بایگانی نویسنده: امیرخسرو

آموزش بکاپ کانفیگ سیسکو توسط tftp

2 پاسخ
بکاپ کانفیگ سیسکو

بکاپ کانفیگ سیسکو

آموزش بکاپ کانفیگ سیسکو توسط tftp

آموزش بکاپ کانفیگ روتر و سوئیچ سیسکو توسط tftp

بکاپ گیری از کلنفیگ روتر و سوئیچ سیسکو توسط tftp

بکاپ  کانفیگ سیسکو – روتر، سوئیچ سیسکو و یا هر دیوایس مبتنی بر ios از الزامات نگهداری از شبکه برای هر مدیر شبکه است . یکی از راه های مرسوم بکاپ گیری از کانفیگ سیسکو استفاده از tftp برای انتقال فایل های کانفیگ به نقطه دیگر است .

روش کار بسیار ساده و سریع است و حتی شما میتوانید این پروسه را به صورت cron job به شکل خودکار و مثلا روزانه ، هفتگی و یا ماهانه بر روی دیوایس سیسکو پیاده سازی کنید .

از این روش همچنین برای انتقال کانفیگ روتر یا سوئیچ یا هر دیوایس سیسکو دیگری به دیوایس متناظر دیگر نیز میتوان استفاده کرد ، برای مثال شما یک روتر جدید خریداری کرده اید و میخواهید آنرا با حداقل down time به جای قبلی و یا به صورت standby جهت redundancy وارد مدار کنید ، کافی است ، از کانفیگ فعلی روتر سیسکو بکاپ گرفته و آنرا روی روتر جدید بارگذاری کنید که تمامی این پروسه توسط tftp به سادگی قابل اجراست .

مراحل کار :

برای بکاپ گیری از کانفیگ دیوایس سیسکو به یک دستگاه دیگر که میتواند یک کامپیوتر یا حتی یک دیوایس سیسکو دیگر باشد و نرم افزار tftp server ( با کلیک بر روی آن میتوانید آنرا دریافت کنید ) و همچنین دسترسی IP Based به دیوایس سیسکو نیاز است .

ابتدا نرم افزار tftp server را اجرا و آنرا در حالت ارسال و دریافت قرار داده و محل دریافت و ارسال فایل ها را مشخص نمایید .

سپس این دستورات را برای انتقال و بکاپ کانفیگ سیسکو به مقصد مورد نظر وارد نمایید :

router#copy flash:startup-config tftp:

Address or name of remote host [ ] ? 1.1.1.1

Destination filename [aka-confg]? (press enter) 

1.1.1.1 آدرس سرور tftp است و اگر همه چیز درست باشد ، انتقال فایل کانفیگ که در اینجا با نام aka-config است به سرعت انجام میشود .

روش دیگری هم که اشاره به آن خالی از لطف نیست ، استفاده از کلاینت tftp که هم برای ویندوز قابل دریافت است هم لینوکس و مک او اس دارا هستند .

ابتدا در روتر این دستورات را وارد میکنید :

Aka(config)#ip tftp source-interface gigabitEthernet 0/0.800

Aka(config)#tftp-server flash:startup-config

سپس در کلاینت tftp با دستور get فایل startup-config را دریافت میکنید .

روش آپلود فایل کانفیگ نیز بر اساس همین روال است : 

Aka#copy tftp: flash:

Address or name of remote host []? 1.1.1.1

Source filename []? startup-config

Destination filename [startup-config]? 

%Warning:There is a file already existing with this name 

Do you want to over write? [confirm] (press enter)  

و به همین سادگی انتقال صورت میپذیرد  ، فقط به یاد داشته باشید پس از upload فایل کانفیگ اینترفیس های فیزیکی روتر به حالت admin down است و میبایست  به صورت دستی up شوند .

برای شکوفا شدن خلاقیت و همچنین خسته نشدن ، میتوانید روش بکاپ خودکار با اسکژول را خودتان پیدا کنید :دی

وفقک الله

 

معرفی کتاب BGP4

پاسخ دهید

bgp4-show cover

CISCO Press BGP4 Command Handbook

BGP4

یکی از معظلات دوستان اینه که به علت گستردگی مباحث و تکنولوژی ها ، کامند یادشون میره ، و این خیلی معضل میشه تو امتحان ، حالا سر کار با کوسچن مارک آدم یه خاکی سرش میکنه ، ولی هم کار رو کند میکنه و هم کلاسو اولماس 😉

مثلا شما فردا یه پروژه BGP Implementation دارین ، و مدتی هست که خیلی ریز رو ساب کامندها و کانفیگوریشن های ریز BGP4 کار نکردین ،،،، نه که مسلط نباشید ، کامند یادتون نیست ، سیسکو اینو واسه شب امتحان و شب پروژه زده ،فرنگیا به این کتابا میگن هند بوک ! همون تقلب ماست ، البته ربطی به صندوق  رای سال 92 و اینا نداره ، مربوط به سیسکو آکادمیه … 😉

شما با اشراف کامل به استراتژی و فهم و درک کامل از یه پروتکل و یا یه استراکچر ، باز هم با گذشتن زمان و عدم استفاده و تمرین کامند فراموش میکنید … این کتابا  ، کانمدارو خلاصه به شما یاداوری میکنه .

البته ،، یه سری از دوستان که علاقه وافری به یادگیریه سیخونکی و تجربی دارن ، قبل اینکه فرق BGP4 و Static Route رو بدونن میان اینارو میخونن و با بیچاره کردن 10 تا پیمانکار و 1 سال علافی ، تازه یاد میگیرن یه BGP non Direct درب و داغون ران کنن ، که البته اونایی که من میشناسم اینجوری نیستن احتمالا …

انی وی 🙂 ، این کتاب رو میتونید از اینجا دانلود کنید و ازش لذت وافر ببرید ، باور کنید خوندن کتابهای سیسکو پرس از دیوان ایرج میرزا بیشتر حال میده 😉

CiscoPress–Cisco BGP-4 command and configuration handbook

وفقک الله …

 

 

 

پسورد روتر

عوض کردن پسورد روتر سیسکو

پاسخ دهید

عوض کردن پسورد روتر سیسکو

تعویض پسورد روتر و سوئیچ سیسکو

پسورد روتر سیسکو و یا پسورد روتر سوئیچ سیسکو و یا هر دیوایس سیسکو دیگری که با سیستم عامل IOS کار میکند که چندان سختی نیست ، در صورتی که همکنون پسورد روتر ر در اختیار دارید ، به سادگی میتوانید پسورد روتر را تعویض کرده و از دسترسی به روتر سیسکو توسط غیر جلوگیری نمائید ، در صورتی که همکنون پسورد روتر سیسکو را در اختیار ندارید ، می بایست آنرا ابتدا ریست کنید و سپس اقدام به تعویض آن نمائید : آموزش پاک کردن کانفیگ روتر سیسکو

برای تعویض پسورد روتر سیسکو و یا پسورد سوئیچ سیسکو ابتدا میباست توسط telnet یا ssh و یا کابل کنسول ، به روتر متصل شودید و سپس اقدام به تعویض پسورد نمائید ،، همانطور که میدانید ، روتر سیسکو دارای 2 سطح دسترسی میباشد ، در ابتدا که شما قصد اتصال به روتر سیسکو یا سوئیچ سیسکو را دارید ، از شما Username و Password را میخواهد ، پس از وارد کردن آنها ، عموما وارد سطح دسترسی میشوید که امکان مشاهده صرف را فقط داشته و نمیتوانید تغییری در کانفیگ اعمال کنید ، برای اینکه وارد سطح دسترسی بالاتر که Privilege Mode نام دارد شوید ، باید از دستور Enable استفاده کنید ، که در صورت کانفیگ صحیح روتر سیسکو ، دوباره از شما کلمه عبور خواهد خواست ،  که به این رمز Enable Password یا Enable Secret نیز اطلاق میشود ، پس از ورود صحیح رمز ، اعلان روتر تغییر کرده و شما دسترسی ایجاد تغییرات در روتر را خواهید داشت :

User Access Verification

Username: shabake
Password:

Shabake-Core>en
Password:
Shabake-Core#

برای ایجاد تغییرات در کانفیگ باید به محیط Config Mode توسط کامند Config terminal رفته و سپس با دستورات زیر پسورد روتر و Enable Password را تعویض کنید و یا اینکه یک Username دیگر ایجاد کنید :

Shabake-Core#config terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Shabake-Core(config)#username shabake password 0 shabake
Shabake-Core(config)#enable password 0 shabake
Shabake-Core(config)#username test password 0 test

در سطر آخر ما اقدام به ساخت یک یوزر جدید به نام test با کلمه عبور test نمودیم .

نکته دیگری که میبایست به آن توجه کنید این است که یک روتر میتواند توسط یک سرور AAA توسط پروتکل Radius اهراز هویت نماید ، بدین ترتیب که برای ورود هویت شما را اط طریق سرور AAA که قبلا برای آن تعریف شده ، بررسی میکند ، برای  اینکه تنظیمات AAA را ریست کنید ، میتوانید از این دستور استفاده کنید :

Shabake-Core(config)#aaa new-model

در سیستم عامل IOS سیسکو ، 16 سطح دسترسی (0-15) وجود دارد که 0 نمایانگر کمترین سطح دسترسی و 15 بیشترین است که میتوانید به این صورت سطح دسترسی مورد نظر را به یک یوزر اختصاص دهید :

Shabake-Core(config)#username shabake privilege 15

وفقک الله

DDOS و جلوگیری از آن توسط CloudFlare

۱ پاسخ

جلوگیری از DDOS توسط CloudFlare

DDOS در حال حاضر از خطرناک ترین نوع حملات محسوب میشود ، به نوعی میتوان گفت مقابله 100% با DDOS غیر ممکن است ، برای مثال سایت اسپم هاوس چند ماه گذشته با پهنای باندی معادل کل پهنای باند ایران ، مورد حمله قرار گرفت و Down شد !

کلا مبنای حملات DOS زیر بار قرار دادن یک سرویس به شکلی که دیگر قادر به پاسخگویی نباشد و باعث اتلاف منابع و نهایتا کرش کردن سیستم شود ، حال این منابع میتواند CPU باشد و یا حتی Bandwidth !

اگر حملات از چندین مبدا باشد Distributed  و یا DDOS نامیده میشود که معضل از اینجا شروع میشود ، برای مثال اخیرا بنده در جریان یک حمله بودم که لاگ فایروال حدود یک میلیون IP متفاوت را در 10 دقیقه تشان میداد !! در همچین شرایطی امکان بستن تمامی این IP ها وجود ندارد …

بدترین نوع حملات DDOS ، نوع Traffic Flood است ، بدین ترتیب که از مثلا 1 میلیون کلاینت ترافیک های کانکشن لس به سمت هدف ارسال میشود و باعث پر شدن پهنای باند میگردد ، که حتی دیتا سنتر های بزرگ نیز قادر به رد کردن بیش از یک حجم مشخص را ندارند !

وقتی شما این عبارت را در گوگل سرچ کنید : DDOS Protected Host به نتایج زیادی بر میخورید که اکثرا fake هستند ولی بعضی قیمت های نجومی و یک Dead Line دارند ! همشان مثلا میگویند ما تا 1 گیگابیت DDOS را هندل میکنیم و بعد از آن Null route ! پس عملا سعی کنید تابلو نشوید چون ، DDOS شدن خرجش 100 هزار تومن است !

ddos

DDOS

CloudFlare ادعا میکند که میتواند تا حجم بالایی از ترافیک را هندل و جلوی DDOS را بگیرد ، که البته در مورد اسپم هاوس نشان داد که اینطورا هم نیست ، ولی کلا ، کاچی بهتر از پفک است !

مکانیسم کار بدین صورت است که شما NS های کلادفلیر را ست میکنید و سپس دامین خود را در پنل کلادفلیر ثبت میکنید ، از آنجا به بعد بسته به جیب شما ، میزان امنیت شما مشخص میشود ! اگر ماهی 3000 دلار هزینه کنید ، به شما تضمین حفاظت کامل در مقابل انواع حملات و ویروس ها و … را میدهد !

در واقع وقتی کسی سایت شما را پینگ میکند IP کلاد را میبیند و مثلا ، IP اصلی سرور شما قابل دسترسی نیست ، پس تمامی خملات به سمت کلاد سرازیر شده ، و کلاد میبایست این حملات را هندل کند :

ddos prevention

ddos prevention

نهایتا باید عرض کنم که باوجود همه این تدابیر و حتی خرید UTM های 100 هزار دلاری ، باز هم امکان DDOS شدن کماکان وجود دارد ، فقط شما میتوانید کمی لایه های حفاظتی را افزایش دهید ولی روزی خواهد رسید که مجبورید بنویسید :

router bgp xxxx
neighbor x.x.x.x remote-as xxxx shutdown

   وفقک الله
Aka Networks

Reverse Proxy و افزایش امنیت و سرعت وب سرور

پاسخ دهید

Reverse Proxy و افزایش امنیت و سرعت وب سرور

یکی از دقدقه های وب مستر ها و دیتا سنتر ها ، اصولا امنیت و سرعت وب سرور هاست ، عموما امنیت و سرعت همیشه با هم یکجا جمع نمیشود ، و افزایش امنیت معمولا کاهش سرعت را در پی خواهد داشت .

مثلا ما با قرار دادن یک فایروال UTM  در مقابل یک وب سرور ، باعث میشویم که هر پکت از سلسله کنترل هائی عبوذ کند ، باز شود و محتویاتش و منبع و مقصدش و … بررسی و بعد تحویل وب سرور شود و در مورد پاسخ نیز به همین شکل ، خب این پروسه ها  همه در بهترین حالت و با استفاده از بهترین سخت افزار ها هم ممکن است باعث کاهش سرعت شود که البته طبیعی ست .

یکی از روش های افزایش امنیت که باعث Accelerate شدن سرویس نیز میشود ، استفاده از Reverse Proxy است .

مکانیسم کار با این شکل است ، که برای مثال یک Content Engine یا در سر راه وب سرور یا به صورت موازی از طریق WCCP قرار گرفته و درخواست های را از کلاینت دریافت و مستقیما با وب سرور چلنج میکند و پاسخ را اگر در کش موجود نباشد و یا TTL آن منقضی شده باشد ، کش کرده و به کلاینت تحویل میدهد .

مزایای این روش ، جلوگیری زیادی در حملات DOS ، افزایش سرعت پاسخگویی ، کاهش لود سرور به شکل چشم گیر به علت کم شدن تعداد Query ها و Request ها و همچنین اگر در کنار این روش از Server Publishing استفاده شود ، باعث پنهان شدن IP اصلی سرور میشود .

در شماتیک زیر روش استفاده از WCCP و یک Cisco Content Engine 560 وCisco Router را ملاحظه میفرمائید .

reverse proxy

reverse proxy

ابتدا کانفیگ روتر :

ip wccp 99

interface Ethernet0/0
description Interface to the Internet
ip address 172.17.63.194 255.255.255.192
no ip redirects

interface Ethernet0/1
ip address 10.0.0.1 255.255.255.0

interface Ethernet1/0
ip address 10.1.0.1 255.255.255.0
ip wccp 99 redirect out

ip classless
ip route 0.0.0.0 0.0.0.0 172.17.63.193

 

 کانفیگ کانتنت انجین :

interface ethernet 0
ip address 10.0.0.2 255.255.255.0
ip broadcast-address 10.0.0.255

wccp router-list 1 10.0.0.1
wccp reverse-proxy router-list-num 1
wccp version 2

بدین ترتیب درخواست های وب ابتدا به کانتنت انجین و پس از کش شدن از وب سرور از کانتنت انجین به سمت کلاینت ارسال میشود .

البته روش های قوی تری نیز وجود دارد ، مثل پابلیشینگ وب سرور توسط ASA و سپس Reverse Proxy نمودن .

resverse proxy and server publishing

reverse proxy and server publishing

البته پلت فرم های نرم افزاری هم وجود دارند ، نظیر وب سرور Nginx  که خودش Built in دارای Reverse Proxy نیز میباشد که باعث افزایش کارایی و کم شدن لود سرور به علت کم شدن تعداد Query های http و SQL است .

بعضی هم اقدام به سری کردن Squid  با وب سرور ، با دو سرور مجزا و یا روی همان سرور کرده ، که زیاد کار تمیزی نیست .

در کل تمامی این روش ها در صورتی که در جای مناسب و به شکل مناسب و با بررسی محیط مورد استفاده و پیاده سازی دقیق و صیحیح انجام پذیرد ، باعث افزایش امنیت و کارایی و الا باعث دردسر و باگ در سیستم میگردد ، این مقاله صرفا جهت آشنایی کلی با این مفاهیم و Solution هاست و الا خیلی دقیق تر باید از این ابزار ها ساتفاده نمود .
وفقک الله
Aka Networks