مدارک سیسکو

مدارک سیسکو

/0 دیدگاه /در /توسط

مدارک سیسکوسیسکو در 156 کشور دنیا ، به منظور تعلیم افراد برای طراحی و نگهداری شبکه های کامپیوتری ، مرکزهای آموزشی تأسیس کرده است . سیسکو مدارکی را برای متخصصین در زمینه های مختلف شبکه ارائه می کند . مدارک سیسکو شامل این مدارک می شود :

دسته ی اول  (دستیار یا کارشناس شبکه)

دسته اول مدارک سیسکو Associate یا دستیار است ، یعنی قرار گرفتن در ابتدای مسیر .گرایش شما هرچه که باشد می بایست پیش از اخذ هر مدرک و یا گذراندن هر دوره ای، CCNA با گرایش Routing&Switching را بگذرانید ! بعد از آن چنانچه خواستار تغییر گرایش از Routing&Switching به سایرگرایش ها باشید ، می بایست مدرک Associate آن گرایش را نیز اخذ کنید . مثلاً چنانچه به Security علاقه مند هستید ، باید مدرک CCNA با گرایش Security را کسب کرده و سپس به سطح بالاتر یعنی Professional صعود نمود .

Associate Certifications

CCNA Routing and Switching •

CCDA •

CCNA Data Center •

CCNA Security •

CCNA Service Provider •

CCNA Service Provider Operations •

CCNA Video •

CCNA Voice •

CCNA Wireless •

دسته ی دوم (کارشناس ارشد شبکه)

 

دسته دوم مدارک سیسکو ، Professional Certifications است .

Professional Certifications

CCDP •

CCNP •

CCNP Data Center •

CCNP Security •

CCNP Service Provider •

CCNP Service Provider Operations •

CCNP Voice •

CCNP Wireless •

دسته ی سوم مدارک سیسکو (متخصص شبکه یا همان دکترای شبکه)

Expert Certifications

CCDE •

CCIE Collaboration •

CCIE Data Center •

CCIE Routing & Switching •

CCIE Security •

CCIE Service Provider •

CCIE Service Provider Operations •

(CCIE Voice (Retiring February 13, 2014 •

CCIE Wireless •

دسته ی چهارم (معمار شبکه و هم هکاره شبکه)

دسته چهارم مدارک سیسکو سطح Architect است که در سالها اخیر توسط سیسکو ارائه شده است ، بالاترین سطح مدرک مهندسی شبکه در بین کلیه ی مدارک بین المللی شبکه است . ظاهراً شرکت سیسکو با ارائه ی این سطح خواسته تا برترین متخصصان بین المللی شبکه را گلچین نماید ، شاید بتوان رتبه ی Cisco Certified Architect معادل فوق دکترای شبکه در گرایش Design دانست !

منبع : www.cisco.com

لایه های شبکه

لایه بندی شبکه فصل دوم ( لایه های شبکه )

/0 دیدگاه /در /توسط

در این بخش از لایه های شبکه به سراغ مدل TCP / IP می رویم .

لایه های شبکه مدل TCP / IP

IP ، پروتکلی استاندارد برای ارتباط کامپیوترهای موجود در یک شبکه مبتنی بر ویندوز 2000 است . از پروتکل فوق ، به منظور ارتباط در شبکه های بزرگ استفاده می گردد . برقراری ارتباط از طریق پروتکل های متعددی که در چهار لایه مجزا سازماندهی شده اند، میسر می گردد . هر یک از پروتکلهای موجود در پشته ی TCP/IP ، دارای وظیفه ای خاص در این زمینه (برقراری ارتباط) می باشند .

در زمان ایجاد یک ارتباط ، ممکن است در یک لحظه تعداد زیادی از برنامه ها ، با یکدیگر ارتباط برقرار نمایند . TCP/IP ، دارای قابلیت تفکیک و تمایز یک برنامه موجود بر روی یک کامپیوتر با سایر برنامه ها بوده و پس از دریافت داده ها از یک برنامه ، آن ها را برای برنامه ی متناظر موجود بر روی کامپیوتر دیگر ارسال می نماید . نحوه ی ارسال داده توسط پروتکل TCP/IP از محلی به محل دیگر با فرآیند ارسال یک نامه از شهری به شهر دیگر ، قابل مقایسه است .

برقراری ارتباط مبتنی بر TCP/IP با فعال شدن یک برنامه بر روی کامپیوتر مبدأ آغاز می گردد . برنامه ی فوق ، داده های موردنظر جهت ارسال را به گونه ای آماده و فرمت می نماید که برای کامپیوتر مقصد ، قابل خواندن و استفاده باشند . (مشابهی نوشتن نامه با زبانی که دریافت کننده، قادر به مطالعهی آن باشد) .

در ادامه، آدرس کامپیوتر مقصد به داده های مربوطه اضافه می گردد (مشابه آدرس گیرنده که بر روی یک نامه مشخص می گردد ). پس از انجام عملیات فوق ، داده به همراه اطلاعات اضافی (درخواستی برای تأیید دریافت در مقصد) در طول شبکه به حرکت درآمده تا به مقصد مورد نظر برسد . عملیات فوق،  ارتباطی به محیط انتقال شبکه به منظور انتقال اطلاعات نداشته و تحقق عملیات فوق با رویکردی مستقل نسبت به محیط انتقال ، انجام خواهد شد .

لایه های پروتکل TCP/IP

TCP/IP ، فرآیندهای لازم به منظور برقراری ارتباط را سازماندهی می کند و در این راستا از پروتکل های متعددی در پشته ی TCP/IP استفاده می گردد . به منظور افزایش کارایی در تحقق فرآیندهای مورد نظر ، پروتکل ها در لایه های متفاوتی ، سازماندهی شده اند . اطلاعات مربوط به آدرس دهی در انتها ، قرارگرفته و بدین ترتیب کامپیوترهای موجود در شبکه قادر به بررسی آن با سرعت مطلوب خواهند بود .

در این راستا، صرفاً کامپیوتری که به عنوان کامپیوتر مقصد معرفی شده است ، امکان باز نمودن بسته ی اطلاعاتی و انجام پردازش های لازم بر روی آن را دارا خواهد بود . TCP/IP از یک مدل ارتباطی چهار لایه به منظور ارسال اطلاعات از محلی به محل دیگر استفاده می نماید. Application ,Transport ,Internet و Network Interface ، لایه های موجود در پروتکل TCP/IP می باشند . هر یک از پروتکل های وابسته به پشته ی TCP/IP با توجه به رسالت خود ، در یکی از لایه های فوق ، قرار می گیرند .

لایه ی Application

لایه Application از لایه های شبکه ، بالاترین لایه در پشته ی TCP/IP است . تمامی برنامه ها و ابزارهای کاربردی در این لایه ، با استفاده از لایه ی فوق ، قادر به دستیابی به شبکه خواهند بود . پروتکل های موجود در این لایه ، به منظور فرمت دهی و مبادله ی اطلاعات کاربران استفاده می گردند . HTTP و FTP دو نمونه از پروتکل های موجود در این لایه می باشند .

  1. پروتکل HTTP (Hypertext Transfer Protocol) : از این پروتکل ، به منظور ارسال فایل های صفحات وب ، استفاده می گردد .
  2. پروتکل FTP (File Transfer Protocol) : از این پروتکل ، برای ارسال و دریافت فایل استفاده میگردد .

لایه Transport

لایه حمل از لایه های شبکه ، قابلیت ایجاد نظم و ترتیب و تضمین ارتباط بین کامپیوترها و ارسال داده به لایه Application و یا لایه اینترنت را بر عهده دارد . لایه فوق ، همچنین مشخصه  منحصر به فردی از برنامه ای که داده را عرضه نموده است ، مشخص می نماید . این لایه ، دارای دو پروتکل اساسی است که نحوه ی توزیع داده را کنترل می نمایند .

  1. TCP (Transmission Control Protocol) : مسئول تضمین صحت توزیع اطلاعات است .
  2. UDP (User Datagram Protocol) : امکان عرضهی سریع اطلاعات بدون پذیرفتن مسئولیتی در رابطه با تضمین صحت توزیع اطلاعات را بر عهده دارد .

لایه ی Internet

لایه ی اینترنت از لایه های شبکه ، مسئول آدرس دهی ، بسته بندی و روتینگ داده ها است . این لایه ، شامل چهار پروتکل اساسی است :

  1. IP (Internet Protocol) : مسئول آدرسی داده ها به منظور ارسال به مقصد مورد نظر است .
  2. ARP (Address Resoulation Protocol) : مسئول مشخص نمودن آدرس MAC (Media Access Control) آداپتور شبکه بر روی کامپیوتر مقصد است .
  3. ICMP (Internet Control Message Protocol) : مسئول ارائه توابع عیب یابی و گزارش خطا در صورت عدم توزیع صحیح اطلاعات است .
  4. IGMP (Internet Group Managemant Protocol) : مسئولیت مدیریت Multicasting در TCP/IP را بر عهده دارد .

لایه ی Network

لایه ی شبکه از لایه های شبکه ، مسئول استقرار داده بر روی محیط انتقال شبکه و دریافت داده از محیط انتقال شبکه است . این لایه ، شامل دستگاه های فیزیکی نظیر کابل شبکه و آداپتورهای شبکه است . کارت شبکه (آداپتور) دارای یک عدد دوازده رقمی مبنای شانزده بوده که آدرس MAC نامیده می شود . لایه ی اینترفیس شبکه ، شامل پروتکل های مبتنی بر نرم افزار مشابه ی لایه های قبل نیست . پروتکل های ، ATM و Asynchronous Transfer Mode) Ethernet شبک ، نمونه هایی از پروتکلهای موجود در این لایه می باشند . پروتکلهای فوق، ،(Asynchronous Transfer Mode) نحوه ارسال داده در شبکه را مشخص می نمایند .

برای خرید سوئیچ سیسکو ، روی عبارت مورد نظر کلیک کنید .

منبع : www.plixer.com

لینک مفید : لایه بندی شبکه فصل اول

لایه بندی شبکه

لایه بندی شبکه فصل اول

/0 دیدگاه /در /توسط

لایه بندی شبکه

 به طور کلی از دو مدل لایه بندی شبکه استفاده می‌شود:

  1. مدل OSI
  2. مدل TCP/IP

لایه بندی OSI

این مدل برگرفته از عبارت Open System Interconnection است و برای ارتباط بین دو کامپیوتر مبدأ و مقصد به کار می‌رود . این مدل در سال 1980 توسط سازمان ISO طراحی و پیاده سازی شده و طبق سالیان متوالی تغییراتی روی آن صورت گرفته است. هرچند که همان ساختار اصلی خود را حفظ کرده است.

مدل لایه‌بندی OSI بر اساس یکی سری قراردادها با لایه‌ی مقابل خود در کامپیوتر دیگر ارتباط برقرار می‌کند و این کار باعث افزایش سرعت و امنیت در شبکه خواهد شد.

تمام کمپانی‌های نرم‌افزاری و سخت‌افزاری طبق این قرارداد محصولات خود را پیاده‌سازی می‌کنند . اگر توجه کرده باشید، بعضی از شرکت‌ها دارای گواهینامه ISO 9001, 9002 و غیره هستند. یعنی می‌بایست طبق استاندارد این سازمان کار کنند. مدل OSI به صورت قراردادی از هفت لایه‌ی زیر تشکیل شده است که هر لایه را بررسی خواهیم کرد.

لایه های شبکه - لایه بندی شبکه

اگر به تصویر بالا توجه کنید، لایه‌های بالاتر به صورت نرم‌افزاری فعالیت می‌کنند و هرچه به طرف لایه‌های پایین‌تر برویم با سخت‌افزار کار داریم.

 7. لایه Application (کاربرد)

این لایه از لایه بندی شبکه با برنامه‌های کاربردی روی سیستم عامل که در شبکه کار می‌کنند ارتباط دارد. مانند نرم‌افزارهای مرورگر وب و انواع سرویس‌های مربوط به شبکه مانند Telnet, pop3, mail, ftp, tftp یا غیره. این لایه اطلاعات دریافتی را به صورتی که لایه پایینی بتواند آن را درک کند، قطعه قطعه می‌کند. نظارت بر Error Recovery و Flow control در هنگام ارسال و دریافت اطلاعات بر عهده‌ی این لایه است .

6. لایه Presentation (نمایش)

این لایه اطلاعات دریافتی را از لایه بالایی خود دریافت کرده و آنها را فشرده سازی (Compression) و رمزنگاری (Encryption) می‌کند. سپس آن را به لایه پایینی می‌فرستد. البته این لایه هم می‌تواند اطلاعات فشرده سازی شده را از حالت فشرده خارج کند (DeCompression) و هم می‌تواند قفل گشایی (Decryption) انجام دهد.

5. لایه Session (جلسه)

به صورت ساده در این لایه از لایه بندی شبکه، کامپیوترهای ارسال و دریافت کننده اطلاعات دور یک میز می‌نشینند و جلسه‌ای باهم برقرار می‌کنند. در این جلسه بر نوع فایل ارسالی بحث و گفتگو می‌شود که این فایل از چه نوعی است. وقتی به نتیجه رسیدند باهم ارتباط برقرار می‌کنند. به این موضوع هم توجه داشته باشید که آغاز و اتمام یک ارتباط از طریق این لایه انجام می‌پذیرد.

4. لایه Transport (انتقال)

برای توضیح این لایه باید 2 نوع ارتباط را تشریح کنیم:

  • Connection Less
  • Connection Oriented

در ارتباط connection Less کامپیوتر مبدأ برای کامپیوتر مقصد اطلاعات ارسال می‌کند. اما کامپیوتر مقصد هیچ‌گونه پیامی (Acknowledge) مبنی بر دریافت اطلاعات به کامپیوتر مبدأ نمی‌دهد. این مدل را می‌توانید در نرم‌افزارهای چت که به صورت صوتی با مخاطب خود صحبت می‌کنید، مشاهده کنید. با این کار سرعت انتقال اطلاعات به علت عدم دریافت Acknowledge افزایش می‌یابد.

در ارتباط Connection oriented که ارتباط بسیار مهمی است، کامپیوتر مبدأ اطلاعات خود را به کامپیوتر مقصد ارسال می‌کند. سپس منتظر می‌ماند تا کامپیوتر مقصد پیام Acknowledge را به مبدأ ارسال کند تا متوجه صحت دریافت اطلاعات در سمت مقصد شود.

اگر این کار انجام نشود در طی زمانی مشخص، دوباره اطلاعات را برای مقصد ارسال می‌کند. این کار تا زمانی انجام می‌شود که کامپیوتر مقصد Acknowledge را ارسال کند. این روش برای ارتباطات بسیار مهم و کاربردی است. Acknowledge یک تأییدی بر دریافت اطلاعات به صورت صحیح است.

پروتکل‌هایی که در لایه Transport کار می‌کنند:
  • ADSP, AppleTalk Data Stream Protocol
  • ASP, AppleTalk Session Protocol
  • H.245, Call Control Protocol for Multimedia Communication
  • ISO-SP, OSI session-layer protocol (X.225, ISO 8327)
  • iSNS, Internet Storage Name Service
  • L2F, Layer 2 Forwarding Protocol
  • L2TP, Layer 2 Tunneling Protocol
  • NetBIOS, Network Basic Input Output System
  • PAP, Password Authentication Protocol
  • PPTP, Point-to-Point Tunneling Protocol
  • RPC, Remote Procedure Call Protocol
  • RTCP, Real-time Transport Control Protocol
  • SMPP, Short Message Peer-to-Peer
  • SCP, Session Control Protocol
  • SOCKS, the SOCKS internet protocol, see Internet socket
  • ZIP, Zone Information Protocol
  • SDP, Sockets Direct Protocol

3. لایه Network (شبکه)

این لایه با IP سروکار دارد و آی پی مقصد و مبدأ را به بسته‌ی ارسالی ما اضافه می‌کند و سپس به لایه‌ی پایین‌تر می‌فرستد.

پروتکل‌هایی که در لایه Network کار می‌کنند:
  • IPv4/IPv6, Internet Protocol
  • DVMRP, Distance Vector Multicast Routing Protocol
  • ICMP, Internet Control Message Protocol
  • IGMP, Internet Group Management Protocol
  • PIM-SM, Protocol Independent Multicast Sparse Mode
  • PIM-DM, Protocol Independent Multicast Dense Mode
  • IPsec, Internet Protocol Security
  • IPX, Internetwork Packet Exchange
  • RIP, Routing Information Protocol
  • DDP, Datagram Delivery Protocol
  • RSMLT Routed-SMLT
  • ARP, Address Resolution Protocol

2. لایه Data Link (داده)

در این لایه از لایه بندی شبکه آدرس Mac کارت‌های شبکه که یک شماره اختصاصی است به بسته‌ها اضافه می‌شود. اگر به تصویر لایه‌ها توجه کنید متوجه این موضوع خواهید شد.

پروتکل‌هایی که در لایه Data Link کار می‌کنند:
  • Address Resolution Protocol (ARP)
  • ARCnet
  • ATM
  • Cisco Discovery Protocol (CDP)
  • Controller Area Network (CAN)
  • Econet
  • Ethernet
  • Ethernet Automatic Protection Switching (EAPS)
  • Fiber Distributed Data Interface (FDDI)
  • Frame Relay
  • High-Level Data Link Control (HDLC)
  • IEEE 802.2 (provides LLC functions to IEEE 802 MAC layers)
  • IEEE 802.11 wireless LAN
  • LattisNet
  • Link Access Procedures, D channel (LAPD)
  • LocalTalk
  • Multiprotocol Label Switching (MPLS)
  • Nortel Discovery Protocol (NDP)
  • OpenFlow (SDN)
  • Split multi-link trunking (SMLT)
  • Point-to-Point Protocol (PPP)
  • Serial Line Internet Protocol (SLIP) (obsolete)
  • Spanning Tree Protocol
  • StarLan
  • Token ring
  • Unidirectional Link Detection (UDLD)

1- لایه. Physical  (لایه فیزیکی)

این لایه آخرین لایه در مدل OSI است. Physical با سیگنال‌ها و کابل‌ها در ارتباط است و سیگنال را از طریق کابل به کامپیوتر مورد نظر ارسال می‌کند.

پروتکل‌هایی که در لایه Physical کار می‌کنند:
  • Telephone network modems- V.92
  • IRDA physical layer
  • USB physical layer
  • EIA RS-232, EIA-422, EIA-423, RS-449, RS-485
  • Ethernet physical layer Including 10BASE-T, 10BASE2, 10BASE5, 100BASE-TX, 100BASE-FX, 100BASE-T, 1000BASE-T, 1000BASE-SX and other varieties
  • Varieties of 802.11 Wi-Fi physical layers
  • DSL
  • ISDN
  • T1 and other T-carrier links, and E1 and other E-carrier links
  • SONET/SDH
  • Optical Transport Network (OTN)
  • GSM Um air interface physical layer
  • Bluetooth physical layer
  • ITU Recommendations: see ITU-T
  • IEEE 1394 interface
  • TransferJet physical layer
  • Etherloop
  • ARINC 818 Avionics Digital Video Bus
  • G.hn/G.9960 physical layer
  • CAN bus (controller area network) physical layer
  • Mobile Industry Processor Interface physical layer

برای مشاهده مدل‌های مختلف سوئیچ سیسکو روی عبارت مورد نظر کلیک کنید.

لینک‌های مفید:

لایه بندی شبکه فصل دوم

توپولوژی های شبکه

انواع توپولوژی های شبکه

/0 دیدگاه /در /توسط

 اصولاً به شکل هندسی اتصالات ادوات شبکه به هم را توپولوژی می گویند . توپولوژی های شبکه به انواع مختلف زیر تقسیم بندی می شوند .

  • Bus
  • Ring
  • Star
  • Mesh
  • Hybrid
  • Point to Point
  • Point to Multi Point

هرکدام از این شبکه ها در موارد مختلف به کار می روند .

توپولوژی BUS (خطی)

در توپولوژی Bus ، همه ی کامپیوترهای شبکه از طریق یک کابل به هم متصل می شوند . در این شبکه ، هر کامپیوتر سیگنالها را دریافت کرده و آن را به کامپیوتر بعدی می فرستد . این شبکه یکی از آسانترین شبکه های موجود است که در حال حاضر هم از آن استفاده می شود . مشکل این شبکه زمانی اتفاق میافتد که 1 کامپیوتر بخواهند در یک زمان اطلاعات را بر روی یک خط بفرستند که در این صورت collision رخ میدهد .

انواع توپولوژی های شبکه

مزایا

  1. پیاده سازی آن بسیار آسان است .
  2. صرفهجویی در هزینه، چون احتیاج به یک کابل دارد .
  3. به راحتی می توان قطع شدن کابل را مشخص کرد و عیبیابی آن آسان است .

معایب

  1. اگر برای یکی از کامپیوترها مشکلی ایجاد شود، کل شبکه از کار می افتد .
  2. با افزودن کامپیوترهای جدید و ارسال حجم زیاد اطلاعات بر روی یک خط، کارایی شبکه کم می شود .
  3. نرخ انتقال اطلاعات به نسبت توپولوژیهای دیگر پایین است .
  4. در کل برای شبکههای با تعداد کامپیوترهای کم به کار می آید .

توپولوژی Ring (حلقوی)

در این توپولوژی از انواع توپولوژی های شبکه ، کامپیوترها با استفاده از یک کابل به صورت دایره وار به هم متصل می شوند و این کابل انتها ندارد . کامپیوترها با دریافت سیگنال از کامپیوتر قبلی ، آن را تقویت کرده و به کامپیوتر بعدی می فرستند . در این شبکه ، اگر در یکی از کامپیوترها مشکلی ایجاد شود ، کل شبکه از کار خواهد افتاد که برای حل این مشکل از 1 خط با جهت های متفاوت استفاده می کنند تا وقتیکه یکی از کابلها قطع شد ، دیگری بتواند به کار خود ادامه دهد .

انواع توپولوژی های شبکه

مزایا

  1. استفاده از طول کابل کمتر نسبت به روش قبلی .
  2. نیاز به فضای زیاد برای راهاندازی شبکه ندارد .

معایب

  1. اگر یکی از کامپیوترها از کار بیفتد کل شبکه از کار خواهد افتاد .
  2. اشکالزدایی مشکل است ، چون باید تکتک کامپیوترها بررسی شوند .
  3. تغییر در ساختار شبکه در آینده مشکل است .

توپولوژی Star (ستاره ای)

به Switch یا Hub در این نوع از شبکه ، کامپیوترها و یا ادوات دیگر شبکه به وسیله ی یک دستگاه مرکزی مانند همدیگر متصل می شوند که امروزه هم در اکثر جاها از این شبکه استفاده می کنند .

توپولوژی Star (ستاره ای)

مزایا

  1. سادگی دسترسی به شبکه .
  2. با ایجاد مشکل در یک کامپیوتر ، آن کامپیوتر از مسیر خارج می شود و بقیه شبکه به کار خود ادامه می دهد .
  3. می تواند در آینده برای شبکه های جدیدتر توسعه پیدا کند .

معایب

  1. درصورتیکه نقطهی مرکزی شبکه، یعنی Hub  یا Switch از کار بیفتد کل شبکه مختل میشود.
  2. اندازه ی کابل به علت دستیابی مستقیم هر کامپیوتر به آن بسیار زیاد است و هزینه را افزایش میدهد.

توپولوژی mesh (تو در تو)

در این توپولوژی از انواع توپولوژی های شبکه ، هر گره به طور مستقیم ، بدون هیچ واسطه ای با کلیه گره های دیگر در ارتباط است ؛ بنابراین با فرض N گره در توپولوژی ، هر گره باید دارای N-1 پورت باشد . اگر یک گره به کلیه گره ها متصل باشد به آن Full Mesh هم می گویند و بیشتر در مکانهای نظامی کاربرد دارد .

توپولوژی mesh (تو در تو)

مزایا

  1. سرعت بسیار بالا .
  2. امنیت بالا .
  3. اگر مشکلی در یک لینک ایجاد شود، تأثیری بر روی شبکه نخواهد داشت .
  4. سادگی در عیبیابی .

معایب

  1. هزینه  بالا به علت استفادهی زیاد از کابل .
  2. هر گره برای اتصال به شبکه، نیاز به چندین interface دارد .

توپولوژی Hybrid  (دو رگه)

این شبکه به این علت به نام Hybrid  است که در ساختار خود از دو شبکه ی Bus و Star استفاده می کند .

توپولوژی Hybrid  (دو رگه)

توپولوژی point to Point  (نظیر به نظیر)

در این نوع شبکه، 1 دستگاه به صورت مستقیم توسط یک کابل به هم متصل می شوند و باهم ارتباط برقرار می کنند .

توپولوژی point to Point  (نظیر به نظیر)

توپولوژی Point to Multi Point  (یک به چند)

در این توپولوژی از انواع توپولوژی های شبکه ، چندین Node به یک سیستم ارتباطی متصل می شوند، این حالت را میتوان در سیستمهای wireless مشاهده کرد .

توپولوژی Point to Multi Point  (یک به چند)

جهت کسب آگاهی از قیمت سوئچ سیسکو ، روی عبارت مورد نظر کلیک کنید .

منبع : beginnersbook.com

لینک های مفید :

لایه بندی شبکه فصل اول – لایه بندی شبکه فصل دوم

راه اندازی SSH

راه اندازی SSH در سوئیچ ها و روتر های سیسکو

/در /توسط

راه اندازی SSH در Cisco

در اکثر مواقع شما بعد از پیکربندی Router یا Switch خود نیاز به این دارید که از راه دور به دستگاه دسترسی داشته باشید تا در صورت نیاز جهت پیکربندی یا رفع عیب به دستگاه متصل شوید . مثلا در نظر بگیرید که شما یک یا چند Device را در سطح یک شهر یا کشور پیکربندی کرده اید و پس از این کار باید به مشترکین خود خدمات پشتیبانی ارائه دهید . در صورتی که از راه دور دسترسی به این دستگاه ها نداشته باشید ، هنگامی که نیاز به ایجاد تغییر در پیکربندی دستگاه یا رفع عیب باشید باید جهت دسترسی به دستگاه مسیر زیادی را طی کنید که این مستلزم وقت و هزینه زیاد خواهد بود . جهت حل این مشکل سیسکو از پروتکل هایی نظیر Telnet و SSH استفاده می کند . که پروتکل SSH ایمن تر از Telnet می باشد . در این مقاله به نحوه راه اندازی SSH خواهیم پرداخت .

جهت تنظیم روتر و یا کنترل آن و سوئیج های سیسکو نیاز به پروتکل هایی از قبیل Telnetداریم . این پروتکل بیشترین استفاده را دارد ولی باید ایراد عمده  آن را هم در نظر گرفت .  این نقص به یک نیروی خارجی اجازه دسترسی پیدا کردن به اطلاعاتی که بین شبکه و دستگاه مدیریت رد و بدل میشود را میدهد .  Telnet در انتقال اطلاعات به صورت Clear-Text   عمل میکند.  بدین ترتیب که حتی کلمه عبور و تنظیمات سوئیچ و روتر به طور کامل قابل شنود و دسترسی است .

البته برطرف کردن این مشکل راه حلی دارد و آن استفاد از پروتکل  SSH یا Secure Shell است که اطلاعات را به صورت کد شده میان سرور و کلاینت رد و بدل میکند. . تنظیمات روتر و سوئیچ با استفاده از  Public Key  و Private Key  انجام می شوند .

تفاوت ها و شباهت های Telnet و SSH

  1. هر دوی پروتکل ها به صورت مشترک یک هدف را دنبال می کنند .
  2. SSH در مقایسه با Telnet بسیار ایمن تر است .
  3. SSH هنگام انتقال ترافیک ابتدا ترافیک را رمزنگاری می کند سپس ترافیک را ارسال می کند اما Telnet ترافیک را به همان شکل اصلی خود یا اصطلاحا Plane Text ارسال می کند که در صورتی که هکر ترافیک ارسالی بین مبدا و مقصد را دریافت کند می تواند این اطلاعات را به راحتی بخواند.
  4. SSH قادر است جهت عملیات تشخیص هویت از Public Key استفاده کند ولی Telnet این امکان را ندارد .

شکل رمز نگاری شده اطلاعات که توسط پروتکل SSH ارسال شده

SSH---Session ، راه اندازی SSH

SSH—Session

 

استفاده از پروتکل Telnet و عدم رمزنگاری اطلاعات

Telnet---session , راه اندازی SSH

Telnet—session

قبل از راه اندازی SSH می بایست از نسخه IOS ، سیستم عامل روتر و سوئیچ های سیسکو ، اطمینان حاصل کنید. در واقع، IOS می بایست سیستم Encryption مورد نیاز SSH را پشتیبانی کند. اگر“K9” در اسم فایل IOS  موجود باشد، شما قادر به راه اندازی آن می باشید .

برای کنترل نسخه IOS مورد استفاده بروی روتر یا سوئیچ از دستور  show version# استفاده کنید .

Press RETURN to get started.
Router>enable
Router#show version
Cisco IOS Software, 1841 Software (C1841-ADVIPSERVICESK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.

۱- -تنظیم Hostname روی Router یا Switch سیسکو (Hostname اسم دستگاه شما)

Press RETURN to get started.
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname RootLan
RootLan(config)#

۲-تعیین یک Domain Name برای اتصالات SSH (domain name نام دامین یا مجموعه شما خواهد بود)

Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RootLan(config)#ip domain-name RootLan.com
RootLan(config)#

۳-تعیین IP Address برای دسترسی از راه دور به ورتر یا سوئیچ سیسکو

حالا اگر از روتر استفاده می کنید باید به یکی از پورت های شبکه اترنت IP بدهید اما اگر از سوییچ استفاده می کنید چون سوئیچ یک دستگاه لایه ۲ ای می باشد و IP لایه ۳ است، باید یک اینترفیس مجازی Interface Vlan بسازیم و به آن IP تخصیص دهیم.

Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
rootlan(config)#interface vlan 1
rootlan(config-if)#ip address 192.168.1.1 255.255.255.0
rootlan(config-if)#no shutdown
rootlan(config-if)#
%LINK-5-CHANGED: Interface Vlan1, changed state to up

۴ -تعیین کلیدهای Crypto Key برای رمزنگاری اطلاعات در پروتکل SSH

(از آنجایی که SSH داده های ارسالی را رمزنگاری میکند نیاز است تا یک کلید (RSA Key) برای این کار تولید کنیم)
SSH برای Encrypt کردن ارتباط نیاز به یک کلید دارد. این کلید بوسیله روتر یا سوئیچ شما تولید و استفاده می شود. برای این کار می توانید از دستور crypto key generate rsa استفاده کنید. طول  کلید  تولید  شده  می تواند از ۳۶۰ تا۴۰۹۶  بیت متغیر باشد. هر چه طول کلید بیشتر باشد، امنیت بالاتر ولی Load بروی دستگاه بیشتر خواهد بود. به صورت پیش فرض ۵۱۲ بیت انتخاب می شود.مقدار ۵۱۲ طول پیشفرض کلید شماست، اگر امنیت بیشتری میخواهید از ۱۰۲۴ یا حتی مقدار بیشتری استفاده کنید. اگر ۵۱۲ انتخاب شماست کافی است اینتر را بزنید.

Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RootLan(config)#crypto key generate rsa
The name for the keys will be: RootLan.rootlan.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable…[OK]
RootLan(config)#
 ۵-تعریف یک کاربر و کلمه عبور به صورت Local
بر روی Router یا Switchبرای راه اندازی SSH نیاز  به  ساختن  یک User Account  بروی  روتر یا سوئیچ  دارید. برای این کار می توانید از دستور username در IOS سیسکو استفاده کنید.
Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RootLan(config)#username rootlan password cisco
RootLan(config)#exit

۶-فعال کردن SSH و Telnet بر روی پورت های VTY

لاین VTY در واقع درگاه مجازی برای ارتباطات مدیریتی روتر یا سوئیچ می باشد و Authentication جهت اتصال را به Local Database روتر یا سوئیچ که یک User Account بروی آن ساختید ارجاء دهید.

Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RootLan(config)#line vty 0 15
RootLan(config-line)#login local
RootLan(config-line)#
RootLan#

 ۷-تعیین نسخه ۲ پروتکل SSH
راه اندازی SSH بروی روتر یا سوئیچ، برای بالا بردن امنیت لازم است که نسخه SSH را به نسخه ۲ ارتقاء دهیم. برای ارتقاء نسخه SSH میتوان از دستور IP SSH Version 2 استفاده کرد. لازم به ذکر است برای راه اندازی نسخه ۲ SSH حداقل طول کلید را باید ۷۶۸ بیت انتخاب کرده باشید.

Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RootLan(config)#ip ssh version 2
RootLan(config)#

حال شما میتوانید از کامپیوتر مورد نظر در داخل شبکه به سوئیچ یا روتر کانفیگ شده خود توسط دستور زیر SSH بزنید . وارد محیط  Command Prompt میشوید و ابتدا IP که به سویچ و یا روتر اختصاص دادیم را PING میکنیم در صورت امکان PING موفق با دستور زیر به روتر و یا سوئیچ مورد تظر SSH میزنیم .

PC>ssh -l rootlan 192.168.1.1

Open

Password: cisco

rootlan#

منبع : www.thegeekstuff.com

لینک های مفید :

آموزش استاندارد ۸۰۲٫۱Q IEEE در سوئیچ های سیسکو

آموزش دستورات تنظیمات روتر و سوئیچ سیسکو

آموزش پرتکل مسیریابی BGP

گذاشتن پسورد برای Line Console

گذاشتن پسورد برای Line Console در سیسکو

/در /توسط

در این مقاله ست کردن پسورد برای Line Console در دستگاه‌ های سیسکو را بررسی خواهیم کرد . روش‌های مختلفی برای دسترسی به روتر و سوئیچ سیسکو وجود دارد. از پورت کنسول Console و پورت‌های مجازی Line Vty و سایر سطوح می‌توان استفاده کرد. قابلیت گذاشتن پسورد برای افزایش امنیت مورد بهره‌برداری قرار می‌گیرد .

دو راه کلی برای این تنظیم وجود دارد :

روش اول ست کردن پسورد برای پورت کنسول Console

هنگامی که login را تایپ می‌کنیم؛ رمز عبور خود Line Console به کار خواهد رفت.  فقط امکان قرار دادن یک پسورد وجود دارد. با هر تنظیم رمز عبور، این پسورد جایگزین پسورد قبلی می‌شود .

Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RootLan(config)#line console 0    **
RootLan#password rootlan
RootLan#login
RootLan#exit

لاین کنسول یک عدد بیشتر نیست ولی سیسکو عادت به وارد کردن شماره دارد و شماره‌ها از صفر آغاز می‌شوند. برای همین مجبور به وارد کردن شماره بعد از دستور هستیم .

در صورتی که قصد دارید password را برای Line Console حذف کنید، در Line Console عبارت no password را تایپ کنید .

Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RootLan(config)#line console 0
RootLan(config-line)#no password
RootLan(config)#exit

روش دوم ست کردن پسورد برای Line Console با استفاده از Local

در این روش ما ابتدا username و password می‌سازیم و سپس به Line Console می‌گوییم کلمه و رمز عبور را از local سیستم تایید کند. هنگامی که قصد داریم برای هر کارمند یک username و password برای ورود به Line Console ایجاد کنیم از این روش استفاده می‌کنیم .

توجه داشته باشید که در روش اول، ابتدا به Line Console وارد می‌شویم و سپس رمز عبور ست می‌کنیم. اما در مرحله دوم User Name و Password را ایجاد می‌کنیم و بعد وارد Line Console شده و login local را می‌زنیم .

Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RootLan(config)#username rootlan password cisco
RootLan(config)#exit
Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RootLan(config)#line console 0
RootLan(config)#login local
RootLan(config)#exit

اگر بخواهیم بخشی را که username و password درخواست می‌کند حذف کنیم، در Line Console عبارت no Login Local را تایپ می‌کنیم. چنان‌چه Show run بگیریم، با این‌که می‌توانیم نام کاربری و رمز عبورهای ست شده را ببینیم، اما در صورت برگشت به نقطه اول جهت ورود، دیگر User Name و Password را نمی‌خواهد .

جهت غیرفعال کردن نیز به ابتدای همان محلی که Login یا Login Local را وارد می‌کردیم، یک No اضافه می‌کنیم .

Press RETURN to get started.
RootLan>enable
RootLan#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RootLan(config)#line console 0
Switch(config-line)#no login local
RootLan(config)#exit

منبع : community.cisco.com

[su_box title=”حتما بخوانید:” style=”soft” box_color=”#1753ff” radius=”0″]( ISL ) پروتکل انحصاری شرکت سیسکو

راه اندازی SSH در سوئیچ ها و روتر های سیسکو
[/su_box]

استاندارد 802.1Q IEEE

استاندارد 802.1Q IEEE در سوئیچ های سیسکو

/در /توسط

روش ISL چند سالی است که به وسیله استاندارد 802.1Q IEEE جایگزین شده است.مزیت این استاندارد جدید آنست که بین تولید کنندگان مختلف شرکت بوده و همه دستگاه های مختلف که توسط آنان تولید می شوند از این استاندارد پشتیبانی می کنند.در حالیکه ISL را می توان فقط در دستگاه های سیسکو بکار برد.

بنابراین می توان از دستگاه هایی با مارک های مختلف بدون نگرانی در مورد اتصالات Trunk استفاده نمود.برخلاف روش ISL که تمامی فریم های Ethernet را همیشه Tag می نمود، این استاندارد دو روش را پیش می گیرد.

یکی اینکه فریم های Ethernet بدون اینکه تغییری روی آنها اعمال شود ، ارسال میشوند. یعنی این فریم ها Tag نشده و بنابراین اطلاعاتی در مورد VLAN با خود انتقال نمی دهند. در این وضعیت، عضویت در یک VALN خاص به وسیله پورت ها تعیین خواهد شد. مثلا هر دستگاهی که به یک پورت مخصوص اتصال داشته باشد، عضو یک VLAN خاص خواهد بود.

به این نوع از VLAN ها اصطلاحا Native VLAN گفته می شود. روش دیگر هم این است که سوئیچ تمامی فریم ها را Tag کرده ، و فقط دستگاه هایی که از استاندارد 802.1Q IEEE استفاده می کنند قادر به پردازش آنها می باشند. یکی دیگر از مزیت های این استاندارد این است که، هر دوی فریم های Tagged و Untagged بطور همزمان می توانند در داخل یک ارتباط Trunk قرار داشته باشند. که این را می توان در شکل زیر مشاهده نمود.

استاندارد 802.1Q IEEE

802.1Q-Trunk

در این شکل VLAN ای که به شکل خطوط سبز نشان داده شده و شامل دستگاه هایA,B,E و F می شود . از فریم های Tagged در حین اتصال Trunk بین سوئیچ A و B استفاده می کند. تمامی دستگاه هایی که به این VALN اتصال دارند . باید قابلیت استفاده از 802.1Q را داشته باشند تا توانایی خواندن اطلاعات مربوط به VLAN موجود در فریم Tagged را داشته باشند تا توانایی خواندن اطلاعات مربوط به VLAN موجود در فریم Tagged را داشته باشند .

همچنین کامپیوتری به نام G نیز توسط یک Hub به دو سوئیچ وصل شده است .

استاندارد 802.1Q IEEE

این دستگاه دارای کارت شبکه استاندارد بوده و در نتیجه متوجه فریم های Tagged نشده و آنها پردازش نخواهد کرد . اما کامپیوتر G عضو VLAN دیگر است که با خطوط قهوه ای مشخص شده و کامپیوتر های C و D نیز همان VLAN هستند .

برای اینکه دستگاه های فوق بتوانند با همدیگر ارتباط برقرار نمایند ، اتصال Trunk برقرار شده بین سوئیچ های A و B باید قادر به انتقال فریم های Untagged نیز باشد تا دستگاه G نیز بتوانند از اطلاعات ارسالی استفاده کند . در نتیجه اتصال Trunk ایجاد شده بین سوئیچ A و B باید هر دو نوع فریم های Tagged و Untagged را به صورت همزمان از خود عبور بدهد .
یکی از محدودیت هایی که در 802.1Q وجود دارد این است که همه دستگاه های موجود در هر دو طرف اتصال باید از یک نوع فریم( Tagged یا Untagged ) استفاده نمایند .

در قسمت های قبلی اشاره گشت که روش Tagging اضافه کرده و فریم اصلی Ethernet مابین این دو قرار می گیرد . اما رو شکار در 802.1Q بدین صورت است که یک فیلد ۴ بایتی به نام Tag در داخل خود فریم Ethernet جاسازی شده و FCS فریم از اول محاسبه خواهد شد . بنابراین فریم اصلی Ethernet تغییر خواهد یافت .

۲ بایت اول فیلد Tag برای مشخص کردن پروتکل مورد استفاده قرار می یگرد.برای مثال فریم های Ethernet از عدد ۸۱۰۰x0 استفاده می کنند .۳ بیت بعدی برای شماره گذاری خود فریم مورد استفاده قرار گرفته و یک بیت بعدی نیز شناسه Token Ring می باشد . سر انجام ۱۲ بیت آخری نیز برای مشخص کردن VLAN ها کاربرد دارد .

شکل زیر نشان دهنده مراحلی است که طی آن ،یک فریم استاندارد Ethernet حین عملیات Tagging تغییر می یابد .

802.1Q- Tagging , استاندارد 802.1Q IEEE

802.1Q- Tagging

همانطوریکه میبینید، مرحله اول، یک فریم استاندارد Ethernet را نمایش می دهد، که در مرحله دوم فیک فیلد به نام Tag در داخل آن جاسازی شده و FCS آن دوباره محاسبه خواهد شد .

همچنین فیلد Tag بعد از فیلد حاوی آدرس MAC گیرنده قرار می گیرد .

یکی ازمزیت های دیگر استفاده از این روش آنست که با جاسازی ۴ بایت در داخل فریم Ethernet ، اندازه کلی فریم معمولا از ۱۵۱۸ بایت فراتر نخواهد رفت و بنابراین می توان این فریم ها را از طریق اتصالات Link Access نیز ارسال نمود .

جهت کسب اطلاعات از قیمت سوئیچ سیسکو ، روی عبارت مورد نظر کلیک فرمایید .

منبع : www.cisco.com

لینک های مفید :

آموزش راه اندازی SSH در سوئیچ ها و روتر های سیسکو

آموزش ( ISL ) پروتکل انحصاری شرکت سیسکو

( ISL ) پروتکل انحصاری شرکت سیسکو

( ISL ) پروتکل انحصاری شرکت سیسکو

/در /توسط

 پروتکل ISL انحصاری شرکت سیسکو :

یکی ازروش هایی که سیسکو برای عملیات Tagging در اتصالات Trunk مورد استفاده قرار می دهد روش پروتکل ISL است. این روش در محیط های Ethernet و نیز Ring Token مورد استفاده قرار می گیرد.اما به دلیل اینکه امروز استفاده از Token Ring محدود شده است، این روش فقط در محیط های Ethernet بکار می رود.

بجز چند استثنا تمامی سوئیچ ها و روتر های سیسکو که از Trunking پشتیبانی می کنند،قابلیت استفاده از ISL را نیز دارا هستند.سوئیچ های قدیمی تری مثل۴۰۰۰ Catalyst فقط ازروش ۸۰۲٫۱ Q استفاده می کنن.برای چنین سوئیچ هایی ،Interface های موجود در روی آنها باید توانایی ارسال و دریافت اطلاعات با سرعت حداقل ۱۰۰ مگابات بر ثانیه را داشته باشد.

این Interface ها شامل Fast Ethernet و Gigabit Ethernet می شوند. علاوه بر این سوئیچ ها باید دارای ASIC های مخصوصی برای انجام عملیات Tagging نیز باشند. در یاد داشته باشید که برخی از Interface هایی که از Fast Ethernet استفاده می کنند، ممکن است از ISL پشتیبانی نکنند. بنابراین قبل از خرید سوئیچ ها و روتر ها همیشه از امکانات دستگاه و پشتیبانی آنها از اتصالات Trunk آگاهی لازم را کسب نمائید.

قسمت بالای شکل زیر مثالی از  پروتکل ISL را نشان می دهد.

پروتکل ISL فریم اصلی Ethernet را بوسیله افزودن ۲۶ بایت به اول و ۴ بایت به آخر فریم اصلاح کرده، و بنابراین فریم اصلی در بین Header و Trailer آن قرار خواهد گرفت.

با توجه به اینکه حداکثر اندازه فریم Ethernet برابر با ۱۵۱۸ بایت می باشد. با افزوده شدن ۳۰ بایت توسط ISL به فریم Ethernet اندازه آن از مقدار استاندارد بیشتر شده و بنابراین دستگاه هایی که دارای کارت شبکه استاندارد هستند، این فریم را یک فریم Giant (یعنی بزرگتر از استاندارد ) تشخیص داده و فریم را از بین می برند. حتی اگر اندازه فریم بزرگتر از ۱۵۱۸ بایت هم نشود،باز هم کارت های شبکه استاندارد،قادر به پردازش Header و Trailer افزوده شده نخواهند بود.

حالا مفهوم این حرف را که در اتصالات نوع Access link ،سوئیچ ها برای ارسال اطلاعات همیشه Header و Trailer را حذف کرده و سپس اقدام به ارسال فریم ها می کنند درک می کنید.سوئیچ ۱۹۰۰ فقط از پروتکل ISL وسوئیچ ۲۹۵۰ فقط از Q1. 802 پشتیبانی می کنند . در جدول زیر قسمت های مختلف Header مربوط به ISL شرح داده شده اند..

Destination MAC Adrdress: DA : نشان دهنده آدرس MAC دستگاه گیرنده پیام می باشد.

Type : نشان دهنده نوع فریم انکپسوله شده میباشد . مانند Eternet و ATM و Token Ring و FDDI

User : نشان دهنده میزان اولویت Priority مربوط به فریم میباشد.

SA : Source MAC Address : شامل آدرس MAC دستگاه فرستنده میباشد.

Length : سایز کلی فرم ISL که شامل قسمت Header و قسمت Trailer و فریم انکپسوله شده میباشد را بیان مینماید.

SNAP : اگر فریم ISL حاوی این فیلد باشد نشان دهنده این است که این فریم از نوع IEEE SNAP 2.802LLC میباشد.

VLAN Identifier : این فیلد شامل ۱۵ بیت بوده که ۱۰ بیت آن نشان دهنده شماره VLAN مورد استفاده میباشد با این تعداد بیت میتوان حداکثر ۱۰۲۴ عدد VLAN را شماره گذاری نمود.

BPDU : این فیلد در صورت وجود نشان دهنده این است که فریم مزبور از نوع BPDU STP و یا CDP میباشد.

Index : شامل شماره پورت میگردد

Reserved : این قسمت یک فیلد رزرو شده بوده و در حال حاضر استفاده نمیگردد

امنیت VLAN و Trunk

امنیت VLAN و Trunk در سوئیچ های سیسکو

/در /توسط

امنیت VLAN و Trunk

درست است که VLAN  ها از یک جنبه­ هایی امنیت را فراهم می­کنند مثلاً با جدا کردن ترافیک بخش­ های مختلف از هم، به طوری که یک بخش قادر به مشاهده ترافیک بخش دیگر نباشد؛ اما از لحاظ دیگر می­ توانند امنیت شبکه را دچار مشکل کنند.
یکی از مهمترین مشکلات وجود VLAN1 است که به صورت پیش فرض در هـمه سوئیچ­ها به عنوان native VLAN تعبیه شده است و پیام­هایی که از این VLAN صادر می­شود برچسب نخواهند خورد. و همین امر باعث می­شود که کلیه پیام­های VLANهای ۱ به راحتی قابل شنود باشند. دلیل بعدی آن همان طور که گفتیم ترافیک بین سوئیچ­ها از طریق ترانک­ها و توسط پروتکل­های ترانکینگ ISL و Q 802.1 کنترل می شوند.

این پروتکل­ها تنها از طریق Header بسته­ های رسیده از VLAN ها به وظایف خود عمل می­کنند. حالا یک مهاجم از ترکیب این دو ویژگی می­تواند به هر کدام از VLAN ها که خواست دسترسی داشته باشد.

چگونه؟ مهاجم بسته خارج شده از VLAN1 را که به راحتی قابل شنود است، و بسته بندی هم نشده است، بسته بندی می­کند و Header خود را به آن اضافه می­کند!

پروتکل­های ترانکینگ با بسته ه­ایی سر و کار دارند، که هدر داردو مامور است ومعذور که پیام را به سوئیچ مربوطه برساند !

اما چگونه می توان جلوی این موضوع را گرفت؟

بهترین کار این است که تمامی پورت­ها و ترانک­ها را از VLAN1 خارج کنیم و تا آنجا که می­توانیم از این VLAN استفاده نکنیم، در عوض VLAN دیگری را به عنوان native VLAN تعریف کنیم. اگر پروتکل­هایی داریم که تنها باید از VLAN1 استفاده کنند سعی کنیم که VLAN1 نهایت امنیت را به کار ببریم .

امنیت VLAN و Trunk

مورد بعدی اینکه تمام پورت­هایی که در یک سوئیچ بلا استفاده هستند را خاموش (shut down) کنیم، باید توجه داشت که حتی disable کردن هم امن نیست چرا که امکان Enable کردنش وجود خواهد داشت و سپس این پورت­های بلااستفاده را در یک VLAN جداگانه قرار دهید و آن VLAN را به هیچ VLAN دیگری ارتباط ندهید. به این VLAN ها اصطلاحاً Parking lot VLAN می­گویند!

اگر یک سری از پورت­ها خیلی مهم حیاتی هستند آن­ها را از سایر پورت­ها جدا کرده و در یک VLAN جداگانه­ی امن، نگهداری کنید. اگر نسبت به یک سری از کاربران مشکوک هستید، آن­ها را در VLAN های جداگانه­ای قرار بدهید. پروتکل DTPرا که امکان ترانک کردن یک پورت در صورت نیاز را مهیا می­کرد، غیر فعال کنیم، چرا که این کار می­تواند توسط یک هکر صورت گیرد!

روی سوئیچ­ها پسورد بگذارید. از سیاست­های port security استفاده کنید .

جهت فروش سوئیچ سیسکو ، روی عبارت مورد نظر کلیک کنید .

منبع : آقای اکرمی و www.orbit-computer-solutions.com

لینک های مفید :

مفهوم VLAN Trunking در سوئیچ های سیسکومفهوم پایه VLAN در سوئیچ های سیسکو

VLAN Trunking

مفهوم VLAN Trunking در سوئیچ های سیسکو

/در /توسط

مفهوم VLAN Trunking

اگر VLAN در شبکه هایی که با چندین سوئیچ به هم وصل شده اند استفاده شود ، برای بخش های بین سوئیچ بایستی که از VLAN Trunking استفاده کنیم . به عبارت ساده تر وقتی روی سوئیچ ها VLAN تعریف می کنیم، سوئیچ ها را از طریق ترانک به هم وصل می کنیم. بنابراین در مورد مثال دانشکده IT و MBA نیز بایستی که بین سوئیچ ها از VLAN Trunking استفاده کنیم. تا سوئیچ دانشکده فیزیک بتواند با VLAN خود در سوئیچ دانشکده IT در ارتباط باشد.

VLAN Trunking

VLAN-Trunking

اما بسته ای که از سوئیچ دانشکده فیزیک خارج می شود از کجا مشخص می شود که به سمت کدام VLAN باید برود؟

VLAN Tagging

VLAN Trunking باعث می شود که سوئیچ ها از فرآیندی استفاده کنند که VLAN Tagging (برچسب زدن VLAN) نامیده می شود. همان طور که از نام این فرآیند مشخص است، VLANها برچسب گذاری می شوند، تا هویت بسته های ارسالی و دریافتی مشخص باشد و سوئیچ ها بدانند کدام فریم متعلق به کدام VLAN می باشد.

در حقیقت وقتی بسته ای می خواهد که از پورت ترانک سوئیچی خارج گردد، سوئیچ به آن بسته یک برچسب می زند، که در آن برچسب شمارهVLAN یا (VLAN ID) که این بسته به آن تعلق دارد را قرار میدهد تا از این طریق سوئیچهای دیگر متوجه شوند که بسته دریافتی به کدام یکی از VLANهایشان مربوط است.

اما سوئیچها چگونه VLAN ID را پیدا می کنند؟ برای این کار طبق یک استاندارد، سوئیچ قبل از اینکه فریم را به سوئیچ دیگری ارسال کند، یکHeader را به فریم اضافه می کند که VLAN ID در آن Header قرار می گیرد. بنابراین سوئیچ وقتی فریمی را دریافت میکند اول Header آن را برای پیدا کرده و VLAN ID آن را چک می کند تا بداند بسته به کدام یکی از VLAN ها تعلق دارد.

Trunking VLAN به چه صورت در سوئیچ ها ایجاد می شود؟ برای این کار کافی است از یکی از پورت های سوئیچ استفاده کنیم و به تنظیمات پیکربندی سوئیچ رفته و آن پورت را به TRUNK اختصاص دهیم. با اینکار سوئیچ میتواند از VLAN Trunking استفاده کند.

VLAN-Trunking

فقط به یاد داشته باشید که اگر سوئیچ پورت TRUNK داشته باشد، ترافیک دریافتی از VLAN های آن را به تمام پورتهای TRUNK نیز ارسال میکند به جز در مورد حالتی خاص که در مورد آن بحث خواهیم کرد.

شکل زیر سعی دارد TRUNK را روشن تر بیان نماید.

در این شکل PC 3 در VLAN2 قصد دارد که پیامی را به صورت Broadcast ارسال کند. سوئیچ این پیام را به سایر کامپیوترهایی که با کامپیوتر ارسال کننده در یک Broadcast Domain هستند می رساند، در ادامه کار، سوئیچ می بایست این فریم را به پورت ترانک خود نیز ارسال کند تا اگر در سایر سوئیچ ها هم VLAN2 باشد، این پیام به آن ها نیز برسد. اما قبل از اینکه فریم از سوئیچ خارج شود و روی ترانک قرار گیرد، می بایست به فریم برچسب بزنیم! این کار را با اضافه کردن Header به فریم و قرار دادن شماره VLAN ارسال کننده فریم توسط سوئیچ انجام می گیرد.

VLAN Trunking

Access-and-Trunk-Interfaces

انواع پروتکل های ترانکینگ

پیش تر گفتیم سوئیچ Headerهایی را به فریم ها اضافه می کند. اما این Header چه شکل و قالبی خواهد داشت و چگونه تعریف خواهند شد؟

شکل و قالب این Header توسط پروتکل های ترانکینگ تعریف می شود. به طور کلی دو نوع پروتکل ترانکینگ داریم که یکی خاص منظوره (Inter Switch Link = ISL) که توسط شرکت سیسکو و تنها برای سوئیچ های سیسکو تعریف گردیده و دیگری عام منظوره (۸۰۲٫۱Q) که توسط IEEE برای عموم سوئیچ ها طراحی شده است. در حقیقت پروتکل ISL خیلی قبل تر از پروتکل۸۰۲٫۱Q طراحی شده بود و تنها به منظور استفاده در سوئیچ های سیسکو می باشد؛ اما این پروتکل دیگر حتی در بعضی از سوئیچ های جدید سیسکو نیز پشتیبانی نمی شود! همچنین پروتکل ISL تنها بین دو سوئیچ سیسکو که از پروتکل ISL پشتیبانی می کنند قابل استفاده است.

هر کدام از این پروتکل ها قالب خاص خود را برای تعریف Header دارند.

هر دو پروتکل  از شماره VLAN های یکسـان استفاده می کنند یعنی هر دو از شماره پروتکل ۱۲ بیتـی برای VLAN ID استفاده می کنند که منجر به ۲-۲۱۲ شماره مختلف می شود. (شماره های ۰ و ۴۰۶۵ در نظر گرفته نمی شوند )

توجه داشته باشید که ID های ۱ تا ۱۰۰۵ به عنوان رنج نرمال و ID های بالاتر از آن برای برای VLAN های گسترش یافته استفاده می شود. یک تفاوت خیلی مهم بین پروتکل ISL و ۸۰۲٫۱Q استفاده از ویژگی ای به نام Native VLAN است که فقط پروتکل۸۰۲٫۱Q از آن پشتیبانی می کند .

Native VLAN

روی هر سوئیچ به صورت پیش فرض یک VLAN تعریف شده که تمام پورت های سوئیچ به آن VLAN اختصاص داده شده اند شماره این VLAN همیشه ثابت و برابر ۱ است و به آن native VLAN می گویند. مثلا اگر سوئیچی ۲۶ عدد پورت داشته باشد در ابتدا تمام این ۲۶ پورت در انحصار VLAN 1 است، وقتی شما VLAN 2 را تعریف می کنید می توانید تعدادی از این پورت ها را به VLAN 2 اختصاص دهید که در آن صورت دیگر از انحصار VLAN 1 خارج می شوند. یادتان باشد که شما نمی توانید شماره این VLAN را تغییر دهید و یا آن را حذف کنید و در ضمن همیشه شماره VLAN های شما از ۲ شروع می شود.

۸۰۲٫۱Q از native VLAN استفاده ای مفید می کند، ۸۰۲٫۱Q به فریم هایی که از VLAN 1 یا همان native VLAN می آیند Header اضافه نمی کند و نتیجه این می شود که فریم بی Header به دست سوئیچ دیگری می رسد. سوئیچ دیگر هم وقتی که متوجه شد که فریم Header ندارد می فهمد که این فریم از یک Native VLAN به دستش رسیده و او نیز این فریم را به Native VLAN خود ارسال می کند.

این کار باعث می شود که اگر به سوئیچی متصل شدیم که پروتکل های تراکینگ در آن تعبیه نشده است باز هم بتوانیم عمل انتقال فریم ها را انجام دهیم، چرا که پروتکل های تراکینگ Headerی به فریم اضافه می کنند که باعث می شود فریم اصلی درون این Header کپسوله شود و برای سوئیچی که پروتکل های تراکینگ در آن تعبیه نشده است فریم نامفهوم می شود ولی این Header در Native VLAN وجود ندارد و به این ترتیب می توانیم با سوئیچ بدون TRUNK ارتباط برقرار کنیم.

در حقیقت Native VLAN برای سوئیچ هایی که حداقل قابلیت عبور ترافیک و آن هم تنها برای یک VLAN را دارند کاربرد دارد. دلیل دوم اینکه پروتکل هایی نظیر CDP، STP ، VTP، PagP و… وجود دارند که تنها برای عبور از VLAN 1 تنظیم شده اند.

برای بالا بردن امنیت در VLAN ها می توانیم VLAN 1 را نادیده بگیریم و VLAN دیگری را به عنوان Native VLAN برای سوئیچ ها تعریف کنیم، فقط نکته قابل توجه این است که Native VLAN بایستی که برای همه سوئیچ¬ها تعریف شده باشد و همه قبول داشته باشند که مثلاً VLAN30 یک Native VLAN است.

بیایید فرض کنیم که سه عدد سوئیچ داریم که هر کدام بایستی پورت هایی داشته باشند که به VLAN ای با شماره ۳ اختصاص دارد، برای تعریف این VLAN بایستی که برای هر سوئیچ به قسمت تنظیمات پیکربندی آن رفته و VLAN شماره ۳ و نام آن را تعریف کنیم و اگر احتمالاً مجبور شدیم که نام یک VLAN را عوض کنیم بایستی که این تغییر نام را بر روی تک تک سوئیچ ها اعمال کنیم. مطمئناً برای سه سوئیچ کار چندان سختی نخواهد بود، اما اگر ۲۰۰ عدد سوئیچ داشتید این قضیه به چه شکل خواهد بود، برای رفع این مشکل از پروتکلی به نامVTP استفاده می کنیم .

جهت خرید سوئیچ سیسکو ، روی عبارت مورد نظر کلیک کنید .

منبع : آقای اکرمی و www.orbit-computer-solutions.com

لینک های مفید :

مفهوم پروتکل VTP در سوئیچ های سیسکومفهوم پایه VLAN در سوئیچ های سیسکو