سيسکو به پارسی

ساعتی پیش خبر فوری از محصول جدید سیسکو را روی بلاگ / فیس بوک و توییتر قراردادم که با مخالفت سیسکو از روی سایت برداشتم روز 20 اکتبر این محصول Public میشود تا آن روز باید صبر کنیم. اگر نسخه ای از آن را در سایت دیدید لطفا فعلا صبر کنید لینک صفحه فعلا غیرفعال است. جالب اینجاست که سیسکو با Twitter و Google Alert تمام بلاگ های CCIE را تحت نظر دارد و از Google Translation برای ترجه آن استفاده میکند… سرعت این کار بسیار عجیب بود.

در یکی از پستهای  قبلی به محدودکردن پهنای باند توسط MQC پرداختیم. پرسشی که بسیاری از دوستان مطرح کردند، به روش کنترل پهنای باند برای مصارف گوناگون نظیر رزرو عدد مشخصی برای ترافیک Voice یا یک سرور خاص بر میگشت. در این پست به اختصاص پهنای باند گارانتی برای سرویس خاص می پردازیم.

این روش نیز از MQC یا Modular QoS Command Line استفاده میکند. یعنی ترافیک مورد نظر را با کمک یک ACL یا NBAR یا هر روشی ابتدا برای سیسکو درون یک Class-Map تعریف میکنیم… سپس درون یک Policy-Map یک سیاست نظیر محدودکردن، گارانتی، Shape و غیره را روی آن ترافیک اعمال میکنیم. اما کار به اینجا تمام نمی شود چون باید Policy به یک Interface ربط داده تا ترافیک ورودی یا خروجی (یا هردو) را کنترل کند. پس دید ما در پیاده سازی MQC بصورت Interface ی است: ترافیک ورودی / خروجی پورت (یا پورت ها). ترافیک ورودی را Inbound و خروجی را با Outbound مشخص میکنیم.

نکته:

برخی از دستورات نظیر گارانتی پهنای باند که با دستور Bandwidth اعمال میگردند تنها در زمان Congenstion (کمبود پهنای باند) عمل میکنند. یعنی وقتی پهنای باند پر شد این دستور شروع به کار میکند و برای مصرف خاصی که در Class-map مشخص کرده اید حداقل پهنای باندی را رزرو میکند. اما سیسکو از کجا پهنای باند کل پورت را تشخیص میدهد تا Congestion را Detect کند؟ از روی پهنای باند کل Interface یعنی روی Interface Fast Ethernet که سرعت آن 100Mbps است وقتی مصرف به 96-98 مگ رسید Congestion تشخیص داده شده و دستور Bandwidth شروع به کار میکند که این برای بعضی کاربران مناسب نیست… زیرا که سرویس دهنده تنها 2 مگابیت به آنها اختصاص داده و Congestion باید روی سقف 2 Mbps تشخیص داده شود نه پهنای باند کل Interface.

برای این کار باید خودمان ترافیک خروجی خودمان را محدود کنیم. و درون این محدودیت (که با دستور Shape یا Policy انجام میشود) مقداری پهنای باند برای سرویس خاصی تخصیص دهیم.

در مثال زیر سرویس Voice ما از IP 10.0.0.10 استفاده میکند و میخواهیم روی پهنای باند 1mbps خود، 128kbps برای ترافیک Voice اختصاص دهیم:

!
ip access-list standard Voice
permit 10.0.0.10
!
class-map match-all Voice
match access-group name Voice
!
policy-map Voice
class Voice
  bandwidth 128
!
policy-map Parent
class class-default
  shape average 1000000
  service-policy Voice
!
interface Ethernet0/0
ip address 172.16.35.5 255.255.255.0
service-policy output Parent
!

توجه داشته باشید که Interface ما Ethernet است یعنی پهنای باندی تا 10mbps را پشتیبانی میکند اگر بدون Policy Parent تنها Voice Policy را اعمال میکردیم وقتی پهنای باند 10 مگ پرمیشد تازه کار رزرو صورت میگرفت که زیاد به درد ما نمیخورد! چون پهنای باند ما هیچ وقت اجازه ندارد به این اندازه برسد… توسط سرویس دهنده محدود شده است. به این روش پیاده سازی Nested Model یا مدل تودرتو اجرای MQC میگویند. یک Policy کل پهنای باند خروجی را محدود میکند و Policy دیگر درون آن محدودیت، قانون دیگری وضع میکند…

R5#sh policy-map interface e0/0
Ethernet0/0

  Service-policy output: Parent

    Class-map: class-default (match-any)
      9 packets, 828 bytes
      5 minute offered rate 0 bps, drop rate 0 bps
      Match: any
      Traffic Shaping
           Target/Average   Byte   Sustain   Excess    Interval  Increment
             Rate           Limit  bits/int  bits/int  (ms)      (bytes)
          1000000/1000000   6250   25000     25000     25        3125

        Adapt  Queue     Packets   Bytes     Packets   Bytes     Shaping
        Active Depth                         Delayed   Delayed   Active
        -      0         9         828       0         0         no

      Service-policy : Voice

        Class-map: Voice (match-all)
          0 packets, 0 bytes
          5 minute offered rate 0 bps, drop rate 0 bps
          Match: access-group name Voice
          Queueing
            Output Queue: Conversation 73
            Bandwidth 128 (kbps)Max Threshold 64 (packets)
            (pkts matched/bytes matched) 0/0
        (depth/total drops/no-buffer drops) 0/0/0

        Class-map: class-default (match-any)
          9 packets, 828 bytes
          5 minute offered rate 0 bps, drop rate 0 bps
          Match: any

امروز نسخه جدید IOS که ورژن 15 آن است ارائه شد.

آخرین نسخه IOS قبل از آن 12.4 بود که در سال 2005 و با تغییرات عمده ای در سایت سیسکو قرارگرفت و برخی عقیده دارند سیسکو بخاطر نحسی عدد 13 و عدد پس از آن که در افسانه های بابل و یونان است و دلایل خرافی پرشی به ورژن 15 کرده که بنظر بعید می آید.

تصویر زیر روتر های پشتیبانی شده در نسخه IOS15 را نشان میدهد:

احتمالا نسخ 13 و 14 هیچ وقت بصورت یک Major Release بیرون نیامدند و سیسکو پس از 5 سال پرشی به نسخه 15 کرده است.

سخت افزارهای پشتیبانی شده در IOS15:

www.cisco.com/en/US/docs/ios/15_0/15_0_1_m/15_0_1_m_newfeatlist.html#wp1055069

سخت افزار هایی که پشتیبانی نمیشوند:

Hardware lines that are not supported in 15.0

مزایای جدید:

Large set of new software features

و لیست میزان RAM مورد نیاز برای IOS جدید:

http://www.cisco.com/en/US/docs/ios/15_0/release/notes/150MFEAT.html

بدین صورت بصورت رسمی باید مجلس ختمی برای سری 2600XM و 3600 و 3700 برگزار کنیم. آخرین نسخه قابل استفاده برای سخت افزارهایی که پشتیبانی نشده اند نسخه 12.4T10 است.

برای اطلاعات بیشتر:

http://www.cisco.com/en/US/products/ps10591/tsd_products_support_series_home.html

با عرض سلام و احترام خواهشمند است در صورت امكان راهنمائي بفرمائيد.

به استحضار مي رساند كه در شبكه اي كه من Admin آن يك سري مشكلات وجود دارد كه جهت كمك و راهنمايي و حل مشكل حضورتان ارسال مي گردد:

1- شبكه ما از طرح سه لايه سيسكو استفاده شده است. جهت كنترل دسترسي به سوئيچ ها نيز از نرم افزار CSACS استفاده مي كنيم. شبكه داراي 8 سوئيچ لايه توزيع مي باشد و 2 عدد هسته و 83 عدد دسترسي از نوع هاي مختلف شركت سيسكو مي باشد. به تمامي سوئيچ هاي لايه دسترسي با نرم افزار Logهin , CSACS مي كنيم يعني هر شخصي با نام كاربري و رمز عبور خود كار مي كند ولي بر روي سوئيچ هاي توزيع به محض اينكه دستورات Authenticating CSACS را مي زنيم و IP كامپيوتر مربوط به كامپيوتري كه بر روي آن نصب است Authenticating Faile مي دهد. همين طور بر روي سوئيچ Core لطفاً راهنمايي فرمايند.

2- در روتينگ پروتكل موجود اي آي جي ر پي نيز هرگاه يك Vlan اضافه مي كنيم به ليست Vlan هاي سوئيچ توزيع بدون اينكه درNetworkهاي EIGRP آنرا add كنيم مي توانيم در هر جاي شبكه آن Vlan را Ping كنيم در صورتيكه اساس كار EIGRP بر اين است كه به ازاي هر Vlan ايجاد شده بايد در ليست Network هاي همسايه اش وارد شود تا كار كند. در صورت نياز فايل Config هاي سوئيچ هاي توزيع و دسترسي ارسال مي گردد. در ادامه اگر بتونم با شما بصورتي ارتباط داشته ياشم يا كلاس داشته باشيد ميتونم برسم حضورتون .

با تشكر

مويدي

پاسخ:

دوستان عزیز لطفا از بخش پرسش و پاسخ برای مطرح کردن سوالات استفاده کنید، ارسال email تنها برای موارد کاری می باشد و ممکن است email های شما بی پاسخ بماند. در ضمن این سایت برای Share کردن مطالب و فایل و کپی های غیرقانونی نیست – تنها مطالب ایجاد شده در این سایت در بخش Download قرار میگرند.

اما در مورد سوال دوست خوبمان، مشکل در هنگام تنظیم AAA به این صورت اتفاق می افتد که ابتدا باید دستورات مربوط به  AAA وارد شود سپس دستورات مرتبط با خود سرور TACACS و RADIUS . در ضمن مراقب دستور aaa authorization commands باشید که منجر به قطع شدن ارتباط شما میشود. مشکلی که با IOS وجود دارد این است که دستورات یکی یکی باید وارد و اجرا شوند و ترتیب آنها میتواند گاهی مشکل ساز شود.

با کمک دستور زیر میتوانید برای Console استثنا قائل شوید تا اگر از Console روتر را تنظیم میکنید از شما Authrorization نخواهد:

aaa authentication login CONAUTH local
aaa authorization console
aaa authorization exec CONAUTH local
aaa accounting exec CONAUTH none
aaa accounting commands 0 CONAUTH none
aaa accounting commands 1 CONAUTH none
aaa accounting commands 15 CONAUTH none
!
line con 0
authorization exec CONAUTH
accounting commands 0 CONAUTH
accounting commands 1 CONAUTH
accounting commands 15 CONAUTH
accounting exec CONAUTH
login authentication CONAUTH

برای اطلاعات بیشتر:

http://blog.shafagh.com/2009/01/30/ccie-security-aaa-policies-with-cisco-secure-acs

اما در مورد سوال دوم شما:

مشکل شما را بدون دیدن Configuration میتوان حدس زد احتمالا در یکی از دستگاه های EIGRP دستور Redistributed Connected را زده اید. هیچگاه از دستورات Redistribute استفاده نکنید مگر آنکه هدف آن را بدانید این پروسه باعث میشود تا پروتکل های دیگر درون EIGRP شما inject شوند.

کار بررسی رزومه ها را شروع کردم در این بین یکی از دوستان اشاره کرده بود که دارنده CCIE است لذا به سایت سیسکو رفتم و بعد از بررسی نام او متوجه شدم که چنین چیزی صحت ندارد از او خواستم تا شماره CCIE خود را اعلام کند که هنوز بعد از چند روزپاسخی دریافت نکرده ام.هفته پیش یکی از دوستان سوال کردند آیا با قبولی در امتحان تئوری مدرک و لوگوی CCIE میدهند که پاسخ منفی است و این بهانه شد تا بازهم در پست دیگری به CCIE اشاره کنیم…

ارزش مدرک CCIE به دشواری آن است. مثل آزمون رانندگی دو امتحان متفاوت باید Pass شود. به کسی که آیین نامه را قبول شود گواهینامه نمیدهند. امتحان عملی ملاک اصلی است که بطور متوسط هر کس 3 تا 4 بار آنرا سعی می کند تا قبول شود و هر بار بعد از 8 ساعت کار با 10 دستگاه تنها نهاری 1500 دلاری به میزبانی سیسکو عایدش میگردد مگر آنکه واقعا آماده باشد تا قبول شود.

پس از قبولی در آزمون عملی به شما مدرک، کارت، دسترسی به CCO، پلاک و یک شماره بنام CCIE Number میدهند و هر سال مهمان شام ویژه نمایشگاه Networkers که چندسالی بنام Cisco Live برگزار میشود خواهید بود.

برای دیدن محیط آزمون به لینک زیر مراجعه کنید، ویدویی جالبی جدیدا در Youtube قرار گرفته که دیدنش خالی از لطف نیست:

http://www.youtube.com/watch?v=y-WXl68EJl4

برای شرکت در امتحان من هم مثل بقیه مجبور به ایجاد LAB خانگی شدم که در آن زمان روتر های 2500 و 3660 در ایران به راحتی در دسترس بودند هرچند که دوست عزیزم شاپور سلیمی کمک زیادی کرد او که در آن زمان مشغول فروش نرم افزار حسابرسی اینترنت و Voice خود بنام Nepox بود با توجه به حجم مشتری های مختلف هر چند روز یکبار با یکسری روتر جدید ظاهر میشد بطوری که نهایتا زیاد هم آوردیم!!!

به کمک VLAN Membership Policy Server یا VMPS میتوان کامیپوتر های متصل به شبکه را بصورت داینامیک به VLAN های مربوط به خود (بر اساس MAC Address هر PC) اختصاص داد. بدین ترتیب براساس آدرس MAC ، یک PC را روی سرور به VLAN B اختصاص میدهیم. وقتی PC به پورت سوییچ وصل میشود، سوییچ از سرور سوال کرده و براساس MAC آدرس PC آنرا درون VLAN B قرار میدهد. پس اگر PC را از سوییچی به سوییچ دیگر منتقل کنیم کماکان درون VLAN خود قرار گرفته و نیاز به تنظیم پورت نداریم.

پس VMPS سرور ای است که اطلاعات را به کاربرانش (سوییچ هایی که در خواست اطلاعات میکنند) ارسال میکند.

یک سوییچ سری Cisco 4000/4500/5000/6000/6500 میتواند بصورت VMPS عمل کند و برای سوییچ های دیگر نقش سرور را ایفا کند. تنها سوییچ ها با نرم افزار CATOS توانایی این کار را دارند (سیستم عامل قبلی Catalyst) و سوییچ های IOS ی سیسکو این پروتکل را پشتیبانی نمی کنند.

VQP یا VLAN Query Protocol پروتکل ای است که سوییچ ها برای درخواست اطلاعات از سرور از آن استفاده میکنند. از UDP پورت 1589 استفاده میکند.

در شکل بالا سوییچ سمت راست VMPS و سوییچ سمت چپ در نقش VMPS Client بواسطه VQP با هم برسر قرار دادن PC در VLAN خود ارتباط برقرار میکنند.

مشکل برخی از شبکه های سازمان هایی که VMPS را پیاده سازی کرده اند این است که سیسکو دیگر از این پروتکل پشتیبانی نمیکند پس مشتریان نیز نمی توانند سوییچ های 6500 خود را به IOS مجهز کنند و مجبورند از CatOS قدیمی استفاده کنند. سیسکو قبلا دستگاهی بنام VPS 110X ارائه کرد که یک VMPS بصورت یک سرور مستقل است که امروزه ارائه نمیشود. سیسکو URT نیز که عملکرد مشابهی داشت دیگر ارائه نمیگردد.

البته با وجود OpenVMPS میتوان کار سرور را به یک Linux داد:

http://sourceforge.net/projects/vmps

تنظیم سوییچ های Access برای برقراری ارتباط با سرور بسیار ساده است:

vmps server ipaddress
!
interface fastethernet 0/1
switchport mode access
switchport access vlan dynamic

باید توجه داشت که این تکنولوژی دیگر از سوی سیسکو پشتیبانی نمیشود و بجای آن میتوان از IEEE802.1X و NAC استفاده کرد. نگاه سیسکو امروزه به سمت پروتکل های استاندارد است تا پروتکل های Proprietary …

جهت اطلاعات بیشتر جهت تنظیم VMPS روی CatOS:

Configuring Dynamic Port VLAN Membership with VMPS

Configuring Dynamic VLAN Membership

Troubleshooting the Catalyst VMPS Switch

گاهی اوقات پس از اینکه Tunnel مورد نظرمان را به کمک GRE تنظیم کردیم، با وجود اینکه قادر به Ping کردن یا Telnet به سمت مقابل هستیم اما صفحات و Page های اینترنت را نمیتوانیم باز کنیم یا مثلا FTP کار نمیکند. اما مشکل از کجاست؟

MTU به معنی Maximum Transmission Unit حداکثر دیتای قابل انتقال در یک بسته (Packet) یا فریم است. درون هدر TCP نیز این قابلیت تحت نام MSS یا Maximum Segment Size وجود دارد که برای قراردادن عدد میزان مجاز Data از لایه Application درون هر TCP Segment در نظر گرفته شده. وقتی که از Tunnel یا هر پروتکلی که Overhead روی دیتای IP ما قرار میدهد استفاده کنیم سایز نهایی ممکن است بزرگتر شده و ارتباط دچار مشکل شود.

در مثال بالا پس از اینکه کلاینت سعی به برقراری ارتباط را سرور دارد، ارتباط Client با سرور برقرار میشود و در خلال برقراری TCP میزان MSS موردنظر خود را اعلام میکنند. بر این اساس سایز هر Segment در این ارتباط محاسبه میشود. (Packet به دیتا در لایه 3 میگویند در حالی که Segment به دیتای لایه 4 و TCP اشاره میکند که بعدا درون Packet توسط لایه سه قرار میگیرد. مدل OSI را بخاطر داشته باشید) بنابراین در مثال ما Server به توافق میرسد که 1500 بایت را در هر سگمنت به Client ارسال کند. سگمنت را درون پکت قرارداده و به روتر خود ارسال میکند زمانی که قرار است روتر آنرا Encapsulate کند و درون GRE Tunnel قراردهد روتر متوجه میشود که سایز بسته برای قرارگیری GRE زیاد است و باید بجای یک بسته (با توجه به محدودیت MTU) آنرا درون دو IP Packet قراردهد.

از طرفی بیت DF به معنی Dont Fragment روی بسته ست شده پس نمیتواند آنرا Fragment کرده و در دو بسته ارسال کند پس آنرا دور ریخته و ارسال نمیکند اما به فرستنده پیام معروف ICMP را ارسال میکند:

Internet Control Message Protocol (ICMP) type 3 code 4 packet 
(Destination Unreachable; Fragmentation Needed and DF set)

و بسیار معمول است که ICMP را آدم بی کاری این بین بعنوان تمهیدی امنیتی Block کرده باشد و لذا این پیام نرسد. پس از شناخت اشکال ارتباط پیدا کردن راه حل ساده شد چندین کار بعنوان راه حل میتوان انجام داد:

توسط یک  Policy بیت DF را 0 کنیم تا بسته قابل Fragment شدن شود.

Access-List شماره 169 رنج شبکه متصل به روتر را که قرار است داخل تونل رود اما بیت پکت های آن نباید با DF مارک شوند تنظیم میکند.

یکی دیگر از راه های حل این مساله تغییر سایز MTU و MSS است:

این مشکل ممکن است روی پروتکل های دیگر که Encapsulation چند باره دارند برخورد کنید نظیر PPPoE در ADSL که توسط اصلاح MSS و MTU قابل حل است بطور مثال در ADSL تنظیم بالا را بجای تانل درون Interface Dialer انجام میدهیم.

اوضاع اقتصادی جهان طبق آمار و شواهد از سال آینده رو به بهبودی میرود اما با این حال در این نقطه از زمین اوضاع تا حدودی بهتر شده و اقتصاد خاورمیانه با کمک ثروت پنهلن در خاکش کمتر از بقیه صدمه دیده است. با اینکه حجم پروژه ها کمتر شده اما فرصت های استثنایی برای فعالیت در زمینه IT بخصوص امنیت شبکه و Datacenter ها کماکان وجود دارند و هر از چند گاهی ما را شاد و شارژ می کنند.

با توجه به مشغله و درگیری فعلی ام قادر به سفر به ایران نیستم برای پروژه های داخل ایران و برخی پروژه های خارج از کشور در خاورمیانه (اکثر دبی، ابوظبی و قطر) به مهندسین و متخصصین خوب شبکه نیازمند.

اکثر پروژه هایی که به من ارجاع داده میشود مشاوره و یا کمک در ارائه راه حل و یا طراحی معماری شبکه های Datacenter ، ServiceProvider و Security است اما در برخی موارد نیاز به پیاده سازی و اجرا و حتی پشتیبانی دارد که در بسیاری از موارد بصورت Remote و از راه دور و اینترنت میسر نیست. دوستانی که کمک میکردند نیز تعدادشان بنا به دلایل مختلف کمتر شده است و تنوع تخصص مورد نیاز با توجه به رشد IT بیشتر. بهترین راه برای جذب نیروی جدید از طریق همین بلاگ خودمان است که اکثر مخاطبین آن از متخصسین فعلی یا آینده شبکه خواهند بود. و اما دعوت از:

متخصص Cabling و عملیات Passive شبکه

مهندس شبکه های مایکروسافت و Active Directory و آشنایی با ISA و Exchange

متخصص آشنا با مدیریت پروژه های فیبرنوری Burial و حفاری

متخصص نصب آنتن های VSAT برای ارسال و دریافت شبکه های IP/DVB

متخصص شبکه آشنا با سیسکو. (در حد روترها و سوییچها)

مهندس امنیت شبکه آشنا با Cisco ASA و FWSM و MARS و NAC

متخصص شبکه برای نصب سوییچ های Foundry – Brocade و همچنین HP Procurve

مهندس شبکه مسلط به Juniper، JUNOS و NetScreen, ScreenOS و همچنین Checkpoint Firewall

متخصص برنامه نویس تحت شبکه آشنا با TCL و Perl و OOP و Linux

متخصص Penetration Testing و آشنا با مفاهیم Inident Response و Incident Handling و Disaster Recovery با مدرک CISA، CISSP و CEH.

کارشناس نصب سیستم های تلفنی Nortel، Avaya و سیسکو IP Telephony.

لطفا CV و رزومه خود را به آدرس cv@shafagh.com برایم ارسال کنید. (فرمت Word یا PDF یا HTML)

در صورتیکه مایل هستید نام و سوابق شما مخفی نگاه داشته شود لطفا در Subject کلمه Confidential را ذکر کنید (یا درون متن به آن اشاره کنید. چون ممکن است برخی از این CV ها برای شرکت های دیگر ارسال کنم یا در سایتی قرار دهم.)

نحوه همکاری بصورت Part Time یا Full Time و یا بصورت Project Based (همکاری موردی – پروژه ای و ساعتی) و همچنین نرخ خود را در صورت تمایل عنوان کنید.

محل اقامت و دارا بودن گذرنامه را – اگر مایل بودید – عنوان کنید.

سابقه و پیشینه مهمتر از Certificate و مدرک است لطفا حتما کارهایی که انجام داده اید و توانایی انجامش را دارید ذکر کنیدو مسلما داشتن مدرک نیز یک امتیاز بشمار می آید…

یکی از دوستان در نامه ای پرسشی مطرح کرده اند به شرح زیر:

آدرس سایت شما رو خیلی اتفاقی پیدا کردم ، واقعا شگفت زده شدم ، خوشحالم که چنین آدم های متخصصی در کشورمون وجود داره، من یه مقدار در مورد شبکه های VPN خدمتتون راهنمایی میخواستم .

من دوره MCSE رو که میگزروندم با این مبحث آشنا شدم و به دلیل پیچیده گی راه اندازی این سرویس خصوصا IPSec و Certification Server در ویندوز به سمت اجرای این سرویس در سیستم عامل های UNIX رفتم … اما با این پیش ضمینه از تجربیات تئوریم چند سوال در ضمینی تجربی از شما داشتم :

چند سالی هست استفاده از سخت افزارهای Unified Threat Management برای سرویسهایی چون Firewall , IDS , VPN و حتی همه این سرویس ها در یک سخت افزار خیلی زیاد شده .

در صورتی که من تو نمایشگاه با مدیر یکی از همین شرکت های تولید کننده به نام netasq کامل صحبت کردم . میگفت سیستم عامل این دستگاهFreeBSD هست و فایروالش هم همون OpenBSD PF هست و از ISAKMP برای IPSec استفاده میکنه . دقیقا همون سیستم ولی به صورت یک پکیج شیک با یه اینترفیس تحت وب و البته قابلیت بروزرسانی عالی .

فکر میکنم سخت افزارهای سیسکو هم به دلیل قیمت بالاش استفاده خیلی کمی داشته باشند و نسبت به UTM های چند منظوره به صرفه نباشه .

حالا به نظر شما به عنوان یه متخصص من باید در چه زمینه ای فعالیت و تمرکزم رو ادامه بدم ؟

در حال حاضر اجرای پروژهای داخل کشور در این زمینه به چه صورت می باشد ؟ پیشاپیش از راهنمایی هایتان تشکر میکنم

پاسخ:

دوست گرامی

اکثر Appliance های (وقتی یک سخت افزار بصورت یک BOX اغلب قابل Rack Mount است ارائه میشود نام Appliance بخود میگیرد – دستگاه) شبکه بر پایه FreeBSD ایجاد شده اند. نمونه آن سیستم عامل قوی JUNOS که در دستگاههای Juniper استفاده میگردد یا خود IOS سیسکو که براساس Variation ی از Unix ایجاد و Compile شده است.

سالیان قبل، زمانی که پروژه فیبرنوری دانشگاه رودهن را انجام می دادم دستگاه NETASQ را جهت امنیت در استفاده از اینترنت خریداری و نصب کردند که با توجه به نیازهای محدود شبکه دانشگاه عملکرد مطلوبی داشت تا اینکه در خارج از کشور نیز با این شرکت فرانسوی بیشتر آشنا شدم. برای بدست آوردن بازار سیسکو برنامه Trade in اجرا کردند که اگر Cisco PIX از رده خارج شده خود را با سری U تولید کننده معاوضه کنید 40 درصد تخفیف به شما داده خواهد شد که نهایتا تعداد دستگاه های فروخته شده از ابتدای کار این شرکت به 45000 میرسد که عدد بزرگی نیست… اگر در همین حد بخواهم دستگاهی با مدیریت بهتر و محبوبتر نام ببرم Sonicwall است.

دستگاه های UTM یا Unified Threat Management یا بعبارت دیگر All-in-one Firewall دستگاههای چند منظوره هستند که کار Firewall؛ IPS؛ Anti-Virus؛ Anti-Malware و VPN و غیره را انجام میدهند. سیسکو با از رده خارج کردن PIX و عرضه ASA در سال 2004 به پیشباز این تکنولوژی رفت دقیقا کاری که NetScreen با سری SSG انجام داد (که توسط Juniper خریداری شد.) تصویر زیر ASA5505 و SSG 5 که از ارزان ترین و کوچک ترین مدل در رده خود هستند را نشان میدهد. (در حدود 400 دلار قیمت دارند)

اگر در دنیای امنیت شبکه سه شرکت برتر بخواهیم نام ببریم: Juniper ، Cisco و Checkpoint بالاترین سهم را دارند شرکت هایی نظیر ISS (که توسط IBM اخیرا خریداری شد) Tipping Point (جدیدا توسط 3Com خریداری شده) و Palo Alto نیز در این میان بازار خود را دارند.

سیسکو اسم این تکنولوژی را Anti-X گذارده که بجای X میتوان Virus ، Malware یا Worm را بعنوان نمونه قرار داد و Partner او در زمینه Anti-Virus بهترین شرکت در این زمینه یعنی Trend-Micro است که سریعترین سایت تشخیص ویروس در اینترنت Antivirus.com را دارد. (NetASQ با Kaspersky همکاری میکند.) سیسکو در سیستم عامل 8.2 که چند هفته پیش ارائه شد تشخیص Botnet را نیز قرارداده و اگر دستگاهی در شبکه شما عضو شبکه های Zombie شده باشد توسط Database مرکزی شناسایی میگردد. دستگاه ASA تکنولوژی های سیسکو نظیر EZVPN را پیشتیانی میکند ضمن اینکه از SSLVPN و Redundancy نیز برخوردار است. هرچند که ضعف هایی نظیر نبود و عدم پشتیبانی از Policy Based Routing، GRE و BGP دارد.

UTM ها کاربرد Small to Medium و Enterprise دارند و در شبکه های Service Provider و Data Center از آنها کمتر استفاده شده – سعی میشود امنیت را بصورت Modular در دستگاههای متعدد با وظایف مختلف در سطوح پایینتر اما دقیقتر همراه با Redundancy پیاده کرد. آیا تکنولوژی امنیت شبکه تنها به UTM ختم خواهد شد، خیر بخش مصرف خانگی (فایروال های VPN با قابلیت بی سیم) و بخشی از شبکه های شرکت ها به آن سمت حرکت خواهد کرد. استفاده از IPS با Firewall ممکن است در سالیان نزدیک کاملا تلفیق شود اما تکنولوژی های Parallel با آنها نظیر دستگاههای Anomaly Detection و DDOS Guard تا Event Correlation و NAC اجازه نخواهند داد تا شما نفس راحتی کشیده و بازه فعالیت و مطالعه خود را به یک سو متمرکز کنید.

بیش از 100 محصول UTM مختلف در بازار داریم. لیست تولیدکنندگان دستگاه های UTM:

O2Security SifoWorks

Palo Alto Networks

Fortinet Fortigate

SonicWall

Watchguard

Crossbeam Systems

Astaro

Untangle

Phion Netfence

Secure Computing’s Secure Firewall and SnapGear

Juniper Networks Firewall

Cisco ASA

Checkpoint UTM

Zyxel

Nokia

IBM

Cyberoam

D-Link NetDefend

Draytek Vigor

Freedom9 freeGuard

eSoft Instagate

Clavister

Gibraltar

SmoothWall

GTA

Hotbrick

SecurePoint

Netasq

GSec1 Prodigy

NetBoxBlue

GAJShield

Celestix MSA

Eland Systems

GateProtect

BlackBox

NetStealth

NetSentron

Arkoon Fast360

Trustix Xsentry

Endian

SecPoint Protector

Calyptix AccessEnforcer

Wiresoft

• من از کدام محصول در منزل استفاده میکنم؟

Cisco ASA5505 که دو پورت POE برای اتصال IPPhone و Wireless Access Point – بدون نیاز به برق (از میان 8 پورت خود) در اختیار میگذارد.

در آخر نگاهی به تست Network World خالی از لطف نیست:

http://www.networkworld.com/reviews/2007/111207-utm-firewall-test

برای هر Interface روتر باید یک IP Address اختصاص داد تا آن Interface بتواند IP Routing انجام دهد و در کل IP صحبت کند. روتر برای Telnet و SSH یا برای HTTP و دیگر سرویس های مدیریتی نظیر SNMP تنها به یک IP نیاز دارد (که قابل دسترس باشد و به Control Plane اختصاص داده شود) اما برای Routing Protocol ها و شبکه های Multi-Access به IP مستقل نیاز دارد تا Routing Table و ARP Table مستقل داشته و بر اساس آن جدول CEF خود را بسازد (Forwarding Plane).

اما برای مصارف ساده نظیر لینک های Point-to-point میتوان از دیگر Interface ها IP قرض کرد…

بطور مثال اگر ارتباط سریال تا نقطه ای دیگر داریم (نظیر Leased Line) میتوان از IP مربوط به Ethernet استفاده کرد

برای این کار از دستور ip unnumbered روی Interface Serial استفاده میکنیم:

interface Serial 0
ip unnumbered Ethernet 0

برای تست و اطمینان:

RouterA# show ip interface brief

Ethernet0    172.16.1.1  YES    manual   up       up

Serial0      172.16.1.1   YES    manual   up       up

تنها مزیت این کار صرفه جویی در اختصاص IP است.

از معایب آن این است که اگر Ethernet  شما به هر دلیل Down شود لینک سریال نیز از آنجا که به IP آن وابسته است قطع میشود به همین دلیل توصیه میشود که IP را به loopback اختصاص دهید و در لینک های سریال به loopback unnumbered کنید چون که loopback همیشه up می ماند.

توجه داشته باشید که IP Unnumbered تنها روی Interface های Point-to-point کار میکند (نظیر Serial و Tunnel) و نمیتوان روی Ethernet  یا بطور کل Multi-access از آن استفاده کرد.

البته از سری جدید IOS 12.4 از IP unnumbered در sub-interface های ethernet پشتیبانی شده است. دلیل آن حرکت شبکه ها از لینک های WAN به استفاده از Ethernet است و در واقع این Sub-interface ها جایگزین لینک های Point to point قبلی میشوند.