درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    اطلاعات دوره آموزشی
    اطلاعات مطلب
      مدرس/نویسنده
      معین وفایی
      امتیاز: 8582
      رتبه:184
      0
      28
      0
      13
      متخصص شبکه های سیسکو و امنیت در شبکه های سیسکو ** متخصص ASA & Fortigate ** دارای مدارک رسمی MTCNA*MTCRE*MCTWE*MTCTCW*MTCUME علاقه مند به Virtualization & Linux توانمند در ایجاد سیستم های IDS و IPS مبتنی بر بستر Open Source پروفایل کاربر
      دوره های مرتبط
      دوره های توسینسو دوره آموزشی مدیریت کلاس از راه دور و مانیتورینگ با NetOP
      دوره آموزشی مدیریت کلاس از راه دور و مانیتورینگ با NetOP
      مدرس: صادق شعبانی
      این دوره را در 2 قسط خریداری کنید
      دوره آموزشی نصب ، راه اندازی و پیکربندی فایل سرور Serv-U
      دوره آموزشی نصب ، راه اندازی و پیکربندی فایل سرور Serv-U
      مدرس: کاظم تقندیکی
      این دوره را در 11 قسط خریداری کنید
      دوره آموزشی نرم افزار ریموت دسکتاپ Team Viewer
      دوره آموزشی نرم افزار ریموت دسکتاپ Team Viewer
      مدرس: صادق شعبانی
      این دوره را در 3 قسط خریداری کنید
      دوره آموزشی تخصصی مانیتورینگ شبکه Zabbix در لینوکس
      دوره آموزشی تخصصی مانیتورینگ شبکه Zabbix در لینوکس
      مدرس: مجتبی اسمائی
      این دوره را در 25 قسط خریداری کنید
      با خرید این دوره مبلغ 7,425 تومان هدیه بگیرید
      دوره آموزشی راه اندازی کلیه VPN سرورهای مایکروسافت
      دوره آموزشی راه اندازی کلیه VPN سرورهای مایکروسافت
      مدرس: محمد نصیری
      این دوره را در 3 قسط خریداری کنید
      آشنایی با زیرساخت های شبکه و پیکربندی کامل مودم های ADSL
      آشنایی با زیرساخت های شبکه و پیکربندی کامل مودم های ADSL
      مدرس: پوریا تعبدی
      این دوره را در 3 قسط خریداری کنید
      دوره آموزشی نصب و راه اندازی Output Messenger در شبکه
      دوره آموزشی نصب و راه اندازی Output Messenger در شبکه
      مدرس: آرش ترابی
      این دوره را در 3 قسط خریداری کنید
       آموزش مانیتورینگ شبکه با نرم افزار قدرتمند ManageEngine OpManager
      آموزش مانیتورینگ شبکه با نرم افزار قدرتمند ManageEngine OpManager
      مدرس: جعفر قنبری شوهانی
      این دوره را در 9 قسط خریداری کنید
      دوره آموزشی بین المللی MCSA ویندوز سرور 2012 کد 70-410
      دوره آموزشی بین المللی MCSA ویندوز سرور 2012 کد 70-410
      مدرس: اسحاق احمدپور
      این دوره را در 37 قسط خریداری کنید
      با خرید این دوره مبلغ 33,880 تومان هدیه بگیرید
      دوره آموزشی تجزیه و تحلیل ترافیک شبکه با Wireshark
      دوره آموزشی تجزیه و تحلیل ترافیک شبکه با Wireshark
      مدرس: محمد عابدینی
      این دوره را در 5 قسط خریداری کنید
      دوره آموزشی جامع نصب و راه اندازی انواع FTP سرور
      دوره آموزشی جامع نصب و راه اندازی انواع FTP سرور
      مدرس: کاظم تقندیکی
      این دوره را در 7 قسط خریداری کنید
      دوره آموزشی نرم افزار وایرشارک ( Wireshark )
      دوره آموزشی نرم افزار وایرشارک ( Wireshark )
      مدرس: مریم علی زاده
      این دوره را در 10 قسط خریداری کنید
      آموزش جامع نصب و پیکربندی Network Monitor Cacti Server
      آموزش جامع نصب و پیکربندی Network Monitor Cacti Server
      مدرس: پوریا تعبدی
      این دوره را در 1 قسط خریداری کنید
      دوره آموزشی نصب ، راه اندازی و پیکربندی ایمیل سرور MDaemon
      دوره آموزشی نصب ، راه اندازی و پیکربندی ایمیل سرور MDaemon
      مدرس: علی آقامیری
      این دوره را در 10 قسط خریداری کنید
      با خرید این دوره مبلغ 5,445 تومان هدیه بگیرید
      دوره آموزشی سناریوهای کاربردی و متنوع در تجهیزات سیسکو با سهیل قاسمی
      دوره آموزشی سناریوهای کاربردی و متنوع در تجهیزات سیسکو با سهیل قاسمی
      مدرس: ُسهیل قاسمی
      این دوره را در 14 قسط خریداری کنید
      دوره آموزشی جامع مانیتورینگ شبکه با  Solarwinds و ماژول ها
      دوره آموزشی جامع مانیتورینگ شبکه با Solarwinds و ماژول ها
      مدرس: جعفر قنبری شوهانی
      این دوره را در 6 قسط خریداری کنید
      نصب ویندوز به روش Backup های مستقل از سخت افزار با Acronis True Image
      نصب ویندوز به روش Backup های مستقل از سخت افزار با Acronis True Image
      مدرس: میلاد فشی
      این دوره را در 4 قسط خریداری کنید
      دوره آموزشی مقدماتی نرم افزار Wireshark
      دوره آموزشی مقدماتی نرم افزار Wireshark
      مدرس: محمد عابدینی
      این دوره را در 8 قسط خریداری کنید
      بهترین دوره آموزشی بین المللی +CompTIA Network در دنیا
      بهترین دوره آموزشی بین المللی +CompTIA Network در دنیا
      مدرس: محمد نصیری
      این دوره را در 64 قسط خریداری کنید
      با خرید این دوره مبلغ 41,760 تومان هدیه بگیرید
      دوره آموزشی سیسکو آسان است
      دوره آموزشی سیسکو آسان است
      مدرس: صادق شعبانی
      این دوره را در 35 قسط خریداری کنید
      با خرید این دوره مبلغ 29,270 تومان هدیه بگیرید

      ارباب حلقه ها - STP - قسمت هفتم

      تاریخ 13 ماه قبل
      نظرات 0
      بازدیدها 202

      امنیت در STP


      همانطور که در مقالات گذشته نیز صحبت کردیم STP از پیام های BPDU استفاده می کند . در شبکه بسیار مهم است که Root Bridge را در کجای شبکه قرار می دهیم و به همین جهت است که انتخاب Root Bridge را به صورت دستی و در اختیار مدیران شبکه قرار داده اند . چرا که تصور کنید سوئیچی نا شناخته به محل از شبکه متصل می شود و بخاطر داشتن یک سری شرایط بهتر نسبت به Root Bridge اصلی اقدام به معرفی کردن و کسب کردن نقش Root Bridge برای خودش داره . سیسکو خصوصیت هایی برای جلوگیری از این کار تعبیه کرده است بنام های Root Guard و BPDU Guard .

      Root Guard


      ما می توانیم از ویژگی Root Guard به منظور کنترل مکان سوییچ Root Bridge استفاده کنیم . بر طبق قانون تمامی سوییچ ها از Bridge ID مربوط به سوییچی که به عنوان Root Bridge انتخاب می شوند اگاهی کامل دارند . اگر ما ویژگی Root Guard را بر روی سوییچ ها فعال کنیم در صورتی که یک پیام BPDU بهتر دریافت کند به Root Bridge اصلی خیانت نمیکند و از انتخاب سوییچ دیگری به عنوان Root Bridge جلوگیری میکند و درکنار این قضیه پورتی را که پیام BPDU بهتر را دریافت کرده در وضعیت Root – Inconsistent قرار می دهد و انتقال هر نوع ترافیک کاربران از این پورت امکان پذیر نخواهد بود .


      نکته : پورتی که در وضعیت Root – Inconsistent قرار بگیرد تنها می تواند پیام های BPDU را دریافت کند .

      نکته : به صورت پیش فرض ویژگی Root Guard بر روی تمامی پورت های سوییچ غیرفعال می باشد .

      Moein_Vafaei_SW(config)#spanning-tree guard root
      


      با دستور زیر می توانیم لیست پورت هایی را که در وضعیت Root – Inconsistent قرار دارند را مشاهده کنیم .

      Moein_Vafaei_SW#show spanning-tree inconsistent
      


      BPDU Guard


      این خصوصیت برای حفاظت از پورت هایی که Port Fast بر رویشان فعال شده است ، ارائه گردیده است .

      مثلا پورتی را که ویژگی Port Fast بر رویش فعال شده را اشتباها به یک سوییچ در شبکه می زنیم و باعث ایجاد حلقه یا Loop در شبکه خواهیم شد یا اینکه احتمال داره سوییچی که متصل به این پورت می شود خودش را به عنوان Root Bridge انتخاب کند .


      در صورتی که بر روی پورتی که ویژگی BPDU Guard بر رویش فعال شده باشد ، هر نوع BPDU ای دریافت شود وضعیت پورت به حالت errdisable تغییر خواهد کرد و تمامی ترافیک های انتقالی بر روی خودش رو بلوکه میکند و یک جورایی در وضعیت Shutdown قرار میگیرد ، برای بر طرف کردن این موضوع هم میشه پورت رو به صورت دستی دوباره فعال کرد یا از حالتی استفاده کرد که بعد از گذشت زمانی به صورت اتوماتیک پورت فعال گردد .

      با دستور زیر می توانیم ویژگی BPDU Guard را بر روی همه اینترفیس هایی که ویژگی Port Fast بر روی آن ها فعال شده نیز فعال کنیم :

      Moein_Vafaei_SW(config)#spanning-tree portfast bpduguard default
      


      و با دستور زیر ویژگی BPDU Guard را فعال یا غیز فعال کنیم :

      Moein_Vafaei_SW(config)# spanning-tree bpduguard enable
      Moein_Vafaei_SW(config)#no spanning-tree bpduguard enable
      


      اختلال در دریافت پیام های BPDU


      تمام عملکرد پروتکل STP به ارسال و دریافت پیام های BPDU توسط سوییچ ها وابسته است ، در نتیجه ارسال تناوبی و کامل پیام های BPDU توسط سوییچ Root Bridge برای زیر نظر گرفتن تغییرات پیش آمده در توپولوژی شبکه ضروری است .

      حالا در نظر بگیرید که یک سوییچ از دریافت پیام های BPDU عاجز باشد .

      در شرایط معمولی هنگامی که چنین مشکلی پیش میاد ، سوییچ این پدیده را به عنوان بروز یک خطا در دستگاه های همسایه خودش در نظر میگیره و پروتکل STP را دوباره اجرا میکند و پورتی که به عنوان Block Port قرار گرفته رو به Root Port بر میگزیند .

      اما شرایطی پیش بیاید که دریافت نکردن پیام های BPDU توسط سوییچ در نتیجه بروز ایرادی در کار دستگاه همسایه نبوده و یا هیچ تغییر خاصی در توپولوژی شبکه روی نداده باشد که باعث ممانعت از ارسال پیام های BPDU به سمت سوییچ یاد شده گردد که این تصور سوییچ و عکس العمل آن برای اجرای دوباره پروتکل STP در زمان دریافت نکردن پیام های BPDU باعث بروز چرخه یا Loop خواهد شد .

      برای بطرف کردن این موضوع سیسکو از دو ویژگی استفاده کرده است .
      ♣Loop Guard
      ♣ UDLD

      ویژگی Loop Guard


      پورتی از سوییچ که در وضعیت Block قرار دارد توانایی دریافت پیام های BPDU را دارد و تا زمانیکه این پیام را دریافت میکند در وضعیت Blocking خود باقی می ماند .
      حال فرض کنید این پورت به هر دلیلی نتواند پیام های BPDU را دریافت کند ، اطلاعات مربوط به آخرین BPDU خود را تا زمان Max Age نگه می دارد ، بعد از گذشت زمان Max Age سوییچ اطلاعات اخرین BPDU را حدف می کند و فرض میکند که این پورت دیگر نیاز نیست در حالت Blocking قرار بگیرد و پورت را در انتخابات STP وارد میکند و تا مرحلهForward شدن این کار را ادامه میدهد که این کار باعث بروز Loop می گردد .

      برای جلوگیری از این ایجاد Loop میشه از ویژگی و تکنیک Loop Guard استفاده کرد . این ویژگی وضعیت دریافت BPDU توسط پورت هایی که در حالت Desiganted نیستند را زیر نظر دارد .

      یعنی چی ؟ یعنی اینکه این پورت های غیر Designated تا زمانیکه پیام های BPDU را دریافت کنند ، میتوانند رفتار پیش فرض و طبیعی خودشون رو داشته باشند ولی زمانیکه دیگر پیام BPDU را دریافت نکنند پورت مورد نظر به حالت Loop-Inconsistent می رود که باعث می شود از بروز Loop و حلقه جلوگیری شود .

      نکته : بصورت پیش فرض ویژگی Loop Guard بر روی تمامی پورت های سوییچ غیر فعال است .

      با دستور زیر می توانیم ویژگی Loop Gurad را بر روی همه پورت های سوییچ فعال کنیم :

      Moein_vafaei_SW(config)#spanning-tree loopguard default
      


      و با دستور زیر Loop Guard رو بر روی اینترفیس مورد نظر خود فعال یا غیر فعال می کنیم :

      Moein_vafaei_SW(config-if)#spanning-tree guard loop
      Moein_vafaei_SW(config-if)#no spanning-tree guard loop
      



      ویژگی BPDU Filtering



      بصورت پیش فرض STP بر روی تمام پورت های یک سوییچ فعال است و از بروز Loop در شبکه جلوگیری میکند و پیام های BPDU از طریق پورت ها ( حتی Port Fast ) ارسال می گردند .

      توصیه می گردد که پروتکل STP را بر روی تمامی پورت های سوییچ در وضعیت فعال نگه داریم اما در شرایط خاص مثلا بر روی پورتی که در حالت Port Fast قرار گرفته است می توانیم با جلوگیری از ارسال پیام های BPDU را در روی همان اینترفیس غیر فعال کنیم .

      نکته : بصورت پیش فرض ویژگی BPDU Filtering بر روی تمامی پورت های سوییچ در وضعیت غیر فعال قرار دارد .

      با دستور زیر ویژگی BPDU Filtering را بر روی تمامی پورت های سوییچ که Port Fast روی آن ها فعال است ، فعال کنیم :

      Moein_vafaei_SW(config)#spanning-tree portfast bpdufilter default
      


      و با دستور زیر BPDU Filter را بر روی اینترفیس مورد نظر خود فعال یا غیر فعال میکنیم :

      Moein_vafaei_SW(config-if)#spanning-tree bpdufilter ?
        disable  Disable BPDU filtering for this interface
        enable   Enable BPDU filtering for this interface
      


      دفاع و تقابل در مقابل BPDU های مخرب

      Inferior BPDU :

      BPDU ای است که از سمتی یک سوییچ که Root Bridge خود را گم کرده است ارسال می شود و در این نوع پیام سوییچ خود را Root معرفی میکند .

      Superior BPDU :

      این BPDU توسط سوییچی ارسال می شود که از Bridge ID بهتری نسبت به Root Bridge فعلی برخوردار است و خود را Root اعلام میکند که استحقاق Root شدن را نیز دارا می باشد اما از دارای تبعات تخریبی نیز هست چرا که اگر این BPDU از سوی سوییچ یک مشتری باشد باعث ایجاد اختلال در شبکه می گردد و توپولوژی شبکه را بهم می ریزد و مسیر عبور ترافیک را بهم می زند .

      جهت مقابله با این نوع BPDU های مخرب از دو راه حل می توان استفاده کرد :

      Root Guard


      وقتی دستور Root Guard را بر روی سوییچ های خود تنظیم و فعال کنیم در صورتی که پیام Superior BPDU دریافت گردد پورت به حالت Root – Inconsistent می رود و بلوکه می شود و تا زمانی که پیام های Superior BPDU وجود داشته باشند پورت به حالت نرمال بر نمیگردد . ما با این تکنیک محدوده قلمرویی برای Root شدن تعریف میکنیم .

      Moein_Vafaei_SW(config)#spanning-tree guard root
      


      BPDU Guard


      اگر بر روی پورتی که BPDU Guard قعال است پیام BPDU دریافت گردد پورت فورا به حالت errdiable می رود و دیگر ترافیکی را از خود عبور نمی دهد .
      ویژگی فوق به صورت پیش فرض غیر فعال است و پیش نهاد میگردد بر روی پورت هایی که Port Fast بر رویشان فعال است و انتظار پیام BPDU نداریم فعال گردد .

      Moein_Vafaei_SW(config)# spanning-tree bpduguard enable
      


      جلوگیری از گم شدن BPDU

      در حالتی که بر روی پورتی اصلا BPDU دریافت نشود چه راهکاری برای سوییچ موجود است ؟

      BPDU Skew Detection

      این ویژگی (BPDU Skew Detection ) تاخیر در دریافت BPDU ها را محاسبه میکند و گزارش می دهد که زمان تاخیر بنام Skew Time اندازه گیری و ثبت می شود و از طریق Syslog به مدیر گزارش میگردد .

      Loop Guard

      که در مباحث فوق به توضیح این موضوع پرداخته ایم .



      نویسنده : معین وفایی
      منبع : ITPRO
      هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد .
      برچسب ها
      ردیفعنوان
      1ارباب حلقه ها - STP - قسمت یکم
      2ارباب حلقه ها - STP - قسمت دوم
      3ارباب حلقه ها - STP - قسمت سوم
      4ارباب حلقه ها - STP - قسمت چهارم
      5ارباب حلقه ها - STP - قسمت پنجم
      6 ارباب حلقه ها - STP - قسمت ششم
      7 ارباب حلقه ها - STP - قسمت هفتم
      دورهمجموعه کل دوره
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      هیچ نظری ارسال نشده است

        برای ارسال نظر ابتدا به سایت وارد شوید

        arrow