راه کاری جهت رفع مشکل عدم امکان دسترسی به کنسول وب Cisco Prime Infrastructure

برخی اوقات سرویس وب سیستم Cisco Prime Infrastructure  به دلیل رشد اطلاعات LOG در شاخه  و کاهش شدید فضای دیسک متوقف شده و دسترسی به سرور مختل می گردد. در این شرایط با استفاده از وارد کردن دستور زیر در محیط Shell میتوان مشکل را برطرف کرد:

ncs reload

ncs start

پیکربندی تانل IP-SEC بصورت Site-To-Site VPN بر روی لینک Point To Point بین دو روتر سیسکو

پیکربندی تانل IP-SEC بصورت Site-To-Site VPN بر روی لینک Point To Point بین دو روتر سیسکو

سلام 

مطلبی که امروز تو این پست خدمتتون ارائه می کنم در حقیقت بازخوانی روایتیست از ویدئوی آموزشی جناب آقای Eric Spengler که در آرشیو YouTube به آدرس  https://www.youtube.com/watch?v=aJB0E3_C4dQ  و به شیوه بسیار شیوا و روان و البته فقط در حد اطلاعات لازم و کافی ارائه شده است.

لذا در این قسمت ضمن بازخوانی مجدد مطالب این فیلم آموزشی، قصد دارم با تجزیه و تحلیل زوایای فنی دستورات بکار رفته در پیکربندی IP-SEC  ، با دقت و تمرکز بیشتری بصورت گام به گام در صدد درک بهتر نحوه پیکربندی این مکانیزم امنیتی برآییم.

طبق اطلاعات عنوان شده در این ویدئو، پیکربندی تانل IP-SEC بصورت Site-To-Site VPN شامل 5 مرحله به شرح موارد زیر میباشد:

1. مرحله اول: پیکربندی ISAKMP Policy که طی آن پارامتر های مختص به فاز اول ایجاد تانل IP-SEC یعنی مرحله برقراری Trust relation sheep بصورت تنظیم Pre-Shared key یا Certificate مشخص و در هر دوطرف تنظیم می گردد.
2. مرحله دوم: پیکربندی Transform set که در جریان آن پارامتر های مربوط به فاز دوم تانل IP-SEC و متد Encryption ، سایز کلید و الگوریتم Hashing مورد استفاده در جهت رمزنگاری داده های عبوری از داخل تانل مشخص می شوند.
3. مرحله سوم: مشخص نمودن ترافیک عبوری از داخل تانل از طریق تعریف Access-List می باشد.
4. مرحله چهارم: تعریف Crypto MAP جمع بندی و تعریف روابط بین پارامتر های تعریف شده در مراحل قبل خواهد بود.
5. مرحله پنجم: و آخرین قدم در بهره برداری از تانل امن IP-SEC شامل مشخص نمودن اینترفیس فیزیکی یا GRE Tunnel ی خواهد بود که قرار است ترافیک تانل IP-SEC از طریق آن به سمت روتر طرف مقابل هدایت شود.

Step By Step configuration of site-to-site IP-SEC  VPN tunnel:

!========== phase 1 ================================

crypto isakmp policy 10

 encr aes 256

 authentication pre-share

 group 5

 lifetime 3600

crypto isakmp key imanP@SS address 172.16.16.10

!

crypto ipsec security-association lifetime seconds 1800

!

!========== phase 2 ================================

crypto ipsec transform-set TRNFSiman esp-aes 256 esp-sha-hmac

!========== phase 3 ================================

crypto map CMAP 10 ipsec-isakmp

 set peer 172.16.16.10

 set security-association lifetime seconds 900

 set transform-set TRNFSiman

 match address 123

!========== phase 4 ================================

access-list 123 permit ip 192.168.1.0 0.0.0.255 192.168.51.0 0.0.0.255

!========== phase 5 ================================

 ip route 192.168.51.0 255.255.255.0 FastEthernet0/0

!========== Last step ==============================

TEHRAN(config)#interface fastEthernet 0/1

TEHRAN(config-if)#crypto map CMAP

جهت ارزیابی و پایش وضعیت تانل و بررسی ترافیک انتقال داده  شده از روی آن می توانید از دستورات زیر استفاده کنید: 

TEHRAN#sho crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id slot status

172.16.16.10    172.16.16.9     QM_IDLE           1001    0 ACTIVE

IPv6 Crypto ISAKMP SA

TEHRAN#sho crypto ipsec sa

interface: FastEthernet0/1

    Crypto map tag: CMAP, local addr 172.16.16.9

   protected vrf: (none)

   local  ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)

   remote ident (addr/mask/prot/port): (192.168.51.0/255.255.255.0/0/0)

   current_peer 172.16.16.10 port 500

     PERMIT, flags={origin_is_acl,}

    #pkts encaps: 612, #pkts encrypt: 612, #pkts digest: 612

    #pkts decaps: 612, #pkts decrypt: 612, #pkts verify: 612

    #pkts compressed: 0, #pkts decompressed: 0

    #pkts not compressed: 0, #pkts compr. failed: 0

    #pkts not decompressed: 0, #pkts decompress failed: 0

    #send errors 1, #recv errors 0

     local crypto endpt.: 172.16.16.9, remote crypto endpt.: 172.16.16.10

     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/1

     current outbound spi: 0x0(0)

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

TEHRAN#

مدیریت و کنترل سطح دسترسی یوزر های تعریف شده روی سوئیچ و روتر - privileged access policy

privileged access policy

سلام،

خیلی مختصر و مفید .

 به منظور مدیریت و کنترل سطح دسترسی نام های کاربری تعریف شده بر روی سوئیچ یا روتر میتونید از دستور زیر استفاده کنید:

اول اینکه برای نام کاربری مورد نظر، یک Level از سطوح 15گانه دسترسی موجود بر روی سوئیچ انتخاب کنید. با انتخاب این سطح دسترسی، تا اندازه ای کنترل دسترسی را انجام داده اید بطوریکه Privilege 15 بالاترین و Privilege 1 پائین ترین سطح دسترسی را بر روی سوئیچ یا روتر خواهد داشت.

UFO(config)#user iman privilege 8 secret seccccccret

حالا با درج دستور زیر میتونید بصورت خیلی دقیقتر، سطح دسترسی لازم برای یک دستور معمول را مجددا بنا بر نظر خود تغییر و معین کنید:

UFO(config)#privilege exec level 9 ping

با درج این دستور برای روتر یا سوئیچ مشخص می کنید که برای دسترسی به کامند ping، حداقل سطح دسترسی 9 لازم خواهد بود. لذا در مثال قبل، نام کاربری iman با سطح دسترسی 8 اجازه استفاده از دستور ping را نخواهد داشت.

==================================================

پیکربندی Accounting بر روی تجهیزات روتر و سوئیچ Cisco

AAA Configuration

-------------------------------------------------------------------------------------

به منظور فعال سازی متد احراز هویت متمرکز بر روی تجهیزات سوئیچ و روتر سیسکو می توانید از تنظیمات زیر استفاده نمایید. برای این منظور قبلا باید سرور اکانتینگ مناسب و سازگار با تجهیزات سیسکو را آماده و نام های کاربری مورد نظر خود را در آن تعریف کرده باشید. تجهیزات سیسکو قادرند از طریق دو پروتکل استاندارد RADIUS بر روی UDP port 1812 / 1645 یا tacacs+ بر روی TCP port 49  نسبت به احراز هویت کاربران اقدام نمایند.

برای این منظور پس از آماده سازی سرور Accounting مراحل زیر را دنبال کنید:

• فعال سازی متد AAA

Room(config)#aaa new-model

• مشخص کردن آدرس سرور

Room(config)#tacacs-server host 192.168.1.10 key 0 mypass

• مشخص کردن اولویت مرجع احراز کننده هویت

Room(config)#aaa authentication login default group tacacs+ local enable

در مرحله بالا با وارد نمودن کلمه default به سوئیچ می فهمانیم که در فرایند احراز هویت ابتدا به سراغ سرور tacacs+ رفته، اگر آن سرور در دسترس نبود به سراغ یوزر های تعریف شده در داخل سوئیچ یا سرور برود و اگر چنین یوزری تعریف نشده بود می تواند از طریق پرسیدن کلمه عبور Enable نسبت به احراز هویت کاربر اقدام نماید.

-------------------------------------------------------------------------------------------------------------------------------------

ایجاد یک تونل مجازی اختصاصی بر روی بستر شبکه اینترنت یا اینترانت

در این سناریو، وضعیت ارتباطی دو شبکه LAN مربوط به دو Branch Office  به نحوی پیکربندی شده که یک بسته اطلاعات برای انتقال از یک Branch به Branch دیگر ملزم به عبور از روتر های شرکت مخابرات خواهد بود. از آنجا که شرکت مخابرات تعهدی در قبال ترانزیت بسته های اطلاعات مشتریان با Source IP شبکه محلی مشتریان ندارد، لذا جهت ارتباط کلاینت های داخل شبکه های محلی دو راهکار پیش رو خواهد بود. راه اول استفاده از مکانیزم Duble NAT میباشد که در ترافیک بالا باعث ایجاد Load بسیار زیادی بر روی CPU روتر ها خواهد شد. راه دوم ایجاد یک Tunnel مجازی بصورت Point To Point میان دو Border Router شبکه های محلی راه دور می باشد که در این بخش قصد دارم نحوه پیکربندی آن را بصورت Step by step تشریح نمایم. 

تشریح صورت مسئله: 

     برای واضح تر شدن صورت مسئله، به دیاگرام زیر توجه کنید. در این سناریو دو کاربر iman و armin می خواهند بدون توجه به پیچیدگی شبکه WAN بر قرار شده میان دو Branch Office دو سوی شبکه intranet، با یکدیگر ارتباط بر قرار کنند. در دیاگرام زیر NET ID مربوط به هر Branch Office مشخص و اطلاعات NET ID شبکه WAN بر روی هر Router درج شده.

      هدف از اجرای Tunnel Channel بر روی بستر WAN مهیا شده، برقراری امکان دسترسی مستقیم کلاینت Armin به کلاینت Iman با Source IP شبکه LAN سمت چپ دیاگرام می باشد.

مرحله اول  :   ایجاد اینترفیس Tunnel

برای ایجاد اینترفیس Tunnel دستورات زیر را خط به خط در مود Configuration روتر وارد کنید:

دقت کنید در قطعه کد زیر، دستورات برای پیکربندی روتر سمت چپ (Armin) تنظیم شده و دقیقا همین پیکربندی برای روتر سمت راست (Iman) نیز با رعایت تغییرات لازم در آدرس های Source و Destination لازم است. در ضمن IP Address سمت دیگر باید 10.10.10.2 تنظیم شود.

Left router : 
interface Tunnel0
 description Tunnel Over WAN(iman-armin)
 ip address 10.10.10.1
 tunnel source 217.219.47.1
 tunnel destination 85.185.93.1

Right router : 
interface Tunnel0
 description Tunnel Over WAN(iman-armin)
 ip address 10.10.10.2
 tunnel source 85.185.93.1
 tunnel destination 217.219.47.1

مرحله دوم : ویرایش جدول مسیر یابی روتر

جدول مسیر یابی روتر سمت چپ (Armin) باید بصورت زیر ویرایش شود:

armin(config)#ip route 217.219.47.0 255.255.255.252 serial0/0/0
armin(config)#ip route 172.32.32.0 255.255.255.0 10.10.10.2

و جدول مسیریابی روتر سمت راست (Iman) نیز بصورت زیر پیکربندی خواهد شد:

iman(config)#ip route 85.185.93.0 255.255.255.252 serial0/0/0
iman(config)#ip route 192.168.1.0 255.255.255.0 10.10.10.1

در این مرحله پیکربندی Tunnel Channel به پایان رسیده و در صورت Up بودن اینترفیس های Serial در دو طرف، ارتباط مستقیم شبکه های LAN از داخل Tunnel ایجاد شده برقرار خواهد شد.

موفق و پیروز باشید.