بایگانی برچسب: s

DHCP و پیاده سازی DHCP بر روی روتر و سویچ سیسکو

DHCP و پیاده سازی DHCP بر روی روتر و سویچ سیسکو

DHCP یکی از پر کاربرد ترین سرویس های شبکه است که در خفا و پس ضمینه مسئول اختصاص آدرس های IP به کلاینت های شبکه است ، این سرویس جزء لاینفک شبکه های بزرگ کوچک بوده و از ابتدایی ترین تراکنش های ارتباطی در شبکه های LAN است .

هنگامی که شما یک کلاینت را به یک شبکه مرتبط میکنید و یا با یک سرور PPP ارتباط برقرار میکنید ، پس از احراز هویت ، دریافت آدرس IP از ابتدایی ترین واکنش هاست .

استفاده از DHCP علاوه بر افزایش کارایی شبکه به افزایش چشمگیر امنیت در شبکه های مبتنی بر سیسکو می انجامد .

بدین ترتیب که به عنوان یک مدیر شبکه امکان مدیریت و رصد مشکلات به سادگی امکان پزیر است ، و همچنین از مشکلاتی نظیر IP Conflict و دسترسی غیر مجاز به آدرس های IP جلوگیری به عمل می آید .

پیاده سازی DHCP بر روی روتر ها و سویچ های سیسکو به سادگی امکان پذیر بوده و ترافیک و لود چندانی را به دستگاه تحمیل نمینماید .

شروع کار :

توصیه میشود ، ابتدا یک دیتابیس برای نگهداری واگذاری آدرس های IP ایجاد و دسترسی FTP به آن را میسر نمایید :

Router(config)# ip dhcp database ftp://user:password@172.16.1.1/router-dhcp timeout 80

جلوگیری از اعطای آدرس های 100 تا 103 :

Router(config)# ip dhcp excluded-address 172.16.1.100 172.16.1.103

Router(config)# ip dhcp pool 1
Router(dhcp-config)# utilization mark high 80 log
Router(dhcp-config)# network 172.16.0.0 /16
Router(dhcp-config)# domain-name shabake.ir #domain name
Router(dhcp-config)# dns server 217.218.127.127 217.218.155.155 #dci dns servers
Router(dhcp-config)# default-router 172.16.1.100 172.16.1.101 #this is the Gateway address
Router(dhcp-config)# option 19 hex 01 #additional dhcp option code for example tftp address
Router(dhcp-config)# lease 30 # the lease amount

بدین ترتیب امکان استفاده از امکانات DHCP بر روی روتر و سویچ های سیسکو میسر میگردد ،، البته امکانات پیشرفته تری نیز وجود داره ، که در صورت نیاز میتوانید از آنها استفاده کنید ،، لازم به توضیح است ، استفاده از سرویس DHCP بر روی شبکه های VLAN که دارای Access Switch و Core Switch هستند ، بر روی سویچ های لایه دسترسی توصیه میشود .

اگر به هر دلیلی مایل به استفاده از دیتابیس جهت ثبت واگذاری IP نبودید میتوانید از این کامند استفاده نمایید :

Router(config)# no ip dhcp conflict logging

بررسی:

توسط این دستور میتوانید میزان استفاده از منابع IP را مشاهده کنید :

Router(config)# ip dhcp use class

 

 وفقک الله
Aka Networks
 
telnet

تعویض پورت تلنت روتر سیسکو – Change Telnet Port on Cisco Routers

تعویض پورت تلنت روتر سیسکو

 Change Cisco Default Telnet Port

تعویض پورت تلنت روتر سیسکو

یکی از مسائلی که ممکن است باعث به خطر افتادن امنیت روتر های مرزی که دارای IP Valid روی پورت های خود میباشد ، عملیات Burst Force برای پیدا کردن دسترسی Telnet میباشد .

در درجه اول توصیه میشود که به جای تلنت از SSH استفاده کنید ، ولی اگر به هر دلیلی مثل خود من ، با تلنت احساس بهتری دارید ، بهتر است این چند توصیه را جهت Secure کردن Line های VTY اعمال نمائید .

در درجه اول چند کامند :

login on-failure log
login on-success log
login delay 3
aaa authentication attempts login 1
aaa authentication fail-message c یک پیغام تهدید آمیز c
aaa authentication login default local-case

دو کامند اول ، یک trap برای ورود یا عدم ورود موفق به syslog ارسال میکند
کامند سوم ، بعد از ورود 3 ثانیه تاخیر ایجاد میکند ، که بسیار کاراست !
دستور بعدی ، تنها 1 بار اجازه authenticate به جای 3 بار Default میدهد
و دستور پنجم جهت ایجاد رعب و وحشت در شخصی است که به هر دلیلی میخواهد وارد روتر شما شود !
شما میتوانید بنویسید که IP شما ثبت خواهد شد و مورد پیگیری قانونی قرار خواهد گرفت .
و دستور آخری باعث مشود که روتر به حروف بزرگ و کوچک در Username حساس شود ، پس از حروف برگ هم در یوزر استفاده کنید !

و اما قسمت شیرین داستان ، تعویض پورت پیشفرض تلنت یعنی 23 به مثلا 3001 است !

AkaNet-VG#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
AkaNet-VG(config)#ip acce e telnet
AkaNet-VG(config-ext-nacl)#permit tcp any any eq 3001
AkaNet-VG(config-ext-nacl)#deny ip any any
AkaNet-VG(config-ext-nacl)#exit
AkaNet-VG(config)#line vty ?
<0-988>  First Line number
AkaNet-VG(config)#line vty 0 988
AkaNet-VG(config-line)#rotary 1
AkaNet-VG(config-line)#access-class telnet in
AkaNet-VG(config-line)#^Z

توضیح اینکه ، ابتدا ما یک access-list به نام telnet ایجاد میکنیم و در آن تمامی ارتباطات به جز پورت 3001 را deny میکنیم.

سپس وارد تنظیمات line vty که همان telnet و ssh خودمان است میشویم که بسته به مدل روتر و IOS تعداد آن متفاوت است .

سپس rotary group 1 را اعمال میکنیم که همان پورت 3001 است ، مثلا 2 ، 3002 و ….

سپس access-list telnet را که در آن تمامی ارتباطات به جز پورت 3001 ، deny شده را اعمال میکنیم و save و تمام.

حالا تست میکنیم :

Aka-Core-Router#1.1.1.1
Trying 1.1.1.1 …
% Connection refused by remote host
Aka-Core-Router#1.1.1.1 3001
Trying 1.1.1.1, 3001 … Open
Aka-Networks-VG
User Access Verification
Username:

میبینید که ابتدا با پورت دیفالت 23 ، کانکشن refused شد ، ولی با پرت 3001 ، ارتباط برقرار شد !!

این یکی از تریک های ناب سیسکو ست ، که شما به ندرت میتوانید آنرا در اینترنت به این سادگی و شسته رفتگی بیابید .

اگر یک acl همراه با logging بر روی پورت ورودی روتر خود قرار دهید ، بسته به تعداد IP های موجود ، تعداد زیادی تلاش جهت ارتباط بر روی پورت 23 خواهید دید ! من در یک ساعت حدود 200 تلاش نافرجام مشاهده کردم ، که نشان دهنده تعداد زیادی بدخواه برای اینجانب است !!

رمضان الکریم مبارک
     التماس دعاء
  Aka Networks