این مقاله شامل فهرستی از رایج ترین اصطلاحات بکار رفته در سوئیچ های سیسکو است که راه اندازی، پیکربندی و عیب یابی را در بر می گیرد.
802.1X Supplicant در سوئیچ های سیسکو
Supplicant یکی از سه نقش موجود در استاندارد IEEEاست. 802.1X برای تامین امنیت در لایه 2 مدل OSI توسعه یافته است و از اجزای زیر تشکیل شده است:
- Supplicant
- Authenticator
- Authentication Server
Supplicant کلاینت یا نرم افزاری است که به یک شبکه متصل می شود تا بتواند به منابع موجود در این شبکه دسترسی داشته باشد. برای به دست آوردن یک آدرس IP و عضویت در این شبکه خاص، نیاز به ارائه گواهینامه یا مجوز دارد. یک Supplicant تا زمانی که احراز هویت نشده باشد نمی تواند به منابع شبکه دسترسی داشته باشد.
ACL
Access Control List (ACL) یا لیست کنترل دسترسی فهرستی از فیلترهای ترافیک شبکه و اقدامات مرتبط مورد استفاده برای بهبود امنیت است. ACL برنامه دسترسی کاربران به منابع خاص را مسدود کرده یا به آنها مجوز می دهد. یک ACL شامل هاست هایی است که اجازه دسترسی به دستگاه شبکه را دارند یا از آنها محروم شده اند. روتر یا سوئیچ شبکه هر پکت یا بسته را بررسی می کند تا تعیین کند بسته را ارسال را رها کند، این بر اساس معیارهای مشخص شده در لیست دسترسی تعیین می شود. معیارهای لیست دسترسی می تواند آدرس منبع ترافیک، آدرس مقصد ترافیک، پروتکل لایه بالایی یا اطلاعات دیگر باشد.
IGMP Snooping
Internet Group Management Protocol (IGMP) پروتکلی است که روی سوئیچ ها کار می کند و به آنها اجازه می دهد تا به صرت پویا در مورد ترافیک مالتی کست بیاموزند. IGMP Snooping قابلیتی است که به سوئیچ شبکه اجازه می دهد به مکالمه IGMP بین هاست و روتر گوش دهد. IGMP Snooping یک مکانیسم فیلتر را انجام می دهد که در روتر فعال می شود تا ترافیک مالتی کست یک گروه را فقط به پورت هایی که به گروه ملحق شده اند ارسال کند. بنابراین با IGM Snooping ترافیک در شبکه کاهش می یابد و بهبود عملکرد هاست امکان پذیر است. ممکن است لینک هایی که به آنها نیازی نیست فیلتر شوند.
IPv4 در سوئیچ های سیسکو
IPv4 یک سیستم آدرس دهی 32 بیتی است که برای شناسایی یک دستگاه در شبکه استفاده می شود. IPv4 سیستم آدرس دهی است که در اکثر شبکه های کامپیوتری از جمله اینترنت استفاده می شود.
- بیشتر بخوانید: تفاوت سوئیچ های سیسکو یوزد، ریفر، نیو و آپگرید و راههای تشخیص سوئیچ تقلبی سیسکو
IPv6
IPv6 یک سیستم آدرس دهی 128 بیتی است که برای شناسایی یک دستگاه در شبکه استفاده می شود. IPv6 در واقع جانشینی برای IPv4 است و جدیدترین نسخه سیستم آدرس دهی مورد استفاده در شبکه های کامپیوتری است. IPv6 در حال حاضر در سراسر جهان در حال استفاده است. یک آدرس IPv6 در هشت فیلد از اعداد هگزا دسیمال نمایش داده می شود که هر فیلد شامل 16 بیت است. یک آدرس IPv6 به دو قسمت تقسیم می شود که هر قسمت از 64 بیت تشکیل شده است. قسمت اول آدرس شبکه و قسمت دوم آدرس هاست است.
Link Flap
Link Flap وضعیتی است که در آن یک رابط فیزیکی روی سوئیچ به طور مداوم 3 بار (یا بیشتر) در ثانیه به مدت حداقل10 ثانیه Up و Down می شود. رایج ترین علت مربوط به کابل خراب، پشتیبانی نشده یا غیر استاندارد یا Small Form-Factor Pluggable (SFP) یا مربوط به سایر مشکلات همگام سازی لینک است. Link Flap می تواند دائمی و یا به صورت متناوب رخ دهد.
MAC-based ACL
Media Access Control (MAC)-based Access Control List (ACL) فهرستی از آدرس های مک منبع است. اگر بسته یا پکتی از اکسس پوینت بی سیم به یک پورت شبکه محلی (LAN) بیاید یا بالعکس، این دستگاه بررسی می کند که آیا آدرس مک منبع بسته با هر ورودی در این لیست مطابقت دارد یا خیر و قوانین ACL را در برابر محتوای فریم بررسی می کند. سپس از نتایج انطاق برای اجازه یا رد این بسته استفاده می کند. با این حال، بسته ها به صورت LAN به LAN بررسی نمی شوند.
MLD Snooping در سوئیچ های سیسکو
مالتی کست تکنیک لایه شبکه است که بسته های داده را از یک هاست به هاست انتخاب شده در یک گروه منتقل می کند. در لایه پایینی، سوئیچ ترافیک مالتی کست را در همه پورت ها پخش می کند (حتی اگر فقط یک میزبان بخواهد آن را دریافت کند). Multicast Listener Discovery (MLD) Snooping برای ارسال ترافیک مالتی کست IPv6 فقط به میزبان های مورد نظر استفاده می شود. هنگامی که Snooping MLD روی سوئیچ فعال است، ، پیامهای MLD رد و بدل شده بین روتر IPv6 و میزبانهای مالتی کست متصل به رابط را شناسایی میکند. سپس جدولی را نگه می دارد که ترافیک مالتی کست IPv6 را محدود می کند و آن را به صورت پویا به پورت هایی که می خواهند آن را دریافت کنند، ارسال می کند.
MSTP
Multiple Spanning Tree Protocol (MSTP) پروتکلی است که چندین درخت پوشا (نمونه) برای هر شبکه مجازی (VLAN) در یک شبکه فیزیکی ایجاد می کند. این اجازه می دهد تا هر VLAN یک بریج روت پیکربندی شده و توپولوژی حمل و نقل داشته باشد. این باعث کاهش تعداد واحدهای داده پروتکل BPDUs در سراسر شبکه و کاهش فشار روی پردازنده دستگاه های شبکه می شود.
Port / VLAN Mirroring
Mirroring روشی است که برای نظارت بر ترافیک شبکه استفاده می شود. با VLAN Mirroring یا Port کپی پکیج های ورودی و خروجی در پورت ها (پورت های منبع) یک دستگاه شبکه به پورت دیگری (پورت هدف) که در آن پکیج ها خوانده می شوند، ارسال می شود. این به عنوان یک ابزار تشخیصی توسط مدیر شبکه استفاده می شود.
Port Security در سوئیچ های سیسکو
پیکربندی Port Security یکی از روش های افزایش امنیت شبکه است. می توان آن را روی یک پورت خاص یا LAG پیکربندی کرد. یک LAG رابط های فردی را در یک لینک منطقی ترکیب می کند که پهنای باند تا 8 پیوند فیزیکی را فراهم می کند. می توانید دسترسی به کاربران مختلف را در یک پروت LAG محدود یا مجاز کنید. Port Security همچنین می تواند با آدرس های مک به صورت پویا و استایتک برای محدود کردن ترافیک ورودی یک پورت استفاده شود.
Protocol-based VLAN
گروه های مبتنی بر پروتکل را می توان تعریف کرد و به یک پورت متصل کرد. بنابراین هر بسته یا پکیجی که از گروه های پروتکل سرچشمه می گیرند به VLAN پیکربندی شده در صفحه اختصاص داده می شود. Protocol-based VLAN شبکه فیزیکی را به گروه های VLAN منطقی برای هر پروتکل مورد نیاز تقسیم می کند. در بسته ورودی، فریم بررسی می شود و بر اساس نوع پروتکل می توان عضویت VLAN را تعیین کرد. نگاشت گروه های مبتنی بر پروتکل به VLAN به نگاشت یک گروه پروتکل به یک پورت کمک می کند.
QoS
Quality of Service (QoS) به شما امکان می دهد، ترافیک را برای برنامه های کاربردی، کاربران یا استریم های داده های مختلف اولویت بندی کنید. همچنین می توان از آن برای تضمین عملکرد تا یک سطح مشخص استفاده کرد، بنابراین کیفیت خدمات مشتری را تحت تاثیر قرار می دهد. QoS به طور کلی تحت تاثیر عوامل جیتر، تاخیر و بسته های از دست رفته است.
RADIUS Server
Remote Authentication Dial-In User Service (RADIUS) یک مکانیسم احراز هویت برای دستگاه ها برای اتصال استفاده از یک سرویس شبکه است. برای احراز هویت متمرکز، مجوز و اهداف حسابداری استفاده می شود. یک RADIUS Server دسترسی به شبکه را با تایید هویت کاربران از طریق اعتبارسنجی لاگین تنظیم می کند. به عنوان مثال یک شبکه Wi-Fi عمومی در محوطه دانشگاه نصب شده است. فقط دانشجویانی که رمز عبور را دارند می توانند به این شبکه دسترسی داشته باشند. RADIUS Server کلمات عبور لاگین کاربران را بررسی می کند و در صورت آنها را مجاز یا رد می کند.
RSTP در سوئیچ های سیسکو
Rapid Spanning Tree Protocol (RSTP) پروتکل پیشرفته تر STP است. RSTP پس از تغییر توپولوژی همگرایی سریعتری را فراهم می کند. در STP 30 تا 50 ثانیه طول می کشد تا به تغییر توپولوژی پاسخ دهد در حالی که RSTP در با سرعت پاسخگویی سه برابری همراه است. RSTP با STP سازگار است.
SNMP
Simple Network Management Protocol (SNMP) یک استاندارد شبکه برای ذخیره و به اشتراک گذاری اطلاعات در مورد دستگاه های شبکه است. SNMP مدیریت شبکه، عیب یابی و نگهداری را تسهیل می کند.
Spanning Tree
Spanning Tree Protocol (STP) پروتکل شبکه ای است که در یک شبکه محلی (LAN) استفاده می شود. هدف STP اطمینان از توپولوزی تغیر حلقه ای برای یک شبکه محلی است. STP حلقه ها را از طریق الگوریتمی حذف می کند که تضمین می کند تنها یک مسیر فعال بین دو دستگاه شبکه وجود دارد. STP تضمین می کند که ترافیک کوتاه ترین مسیر ممکن را در داخل شبکه طی می کند. STP همچنین می تواند به طور خودکار مسیرهای اضافی را به عنوان مسیرهای پشتیبان در صورت خرابی یک مسیر اکتیو دوباره فعال کند.
SSL Server در سوئیچ های سیسکو
Secure Sockets Layer (SSL) پروتکلی است که عمدتا برای مدیریت امنیت در اینترنت استفاده یم شود. از یک لایه برنامه استفاده می کند که بین لایه های HTTP و TCP قرار داد. برای احراز هویت SSL از گواهینامه هایی استفاده می کند که به صورت دیجیتال امضا شده و به کلید عمومی محدود شده اند تا مالک کلید خصوصی را شناسایی کنند. این احراز هویت در طول زمان اتصال کمک کننده خواهد بود. از طریق استفاده از SSL گواهی ها در بلوگ هایی در طول فرایند احراز هویت رد و بدل می شوند که در فرمت توصیف شده در استاندارد ITU-T standard X.509 هستند. سپس توسط مرجع صدور گواهی که یک مرجع خارجی است گواهی های X.509 صادر می شود که به صورت دیجیتال امضا می شود.
Syslog Aggregation
یک سرویس Syslog به سادگی پیام ها را می پذیرد و آنها را در فایل هایی ذخیره می کند یا آنها را مطابق با یک فایل پیکربندی ساده چاپ می کند. Syslog Aggregation به این معناست که چندین پیام Syslog که از یک نوع هستند هر بار که یک نمونه رخ می دهد روی صفحه ظاهر نمی شود. فعال کردن logging aggregation به شما امکان می دهد پیام های سیستمی را که برای یک دوره زمانی خاص دریافت خواهید کرد را فیلتر کنید. چند پیام syslog از یک نوع را جمع آوری می کند تا در زمان وقوع ظاهر نشوند بلکه در یک بازه زمانی مشخص ظاهر شوند.
TACACS+
Terminal Access Controller Access Control System (TACACS+) یک پروتکل اخصاصی سیسکو است که برای اجرای امنیت پیشرفته با احراز هویت و مجوز از طیق نام کاربری و رمز عبور استفاده می شود. برای پیکربندی سرور TACACS+ کاربرد باید به امتیاز 15 دسترسی داشته باشد که دسترسی کاربر به تمام ویژگی های پیکربندی سوئیچ را فراهم یم کند. برخی از سوئیچ ها می توانند به عنوان یک کلاینت TACACS+ عمل کنند که در آن همه کاربران متصل می توانند از طریق یک سرور TACACS+ که به درستی پیکربندی شده است احراز هویت شوند و در شبکه مجاز شوند. TACACS+ فقط از IPv4 پشتیبانی می کند.
TFTP Server
Trivial File Transfer Protocol (TFTP) Server سروری است که بریا انتقال خودکار پیکربندی و فایل های بوت بین دستگاه های موجود در شبکه LAN استفاده می شود. پروتکل ساده است که اجازه استفاده کم از حافظه را می دهد. با این حال، این سادگی همچنین اجازه می دهد تا پروتکل به راحتی به خطر بیافتد، به همین دلیل TFTP به ندرت با اینترنت استفاده می شود.
VLAN در سوئیچ های سیسکو
Virtual Local Area Network (VLAN) یک شبکه سوئیچ شده است که به طور منطقی بر اساس عملکرد ناحیه یا برنامه، بدون توجه به مکان های فیزیکی کاربران تقسیم بندی می شود. VLANها گروهی از هاست ها یا پورت ها هستند که می توانند در هر نقطه ای از شبکه قرار گیرند اما طوری ارتباط برقرار می کنند که انگار در یک بخش فیزیکی هستند. VLANها با انتقال دستگاه به VLAN جدید بدون تغییر هیچ گونه اتصال فیزیکی به ساده سازی مدیریت شبکه کمک می کنند.
منابع: cisco