Tag Archive

Byadmin

راه اندازی SSH در سیسکو

راه اندازی SSH در سیسکو

راه اندازی SSH در سیسکو

راه اندازی SSH در سیسکو

یکی از متداولترین روش های اتصال به سخت افزارهای سیسکو استفاده از پروتکل telnet می باشد. حتما با telnet آشنایی دارید.
یک پروتکل که عموما برای مدیریت و کنترل سخت افزار ها از راه دور استفاده می شود. این پروتکل اطلاعات را به صورت clear text میان سرور و کلاینت عبور میدهد, که این امر باعث نا امنی زیادی می شود. چرا که به راحتی می توان با قرار دادن یک Packet capture مانند Wireshark تمامی Packet های عبوری را مشاهده و از اطلاعات آن سو استفاده کرد. البته روشهایی برای امن کردن آن مانند دسترسی تنها چند کامپیوتر خاص به telnet وجود دارد. اما باز هم نمیتوان امنیت آن را تضمین کرد.
یک راه حل مفید برای جایگزینی telnet استفاده از پروتکل SSH است. SSH یا Secure Shell پروتکلی است که اطلاعات را به صورت کد شده میان سرور و کلاینت رد و بدل میکند.
به صورت پیش فرض این پروتکل در روتر ها و سوئیچ های سیسکو غیر فعال است.
این جدول نشان دهنده IOS ها و سخت افزارهایی است که از پروتکل SSH پشتیبانی میکنند.

Router IOS

C1700      12.1(1) and later

C2600      12.1(1) and later

C3600      12.1(1) and later

C7200      12.1(1) and later

C7500      12.1(1) and later

Ubr920     12.1(1) and later

 

CatOS SSH
Cat 4000/4500/2948G/2980G (CatOS)                K9 images as of 6.1

Cat 5000/5500 (CatOS)                                     K9 images as of 6.1

Cat 6000/6500 (CatOS)                                     K9 images as of 6.1

Cat 2950                                                         12.1(12c)EA1 and later

Cat 3550*                                                       12.1(11)EA1 and later

Cat 4000/4500 (Integrated Cisco IOS Software)   12.1(13)EW and later

Cat 6000/5500 (Integrated Cisco IOS Software)   12.1(11b)E and later

Cat 8540/8510                                                 12.1(12c)EY and later, 12.1(14)E1 and later

 

NO SSH Support

Cat 1900                  no
Cat 2800                  no
Cat 2948G-L3            no
Cat 2900XL               no
Cat 3500XL               no
Cat 4840G-L3            no
Cat 4908G-L3            no

برای فعال سازی SSH ابتدا میبایست hostname و domain name را مشخص کنیم:

  • تغییرhostname
Router(config)#hostname PersianAdmins

 

  • مشخص کردنdomain name
vCenter(config)#ip domain-name router1.vcenter.ir

 

  • حالا باید یک RSA key pair برای روتر خود تولید کنیم. که با تولید این کلید به طور اتوماتیک SSH بر روی روتر شما فعال خواهد شد.
vCenter(config)#crypto key generate rsa

 

‏IOS از شما خواهد پرسید که طول این کلید چند بیتی باشد. که میتوانید از 360 تا 2048 انتخاب کنید. پیش فرض آن 512 است که توصیه میشود از کلید 1024 بیتی استفاده نمائید.
هم اکنون SSH بر روی روتر شما فعال است و میتوانید بوسیله نرم افزارهای مانند Putty به آن متصل شوید.
لینک دانلود putty:

 

http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe

 

شما میتوانید بعضی از تنظیمات مانند مدت زمان تبادل کلید ( بین SSH Server و SSH Client ) و تعداد دفعات تلاش برای وارد کردن username و Password را مشخص کنید. مدت زمان تبادل کلید ماگزیمم 120 ثانیه است که به صورت پیش فرض همان 120 ثانیه تنظیم گردیده و تعداد دفعات تلاش برای login 5 دفعه که به صورت پیش فرض 3 دفعه تعیین گردیده است.

vCenter(config)#ip ssh timeout 100
vCenter(config)#ip ssh authentication-retries 4

 

با دستور زیر هم میتوان اینترفیسی که کانکشن SSH به آن وارو میشود را مشخص کرد:

vCenter(config)#ip ssh source-interface f0/1

و برای log بر داشتن از کانکشن های SSH :

 

vCenter(config)#ip ssh logging events

 

برای غیر فعال نمودن SSH میتوانید از این دستور استفاده کنید:

 

vCenter(config)#crypto key zeroize rsa

 

شما میتوانید با دستور زیر وضعیت SSH را چک کنید:

 

vCenter#show ip ssh

 

برای مشاهده لیست کانکشن های متصل با SSH

 

vCenter#show ssh

 

بقیه تنظیمات SSH از تنظیمات  line vty 0 4 پیروی میکند. تنظیماتی مانند مدت زمان هر کانکشن که پیش فرض در صورت Idle بودن 10 دقیقه است و ماکزیمم 5 کانکشن همزمان پشتیبانی میکند.
ممکن است شما نیاز به مدت زمان زیادی برای باز بودن یک کانشن دارید. حتی اگر استفاده ای از آن نشود و از هر 10 دقیقه یکبار از وارد کردن Username و Password رنج میبرید. میتوانید با این دستور مدت زمان آن را زیاد کنید اما توجه داشته باشید که این کار از لچاظ امنیتی توصیه نمی شود:

vCenter(config)#line vty 0 4
vCenter(config-line)#exec-timeout 35

 

که این عدد میتوانید بین 0 تا 35791 دقیقه باشد.
در بعضی شبکه ها شما دارای تعداد زیادی روتر و سوئیچ هستید که میبایست با تمامی آنها کار کنید. اینجا یک مشکل به وجود می آید. اگر شما پسورد های مختلف روی آنها قرار بدید به خاطر سپردن آنها خیلی سخت خواهد بود و اگر همه را یکسان بگذارید از لحاظ امنیتی دچار مشکل خواهید شد. چرا که در صورت لو رفتن پسورد یک روتر شما تمامی روترهای خود را از دست خواهید داد.
برای حل این مشکل میتوانیم از یک Radius server استفاده کنیم. Radius دارای یک دیتا بیس است که لیست یوزرهای ما , مشخصات و صفات آنها در آن ثبت میشود. وقتی شما سعی میکنید که به یک روتر متصل شوید آن روتر یوزر و پسورد شما را به Radius میفرستد. اگر آنها درست بودند یک پیغام از Radius به روتر فرستاده میشود و روتر به شمااجازه ورود می دهد. که این کار مزایای دیگری نیز دارد.

  • شما میتوانید زمان ورود و خروج کاربران مختلف را ثبت کنید
  • تنها یک پسورد به خاطر می سپارید
  • میتوانید برای ورود به روتر زمان مشخص کنید
  • سطح دسترسی هر یوزر به روتر قابل کنترل است
  • با یکبار عوض کردن پسورد در تمامی روتر ها پسورد شما عوض خواهد شد

ابتدا میبایست مشخص کنیم که چه درخواست هایی به Radius فرستاده شود

 

vCenter(config)#aaa new-model
vCenter(config)#aaa authentication login shahin group radius local
vCenter(config)#aaa authentication enable default group radius

 

در خط دوم مشخص کرده ایم که چک کردن یوزر و پسورد ورود به روتر به radius برود اگر radius نبود از میان یوزرهای ساخته شده داخل خود روتر چک کند. ما میتوانیم متد های مختلف برای هر اکانتینگ  داشته باشیم. اگر بجای واژه shahin بنویسیم default آنگاه این دستور برای تمامی اینترفیس ها اعمال میشود. اما اگر یک اسم خاص بنویسیم میتوانیم هر اینترفیسی که میخواهیم را به این لیست اضافه کنیم.
خط سوم نیز تمامی درخواست های enable را به radius می فرستد با این تفاوت که روی تمامی اینترفیس ها اعمال شده و فقط از radius چک می شود. یعنی اگر radius قابل دسترس نبود از اطلاعات موجود در روتر استفاده نمی کند.
در مرحله بعد میبایست یک radius server برای روتر مشخص کنیم.

 

vCenter(config)#radius-server host 192.168.9.6  auth-port 1812 acct-port 1813 key 8888

 

که پورت 1812 برای authentication و 1813 برای Accounting مشخص شدند که اینها قرار دادی است و میتوان بسته به radius server آنها را تغییر داد. در آخر هم یک shared-key مشخص کرده ایم که در radius نیز باید آن را وارد کنیم که صرفا جهت بالا بردن ضریب امنیت است.
حال داخل line vty 0 4 مشخص میکنیم که از تنظیمات لیست shahin پیروی کند:

 

vCenter(config)#line vty 0 4
vCenter(config-line)#login authentication shahin

 

شما میتوانید از یک Radius server استاندارد مثل NttacPlus یا IBSng استفاده کنید. یک عدد RAS مشخص کنید و یک یوزر بسازید.
با آن یوزر میتوانید به روتر خود وصل شوید.
در تنظیمات دیدیم که enable نیز به radius فرستاده شد. شما میبایست یک یوزر با نام $enab15$ بسازید و یک پسورد برای آن مشخص کنید. وقتی که دستور enable را در روتر وارد میکنید روتر درخواست شما را با این یوزر به روتر خواهد فرستاد.
و آخرین نکته این که ممکن است در بعضی مواقع لینک ارتباطی شما تا radius دچار مشکل شود به همین دلیل شما قادر به ورود به روتر نخواهید بود. برای مرتفع کردن این مشکل میتوانید یک یوزر با privilege 15 بر روی روتر بسازید. با انجام تنظیمات بالا روتر ابتدا تلاش میکند که به radius متصل شود. در صورت عدم اتصال به radius به شما اجازه خواهد داد که با آن یوزر وارد روتر شوید.

 

vCenter(config)#username reza privilege 15 password 1234

 

و برای گزارش های radius از دستور زیر میتوانید استفاده کنید:

 

vCenter#show radius statistics

 

 

 

 

 

Byadmin

دسترسی به تجهیزات سیسکو با استفاده از CLI

دسترسی به تجهیزات سیسکو با استفاده از CLI

دسترسی به تجهیزات سیسکو با استفاده از CLI

دسترسی به تجهیزات سیسکو با استفاده از CLI

همان طور که گفته شد CLI یا همان Interface Line Common یک محيط Base Text می باشـد و شـما مـی توانيـد در این قسمت تنظيمات مختلفی را روی روتر و یا سوئيچ انجام دهيد. CLI در IOS سيسکو دارای دو mode اجرایی می باشد :

user mode

• privileged mode • این بدان معنی است که برای وارد کردن تنظيمات روی روتر و یا سوئيچ می بایست وارد mode مربوطه شوید. :User Mode در این Mode می توانيد عمليات محدودی را انجام دهيد . در واقـع ایـن Mode پـایين تـرین سـطح دسترسـی بـه روتـر یـا سوئيچ را نشان می دهد . در این Mode عمليات Monitoring قابل اجرا است .در واقع افراد مختلف مـی تواننـد وارد ایـن Mode شده و بدون دسترسی داشتن به تنظيمات ، عمليات محدودی چون چک کردن عملکرد روتر و یا سـوئيچ را انجـام دهند.

بنابراین این Mode پایين ترین Mode از نظر سطح دسترسی خواهـد بـود . لـذا فـرامين کمتـری در ایـن Mode قابـل اجـرا خواهد بود . :Privileged Mode همانطور که از نامش پيداست ایـن Mode ، جایگـاهی بـا سـطح دسترسـی بـالاتر بـرای انجـام تنظيمـات روی روتـر و یـا سوئيچ می باشد . به صورت پيش فرض برای وارد شدن به ایـن Mode نيـازی بـه وارد کـردن پـسورد نيـست ، امـا بـرای برقراری امنيت می بایست قبل از وارد شدن به این Mode پـسورد چـک شـود تـا فقـط افـراد خاصـی بـا داشـتن پـسورد بتوانند به این Mode دسترسی پيدا کنند. بنابراین در این Mode ، دسترسی به تنظيمات روتر و یا سوئيچ و مشاهده و تغيير تنظيمات امکان پذیر می باشد .

User Mode

بعد از Boot شدن IOS و Load شدن کامل تنظيمات ، Mode User اولين جایگاهی اسـت کـه CLI نـشان مـی دهـد . در این جایگاه prompt Command به صورت زیر می باشد :

Hostname >

همانطور که گفته شد mode user یک mode با سطح دسترسی های محدود می باشد . بنـابراین در ایـن Mode شـما قادر به اجرا و به کار بردن برخی فرامين خاص هستيد . به طور مثال برای اجرای بعضی گزارشات همچـون وضـعيت حافظـه و کنتـرل ميـزان ترافيـک ورودی و یـا خروجـی بـه هـر اینترفيس روتر و یا سوئيچ از این مد استفاده می شود.

Hostname > show flash

 

Privileged Mode

در این mode که به آن mode enable نيز گفته می شـود، اجـازه دسترسـی کامـل بـه تمـامی فـرامين جهـت تنظيمـات بيشتر داده می شود . با وارد کردن فرمان زیر در Mode User وارد Mode Privilade خواهيد شد :

Hostname > enable

با وارد کردن فرمان بالا ، prompt command به صورت زیر تغيير می کند :

Hostname #

برای خارج شدن از این mode فرمان زیر را وارد می کنيد.

Hostname # exit

در mode privileged شما دسترسی به mode های دیگری چون mode global و mode interface را خواهيد داشت .

در واقع در این mode هدایت کامل روتر یا سوئيچ به شما واگذار می شود .

در ادامه این فصل می آموزید که چگونه می توان با تعریف کردن password ، امنيت این mode را برقرار کرد.

 

خلاصه : در این درس با سيستم عامل روتر (IOS Cisco (و نحوه ارتباط با آن آشنا شدید . IOS سيـسکو Base Text بـوده و فاقـد محيط گرافيکی می باشد . برای دسترسی به روتر یا سوئيچ پنج روش وجود دارد . سه روش جهت دسترسـی بـه CLI و یک روش جهت ارتباط بين Server TFTP و تجيزات سيسکو و روش آخر تنظيم کردن تجيـزات سيـسکو بـه کمـک Web Browser . می باشد همچنين CLI یک محيط base-text است به طوری که دارای دو mode اجرایی زیر می باشد:

user mode •

privileged mode

• mode user یـک مـد اجرایـی محـدود اسـت و تمـامی فـرامين در ایـن مـد قابـل اجـرا نمـی باشـند در حـالی کـه mode privileged ، جایگاهی با حيطه اجرایی بالا ست و کنترل ، مدیریت و تنظيمات به صورت کلی در ایـن Mode قابل اجرا می باشند.

 

 

 

 

Byadmin

نحوه راه اندازی سوئیچ سيسکو

نحوه راه اندازی سوئیچ سيسکو

نحوه راه اندازی سوئیچ سيسکو

نحوه راه اندازی سوئیچ سيسکو

کانفیگ سوئیچ سیسکو برای راه اندازی و استفاده ، کار چندان سختی نیست ! با هم شروع کنیم …

فرض کنید یک سوئیچ سیسکو 2960 خریداری کرده اید و نیاز دارید که ابتدا یک یوزر روی آن بسازید و بتوانید با تعریف یک IP به آن تلنت کنید . یا مثلا هر پورت سوئیچ سیسکو 2960 را عضو یک VLAN نمائید ، یا یک پورت را جهت اتصال به یک سوئیچ سیسکو دیگر و یا روتر سیسکو ترانک کنید ، یا برای مثال سوئیچ شما از POE پشتیبانی میکند و میخواهید IPPhone یا IP Cam یا Wireless Radio را با آن روشن کنید …

در این مقاله سعی داریم که به شکل مقدماتی و برای رفع مقطعی مشکلات دوستان به آموزش سطحی برخی از این کاربرد ها در حد طرح کامند بپردازیم :

برای شروع ابتدا سوئیچ سیسکو را با کابل کنسول سیسکو به یک PC با پورت سریال متصل و با یک برنامه ترمینال مثل Putty به آن متصل شوید . ( میتوانید با کلیک بر روی نام putty انرا دریافت کنید )

۱- ساخت username و password و ایجاد سطح دسترسی :

switch>enable          ” ورود به محیط privilage “

switch#conf t           “وارد شدن به محیط کانفیگ “

switch(config)#aaa new-model

switch(config)#username shabake password 0 shabake

switch(config)#enable secret shabake

۲ – اختصاص دادن یک IP و default gateway به سوئیچ برای دسترسی IP :

switch(config)#int vlan 1 ( کانفیگ وی لن ۱ )

switch(config-if)#ip add 192.168.1.1 255.255.255.0 ( اختصاص آدرس )

switch(config-if)#no sh

switch(config-if)#exit

switch#vlan database

switch(vlan)#vlan 1 name shabake (ساخت وی لن ۱ )

switch(vlan)#exit

switch#conf t

switch(config)#ip default-gateway 192.168.1.2 ( آدرس روتر )

با این روش که ملاحظه کردید به راحتی میتوانید یک vlan بسازید و به آن IP اختصاص دهید ، توجه کنید که vlan 1 به شکل پیشفرض ساخته شده و تمامی پورت ها عضو vlan 1 هستند .

۳ – اختصاص هر پورت به vlan خاص :

براس مثال میخواهید چند پورت عضو Vlan خاصی باشند ، ابتدا با روش بالا vlan ها را بسازید ( Vlan database ) ، نیازی هم به اختصاص IP به هر vlan نیست ، سپس ، با روش زیر هر پورت را عضو vlan مورد نظر کنید :

switch(config)#int fas 0/1

switch(config-if)#description “connected to cisco router”

switch(config-if)#switchport access vlan 10

switch(config-if)#exit

switch(config)#int fas 0/2

switch(config-if)#description “web Server”

switch(config-if)#switchport access vlan 20

switch(config-if)#exit

ت.جه داشته باشید در هر لحظه میتوانید با دستور زیر تغییرات را زخیره کنید ، در غیر این صورت بعد از خاموش روشن کردن سوئیچ ، کانفیگی وجود نخواهد داشت !

switch#write mem

۴- کتنفیگ پورت سوئیچ سیسکو برای مود ترانک :

ترانک نوعی ارتباط است که حامل vlan هاست ! این ساده ترین نوع توضیح است ! برای مثال شما ۲ سوئیچ سیسکو دارید و روی هر سوئیچ 3 عدد vlan به شماره های 10-20-30  ، حال میخواهید nod هایی از هر سوئیچ امکان دسترسی به nod های سوئیچ دیگر که در همان vlan هستند داشته باشند .

switch-a(config)#int gi 0/1

switch-a(config-if)#description “Trunk to switch B”

switch-a(config-if)#switchport mode trunk

مشابه همین تنظیمات را در سمت دیگر نیز انجام داده و سوئیچ ها را توسط این پورت به هم متصل کنید . به همین سادگی …

۵ – استفاده از امکان POE : یکی از قابلیت های سوئیچ های سیسکو ، امکان پشتیبانی از POE یا همان استاندارد 802.3af که برق را با ولتاژ 48v به نود ارسال کرده و امکان روشن کردن دیوایس هایی که از poe پشتیبانی میکنند مثل IP Phone – IP Cam – Wireless radio  و … را دارد .

switch(config)#int fas 0/1

switch(config-if)#power inline auto

دستور فوق باعث میشود  ، در صورتی که دیوایس متصل شده به سوئیچ سیسکو قابلیت POE را دارا بود ، ولتاژ به آن ارسال شود .

خب چند نکته ، سوئیچ های سیسکو یک Vlan Database دارند که اطلاعات هر Vlan در آن ذخیره و میتوان آنرا توسط VTP ( میتوانید در مقاله ای مجزا آنرا یاد بگیرید ! ) با سایر سوئیچ های سیسکو به اشتراک گذاشت ، برای ایجاد هر Vlan حتما باید آن Vlan در vlan database موجود باشد  .

سوئیچ های لایه ۲ سیسکو قابلیت IP Routing نداشته و برای Routing میبایست از یک روتر برای inter vlan routing استفاده کرد .

سوئیچ های سیسکو به صورت پیشفرض به صورت یک سوئیچ معمولی عمل میکنند و تمامی پورت های آنها در حالت فعال و ب صورت پیشفرض عضو vlan 1 هستند ، پس میتوانید از باکس خارج کنید و به برق بزنید و استفاده کنید .

این آموزه ها فقط جنبه ابتدایی و سطحی داشته و همیشه میبایست مطالب را به صورت عمیق و کامل مطالعه فرمائید ،  دانستن کامند ممکن است ظاهرا مشکل فعلی شما را حل کند ، ولی راه حل صحیح این نیست !

 

 

 

Byadmin

معرفی Cisco IOS

معرفی Cisco IOS

معرفی Cisco IOS

معرفی Cisco IOS

 

ایــن فــصل شــامل معرفــی Device هــای سيــسکو چــون روتــر و ســوئيچ و سيــستم عامــل مخــتص بــه سيــسکو IOS Cisco و نحوه ارتباط و پيکربندی اوليه هر کدام از آنها می باشد . در انتهای ایـن فـصل مـی آموزیـد کـه چگونـه بـا Device هایی چون router و switch ارتباط برقرار کرده و آنها را جهت استفاده در یک شبکه پيکربندی کنيد .

(IOS (System operating Internetwork هسته مرکزی روتر و بيـشتر سـوئيچ هـای سيـسکو چـون سـوئيچ 2950 مـی باشد . در واقع سيستم عامل روترهای سيسکو همانند دیگر سيستم عامل ها وظيفه ذخيره و بازیابی فایـل ، مـدیریت حافظه و مدیریت سرویس های مختلف را به عهده دارد . این سيستم عامل فاقد محيط گرافيکی بوده و مبتنی بـر خـط فرمان می باشد لذا دارای یک واسط کاربری UI می باشد که به کمـک آن دسترسـی بـه فـرامين و پيکربنـدی تجهيـزات سيسکو امکان پذیر می باشد. IOS در دو mode پيکربندی می شود ، mode up set و دیگری CLI . :Set UP Mode هنگامی که روتر و یا بعضی از سوئيچ های سيسکو مثل سوئيچ 2950 را برای بـار نخـست راه انـدازی مـی کنيـد وارد mode up set شده و می توانيد تنظيمات اوليه چون آدرس دهی و تنظيم پسوردها را انجـام دهيـد . درواقـع یـک سـری سوالات به صورت متوالی از شما پرسيده می شود و می توانيد با پاسخ دادن به هـر کـدام از آنهـا تنظيمـات اوليـه را در همين ابتدای کار انجام دهيد . البته این تنظيمات کامل نخواهند بود و برای تنظيم بيشتر می بایست به Mode دیگری مراجعه کرد . همچنين می توانيد به جای پاسخ دادن به این سوالات مستقيما وارد Mode Setup شوید و در هنگام نياز این تنظيمات را انجام دهيد . :(Common Line Interface) CLI (CLI (interface line-Command IOS Cisco جایگـاهی اسـت کـه مـی توانيـد تنظيمـات بيـشتری را روی روتـر و سـوئيچ انجام دهيد. CLI یک محيط Base text می باشد به طوری که user در این محيط فرامين مورد نظرش را type می کند. برای دسترسی به این محيط سه روش وجود دارد که در ادامه با این سه روش آشنا می شوید.

 

 

 

Byadmin

روتینگ و سوئیچینگ

روتینگ و سوئیچینگ

گروه فنی و مهندسی وی سنتر مفتخر است که توانایی ارائه خدمات Routing and Switching را در مراحل طراحی ، پیاده سازی ، نگهداری و به روز رسانی مطابق با استاندارد های بین المللی دارا می باشد.

روتینگ و سوئیچینگ

روتینگ و سوئیچینگ

•  طراحی شبکه بر مبنای استاندارد سه لایه Core,Distribute,Access کمپانی Cisco
•  نگهداری و به روز رسانی سخت افزاری و نرم افزاری تجهیزات های مرتبط با Routing and Switching
•  ارائه راهکار های سوئیچینگ لایه 2، در شبکه های LAN , WAN
•  ارائه راهکار های سوئیچینگ لایه 2، در شبکه های WAN (ATM, Frame Relay,DSL,STM1,…
•  طراحی ، راه اندازی و پشتیبانی شبکه Switching  کشوری (MPLS)
•  ارائه راهکارهای Routing مبتنی بر الگوریتم های مسیر یابی Static وEGP,IGP) Dynamic)
•  ارائه راهکارهای Routing and Switching مبتنی بر اولویت نوع اطلاعات (Qos)
•  ارائه راهکارهای load balancing مبتنی بر اولویتهای Active-Active

لازم به ذکر است که گروه فنی و مهندسی وی سنتر کلیه خدمات فوق را با استفاده از محصولات کمپانی های معتبری مانند HP,Foundry,Cisco و Mikrotik ارائه می نماید.

Byadmin

مفهوم NAT

NAT یکی از ابزارهای قدرتمند دنیای IT است که دقیقا همان کاری را انجام می دهد که از اسم آن بر می آید,به وسیله NAT میتوانیم آدرسهای یک شبکه را به یک شبکه دیگر ترجمه کنیم.

مفهوم-NAT-چیست-خدمات-و-سرویس-های-شبکه

NAT تقریبا در تمامی سیستم عاملها و روتر ها قابل انجام است که هر کدام شیوه و روش خود را دارند.

برای همه متخصصین واضح است که قوی ترین روتر های دنیا Cisco هستند و تقریبا 80 درصد از بستر اینترنت بر روی دستگا های Cisco بنا شده اند. در این آموزش به توضیح مراحل انجام NATبه صورت عملی بر روی سخت افزارهای سیسکو می پردازیم.

از کاربردهای NAT می توان به موارد زیر اشاره کرد:

 * ترجمه IP های Private به Public یا بلعکس

* تغییر مرکز سرویس دهنده اینترنت بدون نیاز به تغییر IP های داخلی

* حفاظت از یک شبکه حساس در مقابل برخی حملات خارجی

* تغییر پورت مقصد پکت ها برای کاربران داخلی به صورت transparent

Byadmin

نرم افزار های مانیتورینگ شبکه

معرفی ویژگی های مهم پنج نرم افزار نمونه مانیتورینگ شبکه

نرم-افزار-های-مانیتورینگ-شبکه-خدمات-و-سرویس-های-شبکه-و-دیتاسنتر

Nagios: نگیوس یکی از نرم افزارهای پر طرفدار متن باز در حوزه ی نرم افزار های مانیتورینگ سرویس های شبکه است . این نرم افزار نمایی از سرویس ها و هاست ها و هشدارهایی در خصوص  وضعیت سرویس ها (on ، up …) به کاربران شبکه نشان می دهد.

نگیوس در ابتدا تحت اسم Netsaint ایجاد و نوشته شده بود، “Sainthood” (یا تقدیس) که مرجعی برای اسم اصلی این نرم افزار می باشد، در پاسخ به رقابت قانونی با مالکان مارک های تجاری مشابه، مجبور به تغییر شد.

Agios”” نیز لغتی یونانی به معنی “Saint” (یا مقدس) می باشد. N.A.G.I.O.S (با تلفظ / نگیوس/) در حال حاضر توسط Ethan Galstad همراه با یک گروه توسعه دهنده ، که از حامیان فعال پلاگین های اداری و نیز غیر اداری، می باشد پشتیبانی می شود.

Nagios یک سیستم کامپیوتری  متن باز و نیز برنامه ای  کاربردی برای نظارت شبکه می باشد. نگیوس در اصل به منظور کار،  تحت GNU/Linux طراحی شده بود، اما روی یونیکس های گوناگون دیگر نیز به خوبی اجرا می شود. این یک نرم افزار رایگان است.

در ذیل به برخی از ویژگی های این نرم افزار اشاره می شود.

  • مانیتورینگ سرویس های شبکه از قبیل: (SMTP, pop3,HTTp,NNTP,ICMP,SNMP,FTP,SSH).

  • مانیتورینگ منابع تعریف شده، برای هاست های شبکه از قبیل: (پردازش بار سیستم، میزان فضای استفاده از هارد دیسک، ذخیره logهای سیستم و… ) همچنین این این نرم افزار قادر است از طریق فعال کردن پلاگین Check_MK روی سرور نگیوس، و نصب نرم افزار NSClient++ بر روی سیستم عامل ویندوز، مانیتورینگ سیستم عامل های ویندوزی را هم داشته باشد.

  • مانیتورینگ بر روی همه وضعیت های شبکه از  قبیل مشکلات هاست ها (دما، هشدارها…) از طریق نوشتن Script هایی  که برای جمع آوری داده ها در سراسر شبکه صورت می گیرد.

  • مانیتورینگ از طریق  اسکریپت های اجرا شده از راه دور توسط  فعال کردن پلاگین های از پیش تعریف شده .

  • قابلیت کنترل سرور نگیوس، از را دور توسط سرویس هایSSH یا . SSL

  • قابلیت نوشتن پلاگین های ساده ای از طریق (,Perl ,C++ ,Shell scripts ,Payton ,Ruby,PHP C#و غیره) برای چک کردن سرویس هایی که به کاربران اطلاعات بیشتری از وضعیت شبکه می دهد.

  • وجود Plugin هایی برای ترسیم نمودار های داده ای از قبیل: (Nagiosgraph,PHP4Nagios Splunk for Nagis و غیره).

  • قابلیت چک کردن سرویس ها به صورت موازی و همزمان.

  • قابلیت تعریف هاست ها در شبکه به صورت سلسله مراتبی، همچنین قابلیت تشخیص هاست های Down شده از Unreachabl.

  • ارسال پیام هنگام بروز مشکل یا برطرف شدن آن،  برای هاست ها یا سرویس ها از طریق , e-mail ,pager SMSو یا از طریق تعریف پلاگین ها.

  • امکان بکاپگیری از logفایل ها.

  • امکان مانیتوریگ از سرور های بکاپ.

  • وجود رابط گرافیکی برای تماشای نمایی از شبکه، log فایل ها، هشدارها، مشکلات و…

  • ذخیره سازی داده ها در فایل های متنی علاوه بر پایگاه داده .

    نرم افزار های مانیتورینگ شبکه خدمات و سرویس های شبکه و دیتاسنتر Nagios

· Home Page: http://www.nagios.org

· Author: Ethan Galstad

· Latest stable release:  3.2

· License: Open Source. GNU.

· Read more about Nagios at Wikipedia.

:Cactiیکی از نرم افزارهای متن باز مانیتورینگ شبکه است، که به صورت تحت وب  و گرافیکی در فواصل زمانی مشخصی اطلاعاتی را از وضعیت شبکه و سرویس ها در قالب نمودارها و گراف ها (بر اساس  پکیج RRDtools) به کاربر نشان می دهد، با طور کلی این نمودار های زمانی پارامترهایی مانند بار CPU، میزان استفاده از پهنای باند و… را به کاربر شبکه نشان می دهد.

یکی از موارد استفاده متداول از این نرم افزار نظارت بر ترافیک شبکه به وسیله ی جمع آوری اطلاعات سوئیچ ها و روتر ها از طریق پرو تکل SNMP می باشد.

این نرم افزار به زبان PHP نوشته شده و کاربران مختلف می توانند مجموعه گراف مخص به خود را مشاهده کنند. از این نرم افزار  گاهی اوقات توسط ارائه دهندگان خدمات میزبانی وب استفادهمی شود (به خصوص سرور اختصاصی، سرور مجازی خصوصی ، و ارائه دهندگان خدماتcollocation) برای نشان دادن میزان استفاده کاربران از پهنای باند به کار می رود.همچنین اطلاعات جمع آوری شده در سطح شبکه را  بدون نیاز به تنظیات RRDtools برای  (نمایش گراف ها و نمودارها) به کاربر نشان می دهد.

این نرم افزار، برای پروژهای کوچکتر سمت سرور نیاز به نصب  پکیج cmd.php و برای پروژه های بزرگتر نیاز پکیج هایی به زبان C دارد.

نرم افزار های مانیتورینگ شبکه خدمات و سرویس های شبکه و دیتاسنتر Cacti

· Home Page: http://www.cacti.net

· Latest stable release: 0.8.7e

· License: Open Source. GNU.

· Read more about Cacti at Wikipedia.

:(and other top variations)Top

ntop (Network Top):

:ntop یکی از نرم افزارهای رایگان مانیتورینگ شبکه است. که خروجی ای شبیه به دستور top ( میزان استفاده از Cpu به صورت online نشان می دهد.) ایجاد می کند.

خروجی نرم افزار ntop در فایلی با پسوند HTML وجود دارد. در ضمن برای نصب این نرم افزار نیازی به نصب وب سرور نیست زیرا به طور پیش فرض وب سرور دارد.

htop (interactive process viewer for Linux):

:htopاین نرم افزار با داشتن کمی ویژگی های بیشتر بسیار شبیه ntop است. مهم ترین خصوصیت آن  این است که با موس می توان بر روی منو های آن کلیک کرد.

نرم افزار های مانیتورینگ شبکه خدمات و سرویس های شبکه و دیتاسنتر ntop

Zabbix:یکی از نرم افزارهای رایگان مانیتورینگ شبکه است، با گواهینامه تجاری از شرکتSIA zabbix این شرکت بحث توسعه این نرم افزار را به عهده دارد. این نرم افزار برای مانیتور کردن داده ها نیاز به دیتابیس های MySQL،PostgreSQL، SQLlite،Oracle،IBM DB2 دارد.

زابیکس مانیتورینگ سرویس های شبکه، سرورها و سخت افزار شبکه را انجام می دهد همچنین این نرم افزار از سمت سرور نیاز به زبان Cو چون تحت وب است نیاز به php دارد. این نرم افزار قادر به چک کردن وضعیت چند سرویس ساده مانند SMTP یا HTTP بدون نصب هیچ برنامه ای از سمت کلاینت می باشد. همچنین زابیکس بر روی سیستم عامل های یونیکسی و ویندوزی نصب می شود و پارامترهایی نظیر میزان استفاده از CPU، ترافیک شبکه، میزان فضای استفاده از هارد دیسک و غیره را کنترل می کند. همچنین با انجام تغییراتی در هنگام نصب زابیکس سرویس هایی نظیر ,SNMP TCPو ICMP و به همان خوبی سرویس های IPMI، SSH،telnet را بر روی کلاینت هامانیتور میکند. این نرم افزار از مکانیزم اخطار برای سیستم های real-time مانند XMPP پشتیبانی می کند.

Zabbix از سه ماژول مهم زیر پیروی می کند.

· Server (written in C)

· Agents (written in C)

· Frontend (PHP and Javascript)

نرم افزار های مانیتورینگ شبکه خدمات و سرویس های شبکه و دیتاسنتر Zabbix

· Home Page: http://www.zabbix.com

· Latest stable release: 1.6.6

· License: Open Source. GNU.

· Developed by: Zabbix SIA (Private company)

· Read more about Zabbix at Wikipedia

Munin: یکی از نرم افزارهای متن باز مانیتورینگ شبکه، یا سیستم ها می باشد. که خروجی را به صورت گرافیکی و تحت وب به کاربر شبکه نشان می دهد علاوه بر اینکه کار کردن با این نرم افزار بسیار راحت و آسان است، حدود 500 پلاگین از پیش تعریف شده برای این نرم افزار وجود دارد که به قابلیت های این نرم افزار اضافه می کند. شما با استفاده از این نرم افزار به راحتی می توانید وضعیت های مختلف سیستم ها ، شبکه و SANs خود را مانیتور کنید.

در واقع این نرم افزار بیشتر به دنبال پیدا کردن تفاوت های شبکه در هر روز است و همچنین برای تهیه گزارش ها توسط پکیج RRDtools که به زبان Perl نوشته شده استفاده می کند. منطق این نرم افزار به این صورت است که شامل یک نود های اصلی و چندین نود های فرعی است که نود اصلی توسط ارتباط برقرار کردن با سایر نود ها اطاعات مربوط به وضعیت شبکه را جمع آوری می کند و توسط پکیج RRDtoolsکه بر روی سرور یا سیستم نصب شده است، به صورت نمودار یا گراف به کاربر شبکه نشان می دهد. از ویژگی های این نرم افزار می توان قابلیت تعریف پلاگین های جدید را نام برد.

نرم افزار های مانیتورینگ شبکه خدمات و سرویس های شبکه و دیتاسنتر Munin

· Home Page: http://munin.projects.linpro.no

· Latest stable release: 1.2.6

· License: Open Source. GNU.

· Read more about Munin at Wikipedia

منبع: (ترجمه) http://www.thegeekstuff.com/2009/09/top-5-best-network-monitoring-tools

Byadmin

پوتی Putty چیست؟

Putty برنامه‌ای برای سرویس‌گیرنده‌ها است که استفاده از پروتکل‌های SSH، Telnet و Rlogin از راه دور به سیستم تحت لینوکس متصل می شود. برای شرح این نرم‌افزار بایستی با برخی اصطلاحات آشنا باشیم:

درگاه(Port): شماره برنامه بر روی یک کامپیوتر خاص و یا به عبارت بهتر شماره شناسایی نرم‌افزار است. مثلاً معمولاً برنامه webserver دارای درگاه ۸۰ است.

نرم-افزار-شبکه-ای-پوتی-ارتباط-ریموت-Putty

SSH: استانداردی برای اتصال به هسته لینوکس می‌باشد این استاندارد اطلاعات را به صورت رمز شده ارسال می‌کند.

Telnet: امکانی است برای چک کردن وجود یک برنامه روی یک درگاه و اتصال به آن.

Rlogin: استاندارد دیگری برای اتصال به سیستم از راه دور.

Raw: استاندارد دیگری برای اتصال است که امروزه کمتر استفاده می‌شود.

به کمک Putty می‌توان در محیط ویندوز از راه دور به یک سیستم لینوکس اتصال برقرار کرد. برای این منظور ابتدا فایل Putty.exe را اجرا می‌کنیم. محیطی همچون شکل روبرو باز می‌گردد. از طریق بخش Category می‌توان تنظیمات این برنامه را جهت اتصال به سرور مورد نظر تغییر داد.

در بخش host name or IP address نام یا IP سیستم موردنظر را وارد می‌نماییم. برای اتصال امن‌تر از استاندارد SSH و درگاه پیش‌فرض ۲۲ استفاده می‌کنیم. می‌توان این نام و IP جهت استفاده مجدد ذخیره نمود. بعد از وارد نمودن IP سیستم، کلید Open را فشار می‌دهیم تا محیط Linux باز گردد. اگر با شبکه جهانی متصل نباشیم پیام خطایی می‌گردد. در صورتی که بدون خطا به سرور لینوکس متصل شویم در آغاز نام کاربری و رمز عبور پرسیده می‌شود: و آنگاه پرامت لینوکس که دارای فرم کلی زیر است ظاهر می‌گردد:

username@localhost

در صورت ریموت موفق شکل زیر ظاهر می شود که باید بر روی گزینه Yes کلیک می کنیم.

Putty-نرم-افزار-طراحی-و-راه-اندازی-شبکه

Byadmin

مفهوم مکانیزم Split Horizon

Split Horizon یکی از روش ها و یا قوانین کنترل ( Loop ) در شبکه های Dynamic Routed ، که ترافیک آنها توسط روتینگ پروتکل روت میشود است ، در واقع به کمک Split Horizon ، میتوان از بروز دور و تسلسل (Loop) که یکی از مهمترین آفت های روتینگ پروتکل ها ، در شبکه است ، جلوگیری کرد .

Split Horizon با اتکا به اصلی  بسیار ساده و کارا ، از بروز چرخه یا loop در شبکه جلوگیری میکند ، بدین ترتیب که :

”  هیچ گاه ، Network هایی که در یک update از یک اینترفیس (interface) دریافت شده ، از همان interface دوباره (تبلیغ) Advertise نمیشود “

این بدین معنیست که بر طبق قانون Split Horizon ، هر گاه یک روتر توسط یک اینترفیس خود ، مثلا Fast0/0 با روتری همسایه باشد ، و در یک Update ، نتورکی ، مثلا 192.168.0.0/24 را از آن روتر دریافت کند ، هیچ گاه ، دوباره نتورک 192.168.0.0/24 را نه به روتر مبدا ، و نه به هیچ روتر دیگری که بر روی همان اینترفیس با آن همسایه است ، تبلیغ نخواهد کرد .

split horizon چیست

این قانون بسیار کاراست و باعث جلوگیری از به وجود آمدن بسیاری از Loop ها در شبکه های حتی بزرگ نیز میشود ، فقط در بعضی موارد خاص اقدام به غیر فعال کردن این قابلیت بر روی اینترفیس ها میکنند ، برای مثال یک شبکه RAS یاDMVPN که که قبلا به توضیح آن پرداختیم ، در نظر بگیرید ، در صورت فعال بودن Split Horizon ، هیچ روتینگ پروتکلی ، قادر به کارکرد نخواهد بود ، به لحاظ اینکه ، تمامی روتر ها بر روی اینترفس tunnel خود ، با روتر هاب ، همسایه هستند ، لذا ، بنا بر قانون Split Horizon ، روتر هاب ، از ارسال آپدیت نتورک ها خود داری میکند ، زیرا از همان اینترفیس آنها را دریافت کرده است ، بنابراین میبایست در برخی موارد و نیز در شبکه های کنترل شده LAN و Frame Relay به شکل Point to Multipoint ، اقدام به غیرفعال نمودن Split Horizon بر روی روتر سیسکو ، جهت کارکرد صحیح روتینگ پروتکل ها ، نمود ، البته شایان ذکر است که Split Horizon به صورت default برای RIP بر روی Frame Relay ، غیر فعال است .

جهت غیر فعال کردن Split Horizon بر روی روتر سیسکو و یک اینترفیس ، در یک شبکه EIGRP از این دستور استفاده نمائید :

Aka-Core(config-subif)#no ip split-horizon eigrp 1

split horizon

از آنجایی که کشور آمریکا ، مهد تکنولوژی و نظم و امنیت و صدالبته آزادی omg! و حقوق بشرو طرفدار سینه چاک دسترسی عموم به جریان آزاد اطلاعات است ، این قانون با نام مستعار Smith-Mundt’s در سال 1948 ، حتی قبل از ظهور شبکه :)) در آمریکا تصویب و براساس آن ، دریافت هرگونه اخبار ، شانتاژ ، تهاجم فرهنگی ، فضاسازی ، بمب خبری ، شایعه و … که توسط آمریکا ، برای کشور های مخالف آزادی و مدافع فیلترینگ مثل ایران :دی ، ارسال میشود ، توسط شهروندان شخیص و انسان و گوسپند آمریکایی ، ممنوع است ، لذا تمامی خبرگذاری ها ملزم به جلوگیری از درز اخبار از منابعی مثل voa و امثالهم به رسانه های عمومی و داخلی آمریکا هستند ! و اینگونه شهروندان در رفاه و آرامش و صد البته آزادی ، به خوبی و خوشی در مراتع سرسبز ، زندگی ، نه ،  میچرند !!

بین کارشناسان و فعالان آمریکایی ، این قانون به دیوار آتش Firewall خودمان ، مثل ASA سیسکو :دی ، معروف است :)) !