شرکت های تولید کننده یک سری امکانات را بر روی دستگاه اضافه میکنند (یعنی چی ؟)

به این صورت که دستگاه در کنار استفاده از روش Cut through ، اقدام به اندازه گیری CRC فریم هم میکند و تعداد فریم های مشکل دار را در حافظه خودش نگه میدارد سپس اگر این فریم های بد از حدی پیشرفت کردن به صورت خودکار عمل switching به Store and forward تبدیل میشود که به آن Dynamic Switching نیز میگویند .

روش Fragment Free

این نوع از سوئیچینگ هم مانند Cut through عمل میکند با این تفاوت که در این روش قبل از اینکه بسته ارسال شود 64 بایت اول که شامل preamble , MAC است را نگه میدارند این کار به این دلیل بیشتر خطاها و برخورد ها در طول اولین 64 بایت بسته اطلاعاتی اتفاق می افتد .

با توجه به این موضوع که اندازه فریم های Ethernet حداقل 64 بایت است ، استفاده از Fragment Free روش بهتری برای عمل سوئیچینگ است .هدف از این روش Fragmnet Free کاهش فریم هایی است که کمتر از 64 بایت بوده که این نوع فریم ها runt نامیده میشوند و به قولی به این روش Runt less هم می گویند .

در این روش نیز باز هم مانند Cut Through فریم های بد توسط دستگاه عبور داده می شوند که با فن Dynamic Switching میشود این مشکل را تا حدی برطرف کرد .

این نکته هم خالی از لطف نیست که بدانید این نوع عمل سوئیچینگ در افزایش عملکرد دستگاه به تنهایی موثر نیست و فاکتور های دیگری نیز مانند امکانات و performance دستگاه نیز باید مورد توجه قرار بگیرند …