پیکربندی DHCP Snooping و مصائب Option 82

DHCP SNOOPING and DHCP Option 82

سلام, حالتون چطوره ؟ حال من چطوره ؟؟

قبلا در مورد نحوه پیکربندی DHCP snooping  با هم گپ و گفتی داشتیم. دستورات ساده و مختصری که قبلا براتون نوشته بودم در سطح یک سوئیچ بخوبی کار میکنه و مشکلی هم نداره اما وقتی فاصله کلاینت از DHCP Relay و DHCP سرور بیشتر از یک سوئیچ باشه اونوقت ماجرا تفاوت خواهد کرد. اولین موضوع قابل تامل، بروز اخلال کامل در عملکرد سرور DHCP و عدم موفقیت کلاین ها در دریافت آدرس IP از DHCP سرور و به دنبال آن احساس قطع ارتباط شبکه از سمت کلاینت ها می باشد.

شرح مشکل:

در سناریوی زیر بعد از اتمام پیکربندی DHCP Snooping ، سیستم کلاینت قادر به دریافت آدرس از DHCP نیست.

علت بروز مشکل:

هنگامی که DHCP Snooping بر روی سوئیچ ها فعال می شود، Option 82 بصورت خودکار  بر روی بسته های DHCP اضافه شده و سپس از ترانک پورت سوئیچ SW1 خارج  و به سوئیچ SW2 وارد می شوند. در سناریوی فوق ، پورت fa0/2 از SW1 و fa0/11 از sw2 در مود trust پیکربندی شده اند.در این حالت سوئیچ sw2 بسته های DHCP وارد شده از پورت شماره fa0/24 را Drop می کند زیرا سوئیچ امن شده با مکانیزم Snooping، از پذیرش بسته های DHCP حاوی Option 82 از روی پورت Untrusted ممانعت خواهد کرد. به همین سادگی ...

رویکرد های مواجهه با این مشکل:

1- تراست کردن بسته های DHCP با 82 Option از روی پورت های Untrust :  

SW2(config)#ip dhcp snooping information option allow-untrusted

DSW1(config)#ip dhcp relay information trust-all

2- راه بعدی تراست کردن پورت شماره fa0/24  بر روی سوئیچ SW2 است که روش ایمنی نیست و توصیه هم نمی شود.

آموزش نصب نرم افزار مانیتورینگ ZABBIX در سه سوت ;)

Zabbix

سلام، خدا قوت 

بعد از یک وقفه نسبتا طولانی دوباره فرصتی پیش اومد که یک مطلب جالب و کاربردی رو اینجا درج کنم. امیدوارم که مفید باشه.

شاید شما هم در بحث استفاده از نرم افزار های مانیتورینگ با مشکلات اکتیو کردن نسخه های جدید Orion Solarwinds برخورد کرده باشید. من پیشنهاد میکنم بعد از این بیخیالش بشید و بیاید سراغ نرم افزار Open Source مانیتورینگ ZABBIX

 خیلی هم شیک و مجلسی و کلاس Enterprise.

روش نصب :

• ابتدا یک سرور مجهز به سیستم عامل UBUNTU Server 64Bit نصب کنید. مشخصات سخت افزاری سرور لازم نیست خیلی بالا باشه. حداقل 512M رم و یک پردازنده Corei3 کفایتست ولی اگه امکاناتشو داشتین میتونین تو دیتاسنترتون یک VM روی ESX با امکانات بالاتر تخصیص بدین که Performance بالاتری رو تجربه کنید.
• بعد از نصب سیستم عامل برید سراغ فایل /etc/apt/sources.list و آدرس Repository های سیستم عامل رو از CD نصب سیستم عامل به سورس های اینترنتی تغییر بدید. یا از دستور زیر استفاده کنید : 

wget http://repo.zabbix.com/zabbix/2.4/ubuntu/pool/main/z/zabbix-release/zabbix-release_2.4-1+trusty_all.deb

• حالا برای ادامه نصب از دستورات زیر استفاده کنید :

• dpkg -i zabbix-release_2.4-1+trusty_all.deb
  apt-get update

• apt-get install zabbix-server-mysql zabbix-frontend-php

• مبارک باشد.  فقط قبل از اینکه برید سراغ بهره برداری یادتون باشه که باید یک تغییر کوچیک در فایل /etc/apache2/conf.d/zabbix بدید و تایم زون محل اقامتتون رو تنظیم کنید تا در ویزارد اولیه نرم افزار با پیام خطا مواجه نشوید.

• php_value max_execution_time 300
  php_value memory_limit 128M
  php_value post_max_size 16M
  php_value upload_max_filesize 2M
  php_value max_input_time 300
  # php_value date.timezone Europe/Riga -> Asia/Tehran

• بعد از اعمال تغییرات فوق

• service apache2 restart

• نصب Agent در لینوکس

• apt-get install zabbix-agent

• نصب Agent در ویندوز

• zabbix_agentd.exe --config <your_configuration_file> --install

مدیریت و کنترل سطح دسترسی یوزر های تعریف شده روی سوئیچ و روتر - privileged access policy

privileged access policy

سلام،

خیلی مختصر و مفید .

 به منظور مدیریت و کنترل سطح دسترسی نام های کاربری تعریف شده بر روی سوئیچ یا روتر میتونید از دستور زیر استفاده کنید:

اول اینکه برای نام کاربری مورد نظر، یک Level از سطوح 15گانه دسترسی موجود بر روی سوئیچ انتخاب کنید. با انتخاب این سطح دسترسی، تا اندازه ای کنترل دسترسی را انجام داده اید بطوریکه Privilege 15 بالاترین و Privilege 1 پائین ترین سطح دسترسی را بر روی سوئیچ یا روتر خواهد داشت.

UFO(config)#user iman privilege 8 secret seccccccret

حالا با درج دستور زیر میتونید بصورت خیلی دقیقتر، سطح دسترسی لازم برای یک دستور معمول را مجددا بنا بر نظر خود تغییر و معین کنید:

UFO(config)#privilege exec level 9 ping

با درج این دستور برای روتر یا سوئیچ مشخص می کنید که برای دسترسی به کامند ping، حداقل سطح دسترسی 9 لازم خواهد بود. لذا در مثال قبل، نام کاربری iman با سطح دسترسی 8 اجازه استفاده از دستور ping را نخواهد داشت.

==================================================

پیکربندی Accounting بر روی تجهیزات روتر و سوئیچ Cisco

AAA Configuration

-------------------------------------------------------------------------------------

به منظور فعال سازی متد احراز هویت متمرکز بر روی تجهیزات سوئیچ و روتر سیسکو می توانید از تنظیمات زیر استفاده نمایید. برای این منظور قبلا باید سرور اکانتینگ مناسب و سازگار با تجهیزات سیسکو را آماده و نام های کاربری مورد نظر خود را در آن تعریف کرده باشید. تجهیزات سیسکو قادرند از طریق دو پروتکل استاندارد RADIUS بر روی UDP port 1812 / 1645 یا tacacs+ بر روی TCP port 49  نسبت به احراز هویت کاربران اقدام نمایند.

برای این منظور پس از آماده سازی سرور Accounting مراحل زیر را دنبال کنید:

• فعال سازی متد AAA

Room(config)#aaa new-model

• مشخص کردن آدرس سرور

Room(config)#tacacs-server host 192.168.1.10 key 0 mypass

• مشخص کردن اولویت مرجع احراز کننده هویت

Room(config)#aaa authentication login default group tacacs+ local enable

در مرحله بالا با وارد نمودن کلمه default به سوئیچ می فهمانیم که در فرایند احراز هویت ابتدا به سراغ سرور tacacs+ رفته، اگر آن سرور در دسترس نبود به سراغ یوزر های تعریف شده در داخل سوئیچ یا سرور برود و اگر چنین یوزری تعریف نشده بود می تواند از طریق پرسیدن کلمه عبور Enable نسبت به احراز هویت کاربر اقدام نماید.

-------------------------------------------------------------------------------------------------------------------------------------

فایل تکمیل شده سناریوی ACL - دوره پیشرفته پیکربندی امن تجهیزات شبکه