نوشته‌ها

کاربردها و انواع فایروال - Firewall

کاربردها و انواع فایروال

کاربردها و انواع فایروال

کاربردها و انواع فایروال: فایروال یا دیواره آتش مانع انتقال از قسمتی به قسمت دیگر می‌شود. به ‌طور کلی یک فایروال اطلاعاتی را که بین کامپیوترها و اینترنت انتقال پیدا می‌کند، کنترل خواهد کرد.

فایروال چیست؟

فایروال از کامپیوتر شما در مقابل ترافیک و دسترسی افراد دیگر به آن محافظت می‌کند. روش کار کلی فایروال به این ترتیب است که اجازه می‌دهد ترافیک سالم عبور کند و در مقابل ترافیک ناسالم می‌ایستد. یکی از مهم‌ترین بخش‌های فایروال خصوصیت کنترل دستیابی آن است که ترافیک سالم و ناسالم را از یکدیگر متمایز می‌کند.

فایروال NAT ساده

فایروال‌هایی که برای broadband router ها به وجود آمده‌اند و نرم‌افزارهایی مانند Microsoft ICS فایروال‌های بسیار ساده‌ای هستند. این فایروال‌ها شبکه را با جلوگیری از ارتباط مستقیم هر کامپیوتر با کامپیوترهای دیگر محافظت می‌کند. در این نوع فایروال‌ها تقریبا هیچ هکری نمی‌تواند آسیب بزند. امکان دارد که هکرهای حرفه‌ای موفق شوند از این فایروال‌ها عبور کنند؛ اما تعداد آن‌ها کم و احتمال آن نیز ضعیف است.

فایروال‌هایی با ویژگی stateful packet inspection

نسل جدید فایروال‌های خانگی stateful packet inspection نامیده می‌شوند. این‌ یک نوع پیشرفته از فایروال است که هر بسته اطلاعاتی را که از فایروال عبور کند بررسی می‌کند. فایروال، هر پکت اطلاعاتی را برای ردیابی هر نوعی از هک اسکن می‌کند. بسیاری از افراد هیچ‌وقت با این نوع حمله‌ها برخورد نمی‌کنند اما مناطقی در اینترنت هست که بیشتر مورد حمله هکرهای حرفه‌ای قرار می‌گیرند.

کاربردهای پراهمیت یک فایروال قوی و مناسب

توانایی ثبت و اخطار

ثبت وقایع یکی از مشخصه‌های بسیار مهم یک فایروال به‌حساب می‌آید و به مدیران شبکه این امکان را می‌دهد که انجام حملات را زیر نظر داشته باشند. همین‌طور مدیر شبکه قادر است با کمک اطلاعات ثبت‌شده به کنترل ترافیک ایجادشده توسط کاربران مجاز بپردازد.

در یک روش ثبت مناسب، مدیر می‌تواند به‌آسانی به بخش‌های مهم از مطالب ثبت‌شده دسترسی پیدا کند. همین‌طور یک فایروال خوب علاوه بر ثبت وقایع، باید بتواند در شرایط بحرانی، مدیر شبکه را از اتفاقات مهم باخبر و برای او اخطار ارسال کند.

بازدید حجم بالایی از بسته‌های اطلاعات

از ویژگی‌های مهم یک فایروال، قادر بودن آن در بازدید حجم بالایی از بسته‌های اطلاعاتی بدون کم شدن قابل‌توجه از کارایی شبکه است. حجم داده‌ای که یک فایروال قادر است کنترل کند برای شبکه‌های مختلف متفاوت است ولی یک فایروال به طور قطع نباید به گلوگاه شبکه تحت محافظتش تبدیل شود.

دلایل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیت‌ها از طرف سرعت پردازنده و بهینه‌سازی کد نرم‌افزار بر کارایی فایروال تحمیل می‌شوند. از عوامل محدودکننده دیگر می‌تواند کارت‌های واسطی باشد که بر روی فایروال نصب می‌شوند. فایروالی که برخی از امور مانند صدور اخطار، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت‌شده را به نرم‌افزارهای دیگر می‌دهد از سرعت و کارایی بیشتر و بهتری برخوردار است.

سادگی پیکربندی

سادگی پیکربندی مانند امکان راه‌اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است. در حقیقت خیلی از مشکلات امنیتی که دامن‌گیر کامپیوترها می‌شود به پیکربندی اشتباه فایروال مربوط می‌شود. پس پیکربندی سریع و آسان یک فایروال، امکان به وجود آمدن خطا را کم می‌کند. به طور مثال امکان نمایش گرافیکی معماری شبکه یا ابزاری که قادر باشد سیاست‌های امنیتی را به پیکربندی ترجمه کند، برای یک فایروال بسیار اهمیت دارد.

منبع: نت ست

هشدار آسیب‌پذیری بحرانی در LIBSSH در تجهیزات سیسکو

هشدار آسیب‌پذیری بحرانی در LIBSSH در تجهیزات سیسکو

هشدار آسیب‌پذیری بحرانی در LIBSSH در تجهیزات سیسکو :به تازگی یک ‫آسیب‌پذیری بحرانی به شماره CVE-2018-10933‬ در ‫libssh شناسایی شده که حاکی از عملکرد نادرست احراز هویت نرم‌افزاری در سمت سرور است.

Libssh مجموعه کدمورداستفاده دربسیاری ازمحصولات برای امنیت و احراز هویت در انتقال فایل، اجرای برنامه از راه دور و … است.

مهاجمان می‌توانند با سوء‌استفاده از این آسیب‌پذیری، فرایند احراز هویت را دور بزنند و وارد تجهیزات آسیب‌پذیر شوند. بنابر مستندات موجود، این آسیب‌پذیری در محصولات مبتنی بر سیستم‌عامل لینوکس که از libssh نسخه ۰.۶ و بالاتر به عنوان سرور ssh استفاده می‌کنند نیز وجود دارد.

این آسیب‌پذیری در نسخه‌های ۰.۷.۶ و ۰.۸.۴ libssh رفع شده است و به روزرسانی مربوطه در انواع سیستم‌عامل‌های لینوکس ازجمله Debian ،Ubuntu ،SUSE و … در دسترس هستند. متاسفانه مشاهدات اخیر در فرایندهای امدادی حاکی از وجود این آسیب‌پذیری در محصولات ‫سیسکو است که کاربردی گسترده در فضای سایبری کشور دارند.

احتمال وجود این آسیب‌پذیری در محصولات سیسکو در روزهای گذشته به تایید شرکت سیسکو نیز رسیده‌است. سیسکو همچنان در حال بررسی وجود این آسیب‌پذیری در محصولات مختلف خود است و تاکنون هیچ فهرستی از انواع تجهیزات آسیب‌پذیر و وصله‌های امنیتی و به‌روزرسانی‌های لازم از سوی شرکت سیسکو برای رفع مشکل ارائه نشده‌است.

آسیب‌پذیری بحرانی در LIBSSH در تجهیزات سیسکو

جزییات این آسیب‌پذیری و اطلاعات بیش‌تر درخصوص محصولات آسیب‌پذیر و وصله‌های امنیتی‌ در وب‌سایت سیسکو در حال به‌روزرسانی است.

برای جلوگیری از هرگونه سوء‌استفاده از این آسیب‌پذیری به مدیران شبکه توصیه می‌شود با استفاد از لیست‌های کنترل دسترسی امکان اتصال از راه دور به تجهیزات را به آدرس‌های داخلی محدود کنند و در صورت مشاهده هرگونه علایم مشکوک، مراتب را به مرکز ماهر اطلاع دهند. همچنین توصیه می‌شود که در صورت ارائه فهرست تجهیزات آسیب‌پذیر و ارائه به‌روزرسانی از سوی شرکت سیسکو سریعا نسبت به نصب آن اقدام کنند.

اطلاعات تکمیلی در رابطه با این موضوع متعاقبا ارائه خواهدشد.

 

هشدار آسیب‌پذیری بحرانی در LIBSSH در تجهیزات سیسکو

منبع خبر : پایگاه خبری امنیت فناوری اطلاعات

 

رفع آسیب پذیری های جدید سیسکو

آموزش روش های ایمن سازی تجهیزات سیسکو

تعویض پورت پیش فرض تلنت در روتر سیسکو

پیاده سازی Protected Port در سوئیچ سیسکو

پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو

رفع آسیب پذیری سیسکو خرید سوئیچ سیسکو سیستم افزار خاورمیانه

رفع آسیب پذیری های جدید سیسکو

رفع آسیب پذیری های جدید سیسکو

رفع آسیب پذیری های جدید سیسکو: سیسکو برای ۱۷ آسیب‌ پذیری جدید در محصولات خود، وصله‌ی امنیتی عرضه کرده است. کمپانی سیسکو اواسط ماه اکتبر، ۱۷ آسیب‌ پذیری را اصلاح کرد که یک مورد از این آسیب‌پذیری‌ها بحرانی و ۸ مورد آن درجه حساسیت بالا است. سایر آسیب‌پذیری‌ها دارای درجه حساسیت متوسط هستند.

جزئیات این آسیب‌پذیری‌ها یا Vulnerabilities در جدول زیر ارایه شده است:

رفع آسیب پذیری سیسکو خرید سوئیچ سیسکو سیستم افزار خاورمیانه

رفع آسیب پذیری سیسکو خرید سوئیچ سیسکو سیستم افزار خاورمیانه

رفع آسیب پذیری سیسکو خرید سوئیچ سیسکو سیستم افزار خاورمیانه

رفع آسیب پذیری های جدید سیسکو

منبع: پایگاه خبری امنیت فناوری اطلاعات

شناسایی آسیب پذیری zero-day در Win32

شناسایی آسیب پذیری zero-day در Win32

شناسایی آسیب پذیری zero-day در Win32 :با وجودیک آسیب‌پذیری ارتقای سطح دسترسی درویندوز،وقتیWin32نمی‌تواندبه اشیاء داخل حافظه رسیدگی کند،نفوذگرمی‌تواندکددلخواه را درسطح هسته اجراکند.

متخصصان امنیت، ‫آسیب‌پذیری ‫zero-day جدیدی در سیستم عامل ‫ویندوز کشف کرده‌اند. این نقص، هنگام بررسی نفوذ برخی مهاجمان و درحالی کشف شده‌است که فرد نفوذگر سعی داشت از طریق یک آسیب‌پذیری ناشناخته در سیستم عامل ویندوز به شبکه هدف حمله کند.

تحلیل‌های انجام شده بیشترحول کتابخانه‌ای به نام win32.sysبوده‌است که درواقع فایل مربوط به درایورWin32محسوب می‌شود.

متن منتشر شده مایکروسافت بدین شرح است:

«یک آسیب‌پذیری ارتقای سطح دسترسی (elevation of privilege) در ویندوز وجود دارد به‌طوری که وقتی Win32 نمی‌تواند به اشیاء داخل حافظه رسیدگی (handle) کند، فرد نفوذگر با استفاده از این آسیب‌پذیری قادر به اجرای کد دلخواه در سطح هسته (kernel mode) خواهدبود.

در صورت استفاده صحیح، مهاجم قادربه نصب نرم‌افزارها،مشاهده،تغییرویاحذف اطلاعات ویاحتی ایجاداکانت جدیدبا اختیارات کامل است.

شناسایی آسیب پذیری zero-day در Win32

برای استفاده از این آسیب‌پذیری، مهاجم ابتدابایددرداخل سیستم وارد(log on)شودوسپس یک برنامه مخصوص وازپیش طراحی‌شده رااجراکندتاکنترل سیستم موردنظررابه دست گیرد.»

از لحاظ جغرافیایی، بیشتر حملات به کامپیوترهای خاورمیانه صورت گرفته‌است که نشان‌دهنده حملات هدفمند (targeted attack) است.

مایکروسافت یک به‌روزرسانی امنیتی را به‌صورت اضطراری منتشر و از همه کاربران درخواست کرده‌است که در اولین فرصت ممکن سیستم‌های خود را به‌روزرسانی کنند. این آسیب‌پذیری روز ۹ اکتبر ۲۰۱۸ شناسایی شد و درجه ریسک آسیب‌پذیری بالاست، اما به دلیل نبود کد مخرب به‌صورت عمومی و ارائه وصله توسط مایکروسافت، متوسط در نظر گرفته شده‌است.

 

سیستم‌های عامل تحت تاثیر این آسیب‌پذیری عبارت‌اند از:

• Microsoft Windows 10 Version 1607 for 32-bit Systems 
• Microsoft Windows 10 Version 1607 for x64-based Systems 
• Microsoft Windows 10 Version1803 for32-bit Systems 
• Microsoft Windows 10 Version 1803 for x64-based Systems 
• Microsoft Windows 10 Version 1809 for 32-bit Systems 
• Microsoft Windows 10 Version 1809 for x64-based Systems 
• Microsoft Windows 10 for 32-bit Systems 
• Microsoft Windows 10 for x64-based Systems 
• Microsoft Windows 10 version 1703 for 32-bit Systems 
• Microsoft Windows 10 version 1703 for x64-based Systems 
• Microsoft Windows 10 version 1709 for 32-bit Systems 
• Microsoft Windows 10 version 1709 for x64-based Systems 
• Microsoft Windows ۷ for 32-bit Systems SP۱ 
• Microsoft Windows ۷ for x64-based Systems SP۱ 
• Microsoft Windows 8.1 for 32-bit Systems 
• Microsoft Windows 8.1 for x64-based Systems 
• Microsoft Windows RT 8.1 
• Microsoft Windows Server 1709 
• Microsoft Windows Server 1803 
• Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 
• Microsoft Windows Server 2008 R2 for x64-based Systems SP1 
• Microsoft Windows Server 2008 for 32-bit Systems SP2 
• Microsoft Windows Server 2008 for Itanium-based Systems SP2 
• Microsoft Windows Server 2008 for x64-based Systems SP2 
• Microsoft Windows Server 2012 
• Microsoft Windows Server 2012 R2 
• Microsoft Windows Server 2016 
• Microsoft Windows Server 2019

از آنجایی‌که برای استفاده از این آسیب‌پذیری فرد حمله‌کننده نیازمند دسترسی محلی به کامپیوتر هدف است، ضروری است این دسترسی صرفا به اشخاص مورد اعتماد داده شده و درصورت امکان از محیط‌های محدود شده استفاده شود.

 

شناسایی آسیب پذیری zero-day در Win32

منبع خبر: پایگاه خبری امنیت فناوری اطلاعات

 

کارکنان بخش امنیت خواهان تغییر شغل خود هستند

حملات شبکه های بیسیم

هشدار حمله Ghost DNS به روترهای خانگی

پیشگیری از حملات IKE CRYPTO در سیستم عامل سیسکو

 

پروتکل های مسیریابی - Dynamic Routing سیسکو

پروتکل های مسیریابی Dynamic Routing سیسکو

پروتکل های مسیریابی Dynamic Routing سیسکو

پروتکل های مسیریابی Dynamic Routing سیسکو: پروتکل های مسیریابی به سه دسته Distance Vector و Link State و Hybrid تقسیم می‌شوند. ابتدا در قسمت اول مقاله درباره‌ی پروتکل های مسیریابی Distance Vector صحبت خواهیم کرد. سپس به توضیح و بسط دو پروتکل دیگر می‌پردازیم.

پروتکل های مسیریابی Distance Vector

این نوع روتینگ، جزو ساده‌ترین پروتکل های مسیریابی به شمار می‌رود. همان‌طور که از نام آن مشخص است؛ از دو فاکتور Distance یا مسافت و Vector یا جهت، برای پیدا کردن مقصد استفاده می‌کند.

روترهایی که از پروتکل های مسیریابی Distance Vector استفاده می‌کنند، به روترهای همسایه یا Neighbor خود اطلاع رسانی می‌کنند. این داده‌ها شامل اطلاعاتی از قبیل توپولوژی شبکه و تغییراتی که در بازه‌های زمانی متفاوت انجام می‌شود؛ هستند. نحوه‌ی ارتباط با استفاده از Broadcast انجام می‌شود و از آدرس IP به شکل 255.255.255.255 استفاده می‌کند.

پروتکل های مسیریابی Distance Vector از الگوریتم Bellman-Ford برای پیدا کردن بهترین مسیر جهت رسیدن به مقصد استفاده می‌کند. روترهای مورد استفاده در توپولوژی Distance Vector، برای دست‌یابی به اطلاعات موجود در Routing Table های روترهای همسایه، درخواست Broadcast می‌کنند. در نهایت از این اطلاعات برای به روز رسانی Interface خود استفاده می‌کنند. همچنین برای به اشتراک گذاری اطلاعات Routing Protocol خود، از ساختار Broadcasting بهره می‌برند.

نحوه‌ی فعالیت

الگوریتم‌های Distance Vector تغییراتی را که در Routing Table انجام می‌شود، بلافاصله برای روترهای همسایه خود ارسال می کنند. این اطلاعات بر روی تمام Interface ها منتشر می‌شود. با هر تبادلی که انجام می‌شود، روتر Distance Value مربوط به مسیر دریافت شده را افزایش می‌دهد. سپس Distance Value خودش را هم بر روی Route های جدید قرار می‌دهد. روتری که این تغییرات را دریافت می‌کند به همین ترتیب Route های خودش را بر روی این Table قرار می‌دهد. به همین شکل برای روترهای باقی‌مانده نیز ارسال می‌کند و این فرآیند تا آخرین روتر ادامه می‌یابد.

در Distance Vector به این موضوع توجه نمی‌شود که چه کسی به Update هایی که ارسال می‌شود؛ گوش می‌کند. نکته جالب این است که پروتکل های مسیریابی Distance Vector در صورتی که هیچ تغییری در Routing Protocol خود نداشته باشند نیز به صورت متناوب Routing Table خود را Broadcast می‌کنند. یعنی اگر توپولوژی شبکه تغییر نکرده باشد هم Broadcasting انجام می‌شود.

پیاده‌سازی و رفع عیب این نوع پروتکل بسیار ساده است. روتر برای انجام فرآیندهای پردازشی نیاز به منابع بسیار کمتری دارد. منطق کاری Distance Vector ساده است. این پروتکل Routing Update را دریافت می‌کند، مقدار Metric را افزایش می‌دهد، نتایج را با مقادیر موجود در Routing Table خود مقایسه می‌کند و در صورت نیاز Routing Table را Update می‌کند. پروتکل‌هایی مثل Routing Information Protocol یا RIP نسخه یک و Interior Gateway Routing Protocol یا IGRP از مهم‌ترین و معروف‌ترین پروتکل های مسیریابی Dynamic Routing در روترهای امروزی هستند.

پروتکل های مسیریابی Link State

در این بخش، پروتکل های مسیریابی Link state را معرفی می‌کنیم و تفاوت‌های آن را با پروتکل های Distance Vector شرح خواهیم داد. پروتکل های Link State بر خلاف پروتکل های Distance Vector، شبکه‌ها را در قالب Hop Count و تعداد روترهای موجود در آن نمی‌بینند. در عوض یک دیدگاه جامع و کامل در خصوص توپولوژی های مورد استفاده در شبکه ایجاد می‌کنند که همه جزئیات شبکه‌های موجود در توپولوژی را در خود دارد. تمامی روترها با Cost های آن‌ها در این دید جامع و کامل وجود خواهند داشت.

در پروتکل های Link State هر یک از روترهایی که از یکی از این پروتکل‌ها استفاده کند؛ اطلاعات کاملی در خصوص خود روتر، لینک‌های مستقیم متصل شده به آن و وضعیت آن لینک‌ها را در اختیار شبکه قرار می‌دهد. این اطلاعات توسط پیام های Multicast به همه روترهای موجود در شبکه ارسال می‌شود. این عمل بر خلاف پروتکل های مسیریابی Distance Vector است که آن را به وسیله استفاده از فرآیند Broadcast انجام می‌دادند.

فرآیند مسیریابی Link State به گونه ای است که با ایجاد کوچک‌ترین تغییر در توپولوژی شبکه‌های موجود، این تغییرات بلافاصله به صورت Incremental برای سایر روترها هم ارسال می‌شود تا توپولوژی شبکه روی همه روترها همیشه به‌روز باشد.

هر کدام از روترهای موجود در پروتکل های مسیریابی Link state یک کپی از این توپولوژی را در خود دارند و آن را تغییر نمی‌دهند. پس از آن‌که آخرین تغییرات شبکه‌ها را دریافت کردند، هر روتر به صورت مستقل به محاسبه بهترین مسیر برای رسیدن به شبکه‌ی مقصد می‌پردازد.

ویژگی پروتکل های مسیریابی Link State

پروتکل های مسیریابی Link State بر اساس الگوریتمی به نام Shortest Path First یا SPF برای پیدا کردن بهترین مسیر جهت رسیدن به مقصد، پایه‌ریزی شده‌اند. در الگوریتم SPF زمانی که وضعیت یک لینک ارتباطی تغییر می‌کند، یک Routing Update که به عنوان Link-State Advertisement یا LSA شناخته می‌شود ایجاد می‌شود. این به‌روزرسانی بین تمامی روترهای موجود تبادل خواهد شد.

هنگامی که روتری LSA Routing Update را دریافت می‌کند؛ الگوریتم Link-State با استفاده از آن، کوتاه‌ترین مسیر را برای رسیدن به مقصد مورد نظر محاسبه می‌کند. هر روتر برای خود یک نقشه کامل از شبکه‌ها ایجاد می‌کند. نمونه‌ای از پروتکل مسیریابی Link-State پروتکلی به نام Open Shortest Path First یا OSPF است.

کلید واژه‌های مهم در پروتکل های Link State:

  • Link-State Advertisement یا LSA: یک Packet کوچک اطلاعاتی است که اطلاعات مربوط به Routing را بین روترها رد و بدل می‌کند
  • Topological Database: مجموعه اطلاعاتی که از LSAها دریافت می‌شود
  • الگوریتم SPF یا Dijkstra: الگوریتمی است که محاسبات database های موجود در SPF Tree را انجام می‌دهد
  • Routing Table: یک لیست از مسیرها و Interface های شناسایی شده است

مزایا و معایب

پروتکل های مسیریابی Link State در عین حال که به مدت زمان کمتری برای Converge شدن نسبت به پروتکل های مسیریابی Distance Vector برخوردارند؛ در مقابل ایجاد Routing Loop هم نسبت به Distance Vector مقاوم‌تر هستند. به ندرت Routing Loop در Link State ایجاد می‌شود. از طرفی الگوریتم‌های مورد استفاده در پروتکل های Link State به قدرت پردازشی CPU و حافظه RAM بیشتری نسبت به پروتکل های Distance Vector نیاز دارند. پروتکل های Link State از یک ساختار سلسله مراتبی و موروثی استفاده می‌کنند که این ساختار باعث کاهش فاصله‌ها و نیاز کمتر به انتقال LSA می‌شود.

پروتکل های مسیریابی Link State از مکانیسم Multicast برای به اشتراک گذاری اطلاعات استفاده می‌کنند. تنها روترهایی که از پروتکل های مسیریابی Link State استفاده می‌کنند این Routing Update ها را می‌توانند پردازش کنند.

Link State ها فقط زمانی اطلاعات روتر را ارسال می‌کنند که در شبکه تغییری ایجاد شده باشد. در نهایت فقط همان تغییر را برای سایر روترها ارسال می‌کنند. پیاده‌سازی پروتکل های مسیریابی Link State پیچیده‌تر و پر هزینه‌تر از پیاده‌سازی پروتکل‌های Distance Vector است. هزینه‌ی نگهداری آن‌ها نیز به مراتب بیشتر است.

پروتکل های مسیریابی Dynamic Routing سیسکو

منبع: گیک بوی

هشدار حمله Ghost DNS به روترهای خانگی

هشدار حمله Ghost DNS به روترهای خانگی

هشدار حمله Ghost DNS به روترهای خانگی: پژوهشگران امنیتی درباره نفوذ هکرها به صدهزار مودم و روتر خانگی در برزیل با حمله سایبری Ghost DNS هشدار دادند.

حمله سایبری جدیدی از طریق بدافزار Ghost DNS، صدهزار روتر خانگی را در برزیل آلوده‌ کرده‌است. هکرها در این حمله می ‌توانند اطلاعات حساس کاربر را با دستکاری مسیر ترافیک و هدایت قربانی به سمت صفحات جعلی سرقت کنند.

به گفته گروهی از پژوهشگران هم‌اکنون کنترل بیش از صدهزار مودم و روتر خانگی از برندهایی چون D-Link ،MikroTik ،TP-Link ،Huawei و SpeedTouch به دست هکرها افتاده است و آنها آدرس سرورهای DNS را برای مقاصد خود تغییر داده‌اند.

پژوهشگران از ۲۰ سپتامبر ۲۰۱۸ خبر از یک حمله گسترده داده‌اند. روند اینگونه است که در هنگام بازدید از صفحات آلوده به کدهای مخرب، یک اسکریپت به منظور بررسی باز بودن درگاه‌های روتر اجرا می‌‌شود و تلاش می‌کند از طریق حملات بروت فورس (Brute Force) به صفحه تنظیمات آن وارد شوند. در صورتی که حمله موفقیت‌آمیز باشد، آدرس‌های DNS و همچنین کلمه عبور روتر عوض می‌‌شود تا ضمن هدایت ترافیک کاربر به سمت شبکه‌های تحت کنترل هکرها، قادر به ورود به تنظیمات و بازگردانی آنها نباشد. از آنجایی که بسیاری از کاربران هرگز کلمه عبور پیش‌فرض روتر خود را تغییر نمی‌دهند، بسیاری از روترها در برابر این نوع حملات آسیب‌پذیر هستند.

بروت فورس یکی از انواع حملات هکری برای به‌دست آوردن رمز های عبور است. در این روش هکر با استفاده از نرم‌افزارهای مخصوص سعی می‌کند تمام عبارت‌های ممکن را بررسی کند. آشنایی با حملات brute force برای همه مدیران سایت‌ها و کاربران اینترنتی که دارای پنل مدیریت اینترنتی یا نام کاربری و رمز عبور در یک سایت خاص هستند لازم و ضروری است، چراکه با شناخت این نوع حمله و راهکار‌های مقابله با آن گامی بلند در راه ارتقای امنیت سایبری برداشته‌شده و میزان کمتری از سایت‌ها توسط این روش خطرناک مورد نفوذ قرار می‌گیرند.

حمله Ghost DNS به روترهای خانگی

این حمله را شرکت امنیت سایبری Netlab360 شناسایی کرده‌است. برندهایی که در این حمله تحت تاثیر قرار گرفته‌اند در ذیل آمده‌اند:

• 3COM OCR-812
• AP-ROUTER
• D-LINK
• D-LINK DSL-2640T
• D-LINK DSL-2740R
• D-LINK DSL-500
• D-LINK DSL-500G/DSL-502G
• Huawei SmartAX MT880a
• Intelbras WRN240-1
• Kaiomy Router
• MikroTiK Routers
• OIWTECH OIW-2415CPE
• Ralink Routers
• SpeedStream
• SpeedTouch
• Tenda
• TP-LINK TD-W8901G/TD-W8961ND/TD-8816
• TP-LINK TD-W8960N
• TP-LINK TL-WR740N
• TRIZ TZ5500E/VIKING
• VIKING/DSLINK 200 U/E

بررسی‌های شرکت امنیت سایبری Netlab ۳۶۰، حاکی از آن است که هکرها کاربران را به سمت صفحات جعلی فیشینگ هدایت می‌کنند و اطلاعات آنها را سرقت می‌کنند.

کاربران برای جلوگیری از حملات این‌چنینی باید Firmware های روتر خود را به‌روز نگه دارند و از برنامه‌های ضدویروس قدرتمند استفاده کنند. همچنین کلمه عبور پیش‌فرض روتر را تغییر دهند.

 

منبع خبر: پایگاه خبری امنیت فناوری اطلاعات

هشدار حمله Ghost DNS به روترهای خانگی

آموزش ساختن Sub Interface در روتر سیسکو

آموزش ساختن Sub Interface در روتر سیسکو

آموزش ساختن Sub Interface در روتر سیسکو Sub Interface همان VLAN هایی هستند که بر روی یک پورت روتر سیسکو متصل به Trunk تعریف می‌شود. برای دسترسی به VLAN تعریف شده بر روی یک سوئیچ سیسکو و استفاده از InterVLAN Routing توسط روتر؛ باید یک اینترفیس روتر به پورت Trunk از سوئیچ متصل شده و Sub Interface ها با شماره متناظر VLAN روی آن تعریف شود.

روتر سیسکو

روترهای سیسکو برای ارتباطات ترانک از ۲ پروتکل که یکی ویژه تجهیزات سیسکو و دیگری استاندارد جهانی است؛ پشنیبانی می‌کنند. پروتکل سیسکو ISL سرواژه عبارت Cisco Inter-Switch Link نام دارد. در واقع پروتکل ‌VLAN Encapsulation مختص سیسکو است و تنها تجهیزات سیسکو آن را پشتیبامی می‌کنند.

اگرچه ISL با اقبال عمومی روبرو نشد و در حال حاضر بیشتر از پروتکل استاندارد 802.1Q استفاده می‌شود. به طور مثال پروتکل EIGRP و IGRP سیسکو بسیار پیشرفته‌تر از پروتکل OSPF است. اما به دلیل این‌که فقط در روترها و سوئیچ‌های کمپانی سیسکو پشتیبانی می‌شود؛ در مقیاس بزرگ مورد استفاده قرار نمی‌گیرد.

آموزش ساختن Sub Interface در روتر سیسکو

دانستیم که 802.1Q پروتکل استاندارد و رایج جهت VLAN Encapsulation است. برای پیکربندی VLAN بر روی روتر سیسکو ابتدا یک اینترفیس را به پورت Trunk سوئیچ مورد نظر متصل می‌کنیم و طبق دستورات زیر پیش می‌رویم.

router(config)#int gig 0/0
router(config-if)#description Trunk interface
router(config-if)#exit
router(config)#int gig 0/0.10 # 10 is vlan number that determine in switch
router(config-if)#encapsulation dot1Q 10
router(config-if)#ip add 192.168.1.1 255.255.255.0
router(config-if)#exit
router(config)#int gig 0/0.20
router(config-if)#encapsulation dot1Q 20
router(config-if)#ip add 192.168.2.0 255.255.255.0
router-sub-interface
router sub interface

لازم است پورت گیگ 0/0 روتر را به پورت Trunk سوئیچ متصل کنید. بر روی سوئیچ باید VLAN های ۱۰ و ۲۰ و غیره تعریف شده باشد. سپس هر کلاینت IP اینترفیس روتر را به عنوان Gateway خود تنظیم کند. در نتیجه ترافیک خارج از Subnet برای مسیریابی به سمت روتر ارسال می‌شود.

آموزش تنظیم IP روتر و سوئیچ سیسکو

آموزش تنظیم IP روتر و سوئیچ سیسکو

آموزش تنظیم IP روترو سوئیچ سیسکو  :تنظیم IP روتر سیسکو و یا ست کردن IP روتر و یا اختصاص IP به روتر سیسکو و یا سوئیچ سیسکو اولین گام در راه اندازی قابلیت های مسیریابی routing و دسترسی از طریق آدرس دهی IP به روتر سیسکو و یا سوئیچ سیسکو است.

تنظیم IP Address مختص تجهیزات سیسکو که در لایه سه کار میکنند از قبیل سوئیچ لایه سه سیسکو و یا روتر سیسکو ، الزاما نیست، چراکه برای دسترسی های مدیریتی میبایست اقدام به ست کردن IP بر روی سوئیچ لایه دو سیسکو نیز نمود کما اینکه سوئیچ های لایه 2 سیسکو فاقد امکان مسیریابی IP هستند.

تنظیم IP روتر سیسکو، اولین گام در عملیاتی نمودن روتر سیسکو و یا سوئیچ سیسکو است چرا که ما در شبکه های IP با Subnet ها سر و کار داریم و در واقع هر شبکه محدود به یک سابنت (اصلی) است بدین مفهوم که هر اینترفیس محدود به Broadcast Domain همان Network که در آن آدرس دهی شده است میباشد و پکت های میبایست برای رسیدن به مقصد مسیریابی شوند که این نکته فرق اصلی روتینگ و بریجینگ است. در Bridging ما محدود به یک مدیا که همچنین محدود به یک تکنولوژی لایه دو که همه در یک Broadcast Domain هستند میشویم لکن در شبکه لایه سه یا یک Routed Network ، ما با Subnet ها سر و کار داریم و همچنین یک پکت ممکن است برای رسیدن به مقصد از انواع رسانه ها و تکنولوژی های لایه 2 با MTU های مختلف و مدیوم های متفاوت عبور کند.

در حقیقت روتر جدول مسیریابی یا همان دید خود از شبکه را از سه طریق میسازد:

1. شبکه های متصل به اینترفیس هایش Prefix – Subnet هایی که در وضعیت Connected یعنی تعریف شده روی اینترفیس های حقیقی و یا مجازی روتر (همین بحث ما که مربوط به تنظیم IP روی اینترفیس های روتر سیسکو) است.

2. Static Route ها.

3. Route هایی که از طریق کارکرد Routing Protocol ها بدست می آورد نظیر OSPF – EIGRP BGP و …

آموزش تنظیم IP روتر و سوئیچ سیسکو

بنابراین تعریف IP بر روی اینترفیس روتر سیسکو اولین و مهمترین قدم برای عملیاتی کردن یک روتر سیسکو است. کمی از بحث اصلی دور شدیم منتها پرداختن به مفهوم و تفاوت های اصلی شبکه های لایه 2 و شبکه های لایه سه و فرق عملیات Routing – روتینگ و Bridging – بریجینگ و همچنین تاثیر مهم شبکه های Connected بر روی صحت عملکرد روتر میتواند دید شفاف تری نسبت به این امر را حاصل نماید برای مثال اگر شما یک Prefix معروف مثل 8.8.8.0/24 که یکی از DNS های معروف و پر استفاده عمومی ست را روی یکی از اینترفیس های روتر خود ست کنید (مثلا 8.8.8.1/24)

زمانی که از پشت روتر سعی کنید 8.8.8.8 را پینگ کنید به RTO برخواهید خورد چرا که روتر در جدول مسیریابی میبیند که این سابنت به شکل Connected است لذا درخواست را به سمت Gateway خود نمیفرستد حتی اگر این Prefix توسط یک Routing Protocol در جدول مسیریابی نوشته شده باشد به دلیل اینکه Connected Route ها بالاترین ارزش و کمترین Metric را دارند باز هم Packet ها به سمت مقصد هدایت نخواهد شد.

روتر سیسکو و یا سوئیچ سیسکو و کلا هر دیوایس لایه 3 با پروتکل های لایه 3 قابل آدرس دهی (در اینجا IP) سر و کار دارند لذا همانطور که ابتدا اشاره شد قدم اول برای راه اندازی روتر سیسکو اختصاص آدرس IP به اینترفیس روتر سیسکو – اینترفیس سوئیچ سیسکو است در واقع پس از آدرس دهی ست که روتر سیسکو موقعیت خود را تشخیص و شبکه متصل به اینترفیس خود را شناسایی کرده و سپس میتواند به تبادل Packet و انجام عملیات مسیریابی و تشکیل جدول مسیریابی Routing table بپردازد.

دراین مقاله برای جلوگیری ازپیچیدگی مابه روش اختصاص IP به چند اینترفیس متداول روتر و سوئیچ سیسکو میپردازیم.

اختصاص IP به اینترفیس اترنت روتر سیسکو:

روتر سیسکو اغلب به شکل پیشفرص دارای یک یا چند اینترفیس اترنت Ethernet یا فست اترنت Fast Ethernet و یا Gigabit Ethernet هستند شما میتوانید برای آگاهی از اینترفیس های روتر سیسکو از این دستور استفاده کنید:

show interface summary

همانگونه که از خروجی دستور show interface sum پیداست لیست انواع اینترفیس های روتر اعم از اینترفیس های فیزیکی از قبیل Serial – OC3 – Ethernet و مجازی از قبیل Sub Interface و Tunnel و loopback نمایش داده میشوند.

برای تنظیم IP روتر سیسکو برای اینترفیس های فیزیکی نظیر FastEthernet – Ethernet – GigabitEthernet بدین ترتیب عمل مینماییم:

R1>en
Password: 
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z
R1(config)#int gi 0/1
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#exit

برای انواع دیگراینترفیس های اترنت نیزروال به همین صورت است فقط میبایست نام آنهاراپس ازدستورinterfaceواردنموده وسپسIP Addressبه همراه Subnet راواردکنید.

در صورتی که مایل باشید به اینترفیس روتر سیسکو بیش از یک IP اختصاص دهید لازم است که پس از وارد نمودن IP و Subnet Mask از عبارت Secondary استفاده کنید این عبارت برای آدرس های سوم الی آخر فرقی نخواهد کرد برای مثال برای کانفیگ سومین آدرس بر روی یک اینترفیس روتر سیسکو نیز همانند IP دوم عمل کنید.

برای پاک کردن یکIP ازروی اینترفیس روترسیسکودرصورتی که همان یک IP برروی آن باشدویابخواهیدهمه IP Address هاراحذف نماییدکافی است ازدستور:

R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#int gi 0/1
R1(config-if)#no ip address

xIP-config.jpg.pagespeed.ic.1koFWnQnFJ

استفاده نمایید.

تنظیم IP Address بر روی اینترفیس سریال روتر سیسکو

اینترفیس های سریال روتر سابق بر این استفاده های گسترده ای در اتصالات wan در ارتباط روتر سیسکو با dsu/csu ها مثل مودم های G.SHDSL – ATM – E1 و … داشتند که با پیشرفت تکنولوژی و افزایش نیاز به سرعت های بالاتر استفاده از این نوع اینترفیس به علت منسوخ شدن تکنولوژی های مرتبط آنچنان مرسوم نیست و دیگر کمتر روتری را میبینیم که مجهز به wic 1t یا wic 2t باشد معذالک ذکر روش تنظیم آدرس IP بر روی اینترفیس های سریال که البته به ندرت اتفاق میافتاد خالی از لطف و مرور خاطرات نیست:

R1(config)# interface serial 0/0/0
R1(config-if)# description Link to R2
R1(config-if)# ip address 209.165.200.225 255.255.255.252
R1(config-if)# clock rate 128000
R1(config-if)# no shutdown
R1(config-if)# exit

تنظیم IP Address بر روی پورت سوئیچ لایه سه سیسکو

سوئیچ های لایه سه سیسکو امکان مسیریابی رادارامیباشندبنابراین میتوانیدبرروی اینترفیس های سوئیچ لایه سه سیسکونظیرسوئیچ سیسکو3560وسوئیچ سیسکو3750 IP ست کنید.

برای تنظیم آدرس IP روی سوئیچ سیسکو ، بدین ترتیب عمل کنید:

R1-3750#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1-3750(config)#int gi 1/0/16
R1-3750(config-if)#no switchport
R1-3750(config-if)#ip address 192.168.57.1 255.255.255.0
R1-3750(config-if)#exit
R1-3750(config)#do sh run int gi 1/0/16
Building configuration…
Current configuration : 93 bytes
!
interface GigabitEthernet1/0/16
no switchport
ip address 192.168.57.1 255.255.255.0
end

ست کردن IP روی اینترفیس های مجازی روتر و سوئیچ سیسکو

vlan ها، تانل ها ( tunnel )، لوپ بک ( loopback )، ساب اینترفیس ها ( sub interface ), … جزء اینترفیس های غیر فیزیکی که به آنها میتوان اینترفیس های مجازی از لحاظ ابعاد وجودی البته اطلاق کرد برای مثال شما میتوانید بر روی یک Vlan حتی در یک سوئیچ لایه 2 سیسکو IP ست کنید لکن این IP تنها به جهت دسترسی به سوئیچ قابل استفاده خواهد بود و استفاده های لایه سه ای نخواهد داشت:

R1-3750#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1-3750(config)#int vlan 301
R1-3750(config-if)#ip address 192.168.65.1 255.255.255.0
R1-3750(config-if)#exit
R1-3750(config)#do sh run int vlan 301
Building configuration…
Current configuration : 64 bytes
!
interface Vlan301
ip address 192.168.65.1 255.255.255.0
end

همچنین در مواردی که یک سوئیچ سیسکو را با یک روتر سیسکو به جهت استفاده از intervlan routing ترانک کرده و یا به هر دلیل نیازمند استفاده از VLAN ها بر روی روتر سیسکو هستید به سادگی میتوانید از sub interface ها IP ست کنید:

R1-Core#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1-Core(config)#int gi 0/1.312
R1-Core(config-subif)#encapsulation dot1Q 312
R1-Core(config-subif)#ip address 192.168.66.1 255.255.255.0
R1-Core(config-subif)#exit
R1-Core(config)#do sh run int gi 0/1.312
Building configuration…
Current configuration : 119 bytes
!
interface GigabitEthernet0/1.312
encapsulation dot1Q 312
ip address 192.168.66.1 255.255.255.0
no cdp enable
end

تنظیم IP Address روی اینترفیس loopback روتر سیسکو

اینترفیس های LOOPBACK یک عضو بی بدیل بر روی روتر های سیسکو هستند آنها مجازی هستند و به هیچ جا متصل نیستند لکن به دلیل اینکه هیچ وقت Down نمیشوند در عمل امکانات مدیریتی مهمی در تنظیم روتر سیسکو به ارمغان می آورند اینترفیس های لوپ بک این اطمینان را به شما میدهند که یک اینترفیس حداقل روی روتر سیسکو همیشه UP و دارای یک IP مشخص است اغلب IP Address تنظیم شده بر روی اینترفیس loopback روتر سیسکو به عنوان IP اصلی روتر در مواقع مختلف مورد استفاده قرار میگیرد.

R1(config)#interface loopback 0
R1(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up
R1(config-if)#ip address 192.169.1.1 255.255.255.0

آموزش تنظیم IP روتر و سوئیچ سیسکو

درمجموع درشبکه های لایه سه مبتنی برIPاولین وبنیادی ترین بخش آدرس هایIPهستنداین آدرس هاهستندکهRouting Tableروتر هارامیسازندوامکان کارکردشبکه جهانی اینترنت رامیسرمیکنند.

البته در سالهای اخیر IP Version 4 به دلیل محدودیت تعداد تقریبا به اتمام رسید و تمامی Valid IP های version 4 در دنیا توسط سازمانهای جهانی Ripe Iana Arin واگذار Allocate شدند و همکنون دنیا به سمت استفاده از IP Version 6 میرود.

آموزش تنظیم IP روتر و سوئیچ سیسکو

 

منبع : گیک بوی

 

آموزش تنظیمات اولیه سوئیچ های سیسکو

دستورات تنظیمات روتر و سوئیچ سیسکو

چگونگی اتصال به سوئیچ سیسکو

تعویض پورت پیش فرض تلنت در روتر سیسکو

فعال سازی روتینگ در سوئیچ لایه سه سیسکو

دسترسی Telnet به روتر سیسکو

اینترفیس های روتر و سوئیچ سیسکو

تکنولوژی Cisco StackWise چیست

آموزش مفاهیم مسیریابی

آموزش دستورات Show در روترهای سیسکو

آموزش پیکربندی پروتکل های مسیریابی پیشرفته

روش های سوئیچینگ و مسیریابی در شبکه های محلی

پیاده سازی Protected Port در سوئیچ سیسکو

آموزش تنظیم IP روتر و سوئیچ سیسکو

 

تعویض پورت پیش فرض تلنت در روتر سیسکو

تعویض پورت پیش فرض تلنت در روتر سیسکو

تعویض پورت پیش فرض تلنت در روتر سیسکو :یکی از مسائلی که ممکن است باعث به خطر افتادن امنیت روتر های مرزی که دارای IP Valid روی پورت های خود میباشند عملیات Burst Force برای پیدا کردن دسترسی Telnet میباشد.

در درجه اول توصیه میشود که به جای تلنت از SSH استفاده کنید ولی اگر به هر دلیلی میخواهید از روش تلنت استفاده کنید بهتر است این چند توصیه را جهت Secure کردن Line های VTY اعمال نمائید.

در درجه اول چند کامند:

login on-failure log
login on-success log
login delay 3
aaa authentication attempts login 1
aaa authentication fail-message c یک پیغام تهدید آمیز c
aaa authentication login default local-case
  • دو کامند اول یک trap برای ورود یا عدم ورود موفق به syslog ارسال میکند.
  • کامند سوم بعد از ورود 3 ثانیه تاخیر ایجاد میکند.
  • کامند چهارم تنها 1 بار اجازه authenticate به جای 3 بار Default میدهد.
  • کامند پنجم جهت ایجاد رعب و وحشت در شخصی است که به هر دلیلی میخواهد وارد روتر شما شود! شما میتوانید بنویسید که IP شما ثبت خواهد شد و مورد پیگیرد قانونی قرار خواهد گرفت.
  • و کامند آخر باعث میشودکه روتربه حروف بزرگ وکوچک در Username حساس شود،پس ازحروف بزرگ هم استفاده کنید.

تعویض پورت پیش فرض تلنت در روتر سیسکو

تعویض پورت پیشفرض تلنت یعنی 23 به مثلا 3001 یا هر چیز دیگر است.

R1-VG#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1-VG(config)#ip acce e telnet
R1-VG(config-ext-nacl)#permit tcp any any eq 3001
R1-VG(config-ext-nacl)#deny ip any any
R1-VG(config-ext-nacl)#exit
R1-VG(config)#line vty ?
<0-988> First Line number
R1-VG(config)#line vty 0 988
R1-VG(config-line)#rotary 1
R1-VG(config-line)#access-class telnet in
R1-VG(config-line)#^Z

توضیح اینکه ابتدامایک access-list به نام telnet ایجاد میکنیم ودرآن تمامی ارتباطات به جز پورت 3001 را deny میکنیم.

سپس وارد تنظیمات line vty که همان telnet و ssh خودمان است میشویم که بسته به مدل روتر و IOS تعداد آن متفاوت است.

سپس rotary group 1 را اعمال میکنیم که همان پورت 3001 است یا هرچیز دیگر.

سپس access-list telnet را که در آن تمامی ارتباطات به جز پورت 3001 (یا هرچیز دیگر) deny شده را اعمال میکنیم و save و تمام.

حالا تست میکنیم:

R2#1.1.1.1
Trying 1.1.1.1 …
% Connection refused by remote host

R2#1.1.1.1 3001
Trying 1.1.1.1, 3001 … Open
R1
User Access Verification
Username: GEEKBOY.IR

مشاهده می‌کنید که ابتدا با پورت پیش‌فرض 23 کانکشن refused شد اما با پورت 3001 ارتباط برقرار شد. اگر یک acl همراه با logging بر روی پورت ورودی روتر خود قرار دهید، بسته به تعداد IP های موجود تعداد زیادی تلاش جهت ارتباط بر روی پورت 23 خواهید دید.

منبع: گیک بوی

فعال سازی روتینگ در سوئیچ لایه سه سیسکو

فعال سازی روتینگ در سوئیچ لایه سه سیسکو

فعال سازی روتیگ در سوئیچ لایه سه سیسکو: مبحث روتینگ در سوئیج بسیار جالب است. می‌توان گفت که روتینگ فاصله بین سوئیچ و روتر را کم می‌کند. محصولات جدید سیسکو نه روتر هستند و نه در دسته سوئیچ جای می‌گیرند. به طور مثال سری 6500 امکانات لایه 1 تا 7 را در شرایطی بسیار عالی ارایه می‌کند. این موضوع باعث می‌شود تصویر ذهنی کاربران نسبت به این محصولات تغییر کند.

روتینگ قابلیتی است که به طور معمول آن را در اختیار روترهای سیسکو می‌دانستیم. با عرضه سوئیچ سری Catalyst سیسکو 3550 و امکانات فوق العاده لایه 3 آن، دیدگاه‌ها تغییر کردند. از دید یک کارشناس شبکه، سوئیچ لایه 3 سیسکو ابزاری همه کاره است. این نوع سوئیچ پاسخگوی طیف وسیعی از نیازهای شبکه خواهد بود. همچنین محدودیت تعداد پورت روتر را ندارد و از فناوری ASIC برای پردازش استفاده می‌کند. در نتیجه موجب Load کمتر و سرعت بیشتر است.

این نکته را نباید فراموش کرد که سوئیچ‌ها به طور کلی همان وظایف سوئیچ را دنبال می‌کنند. آن‌ها برای سوئیچینگ بهینه‌سازی شده‌اند. برای مثال RAM یک سوئیچ قابل ارتقا نیست و از ماژول‌های WIC و NM و ارتباطات WAN و فناوری‌های مربوط به آن پشتیبانی نمی‌کند. در واقع سوئیچ‌ها با VLAN فعالیت می‌کنند. به کمک قابلیت‌های روتینگ لایه 3، سوئیچ سیسکو می‌تواند ترافیک VLAN را مسیریابی کند.

سوئیچ سیسکو 3750

روتینگ قابلیت بسیار مهمی است که کمپانی سیسکو از سری 3550 به سوئیچ‌های میان‌رده خود اضافه کرد. پس از آن، سوئیچ سیسکو 3560 با بهبودهای فراوان و سپس سوئیچ سیسکو 3750 با امکانات بسیار و قدرت بالا، راه حل اصلی مشکلات شبکه شد. بنابراین در اکثر شبکه‌ها وجود سوئیچ سیسکو 3750 جزئی جدانشدنی به شمار می‌رود.

تفاوت‌ها و محدودیت‌های بسیاری بین روتر و یک سوئیچ لایه 3 وجود دارد. حتی در شبکه‌های کوچک هم همیشه نیاز به یک روتر احساس می‌شود. به طور مثال امکانات NAT در سوئیچ لایه 3 وجود ندارد؛ اما Dynamic Routing و پشتیبانی از پروتکل‌های EIGRP – OSPF – BGP و همچنین استاتیک روتینگ Policy Based Routing و QOS در سوئیچ‌های لایه 3 وجود دارد.

فعال کردن روتینگ در سوئیچ لایه 3

برای فعال کردن روتینگ در سوئیچ لایه 3 مانند سوئیچ سیسکو 3750 و تبدیل آن به یک روتر، کار زیادی نیاز نیست. ابتدا با دستور IP Routing امکانات روتینگ را فعال کنید. پس از آن می‌توانید به هر پورت IP اختصاص داده یا پورت‌ها را در لایه 2 قرار دهید. سپس به هر VLAN یک IP اختصاص دهید. همچنین امکان فعالسازی DHCP نیز وجود خواهد داشت. پس از فعال کردن روتینگ سوئیچ سیسکو لایه 3 اختلالی در عملکرد لایه 2 آن ایجاد نخواهد شد. حتی تنظیمات لایه 2 نظیر VLAN ها و پورت‌های Trunk و همچنین stp و vtp نیز فعال خواهند بود.

دستورات فعال سازی روتینگ در سوئیچ لایه سه سیسکو

R1(config)#ip routing

اختصاص IP به یک پورت خاص

R1(config)#int gi 1/0/20

R1(config-if)#no switchport

R1(config-if)#ip add 217.218.1.1 255.255.255.0

کانفیگ پورت به صورت لایه 2 و اختصاص IP به VLAN مربوطه

R1(config-if)#switchport

R1(config-if)#switchport mode access

R1(config-if)#sw acce vlan 303

R1(config-if)#ip add 217.218.1.1 255.255.255.0

R1(config)#int vlan 303

فعال کردن EIGRP

R1(config)#router eigrp 1

R1(config-router)#network 217.218.1.0 0.0.0.255

R1(config-router)#redistribute connected

R1(config-router)#no auto-summary

نوشتن یک Static Route

R1(config)#ip route 8.8.8.8 255.255.255.255 172.16.64.1

نوشتن یک ACL

R1(config)#ip acce e 110

R1(config-ext-nacl)#per ip 217.218.1.0 0.0.0.255 any

R1(config-ext-nacl)#per icmp an any

R1(config-ext-nacl)#deny ip any any

R1(config-ext-nacl)#per tcp an an eq 80

R1(config-if)#ip access-group 110 in

R1(config)#int vlan 301

این دستورات تنها مثال‌هایی از دنیای امکانات و قابلیت‌های سوئیچ‌های لایه 3 سیسکو بود. با تمام کارآمدی سوئیچ سیسکو لایه 3 نباید وظیفه اصلی این تجهیزات یعنی سوئیچینگ را فراموش کرد. این سوئیچ‌ها با بهبودهای نرم‌افزاری، وظایف روتینگ را انجام می‌دهند. نمی‌توان از آن‌ها انتظار یک روتر تمام عیار را داشت. در مواردی که نیاز به روتینگ در کنار تعدد پورت باشد؛ به جای استفاده از یک سوئیچ در کنار روتر می‌توان از امکانات ویژه یک سوئیچ لایه سه بهره‌مند شد.

در ویدیوی زیر نحوه فعال‌سازی روتینگ را در سوئیچ سیسکو 3550 یا همان InterVLAN خواهیم دید.

تماشا در آپارات