نمایش نتایج: از شماره 1 تا 2 , از مجموع 2

موضوع: افزایش قابلیت اعتماد شبکه با استفاده از پروتکل HSRP (Cisco switches)

Threaded View

پست قبلی پست قبلی   پست بعدی پست بعدی
  1. April 8th, 2012, 20:47 #1
    rezahd
    rezahd آنلاین نیست.
    عضو انجمن
    تاریخ عضویت
    Dec 2009
    محل سکونت
    network-plus.net
    نوشته ها
    288
    تشکر تشکر کرده 
    81
    تشکر تشکر شده 
    735
    تشکر شده در
    492 پست
    rezahd به Yahoo ارسال پیام

    پیش فرض افزایش قابلیت اعتماد شبکه با استفاده از پروتکل HSRP (Cisco switches)

    Using HSRP for

    Fault-Tolerant IP Routing

    معماری Cisco hierarchical network design reference model و استراتژی سیسکو به منظور ارتقائ قابلیت اعتماد شبکه

    قسمت اول

    solution_overview_c22-643591-01.jpg


    سلام،

    قبل از اینکه شروع کنم به تشریح این مطلب جدید، بیایم یکبار دیگه با هم مراحل طراحی یک شبکه سطح متوسط مبتنی بر تجهیزات سیسکو رو چک کنیم. فرض کنید قراره یک شبکه شامل سه ساختمان فرعی و یک ساختمان مرکزی که میزبان اتاق سرور هم باشه رو از ابتدا طبق اصول اولیه و معماری Cisco hierarchical network design reference model طراحی و پیاده سازی کنیم:


    مرحله اول (انتخاب و تامین تجهیزات لایه Access) : اول با توجه به تعداد و نوع کاربری نود های شبکه موجود در هر ساختمان نسبت به تعیین نوع سوئیچ های لایه access اقدام می کنیم. توسعه آینده و آگاهی از برنامه های آتی مدیریت ارشد نقش موثری در تصمیم سازی خواهد داشت. یادمون باشه غیر از تعداد پورت، قابلیت پشتیبانی از POE یا Power Over Ethernet, نوع مدیای مورد استفاده در اتصال پورت های Up-Link ، نوع منبع تغذیه و انتظارات طراحی شبکه از امکانات امنیتی IOS سوئیچ رو هم در نظر بگیریم.


    مرحله دوم (انتخاب و تامین تجهیزات لایه Aggregation) : مرحله بعدی انتخاب تجهیزات لایه Aggregation یا تجمع خواهد بود که اصطلاحا به لایه توضیع یا Distribution هم معروفه. معمولا در سناریو های مربوط به شبکه هایی که ما در کشورمون بصورت عمومی سر و کار داریم، لایه Core و Aggregation در هم ادغام میشه و ما این معماری رو به نام collapse core design میشناسیم. در شکل زیر نمایی از این طراحی رو مشاهده می کنید با این اختلاف که تا اینجا در سناریوی ما سوئیچ دوم لایه Aggregation و سوئیچ های لایه Data Center Core وجود ندارند.

    solution_overview_c22-643591-05.jpg


    انتخاب سوئیچ های لایه Aggregation نسبت به لایه Access حساسیت بیشتری رو طلب خواهد کرد زیرا سرویس های مورد انتظار از تجهیزات این لایه به مراتب پیچیده تر ، حساس تر و متنوع تر از لایه Access خواهد بود. فرض می کنیم بعد از در نظر گرفتن همه جوانب به این نتیجه رسیدیم که ساده ترین سوئیچ Multilayer غیر ماژولار سیسکو یعنی سوئیچ های سری Catalyst 3750-S رو واسه تامین تجهیزات لایه Aggregation انتخاب کرده باشیم.


    مرحله سوم (پیکربندی اولیه) : این مرحله شامل Cabling و انجام پیکربندی های اولیه تجهیزات سوئیچ خواهد بود.تنظیمات IP، Host name ، SNMP و enable secret و از همه اساسی تر تعیین VTP Domain و پیکربندی های اولیه مربوط به سگمنت بندی شبکه از عملیات مربوط به این مرحله خواهد بود.


    مرحله چهارم (پیکربندی امنیتی تجهیزات سوئیچ) : این مرحل تقریبا شامل همه اون چیزهایی میشه که از ابتدا در این وبلاگ تحت عنوان موضوعات 10 گانه امنیتی نوشتم . در این مرحله سرویس های موجود در اتاق سرور و سوئیچ بلاک ها رو شناسایی می کنید. Access List ها رو بر اساس این اطلاعات و خط مشی امنیتی در نظر گرفته شده در خصوص تبادل اطلاعات بین این سگمنت ها تدوین و بر روی SVI های سوئیچ لایه Aggregation اعمال می کنید. Port security و پیکربندی های امن مربوط به حملات DOS لایه دوم مدل OSI رو هم مطابق آنچه تا اینجا گفته شد بر روی تجهیزات لایه Access اعمال می کنیم و دست آخر هم نوبت Cryptography و تمهیدات لازم جهت امن سازی روال های مدیریت راه دور این تجهیزات خواهد بود.



    بوجود آمدن یک نقطه آسیب پذیر ( Single point of failure) و استراتژی برطرف کردن آن:

    خوب تا اینجا اگه همه چیز طبق روال پیش رفته باشه، یک شبکه سگمنت بندی شده داریم که تبادل اطلاعات بین سگمنت های تعریف شده از طریق VLAN با استفاده از مکانیزم Inter-VLAN Routing در حال جریان است و Access List ها نیز طبق برنامه و خط مشی امنیتی مورد نظر ما نسبت به کنترل امنیت ترافیک تا سطح لایه چهارم مدل OSI عمل خواهند کرد.


    تنها مشکل قابل تامل در این مرحله ، تعدد سرویس های تعریف شده بر روی تنها سوئیچ لایه Core شبکه ( همان سوئیچ 3750 در این سناریو که نقش سوئیچ لایه Core و Aggregation را ایفا خواهد کرد ) می باشد تا حدی که بقاء کسب و کار سازمان و حیات شبکه مرهون عملکرد صحیح این عنصر خواهد بود. بنا بر این ایجاد چنین نقطه تعهدی در شبکه خود یک نقطه آسیب پذیر محسوب خواهد شد.

    3750x-sm-photo.jpg

    روش های مختلفی در برطرف کردن این نقطه آسیب پذیری پیش روی خواهیم داشت که متناسب با تکنولوژی بکار رفته ، هزینه صرف شده و سطح دانش بکار رفته در پیکربندی این تجهیزات می توانند در کاهش حساسیت این نفطه آسیب پذیری موثر واقع گردند. یکی از این روشها برنامه ریزی در تهیه پشتیبان از پیکربندی و IOS این سوئیچ خواهد بود تا در مواقع بروز مشکل سخت افزاری نسبت به تعویض قطعه و Recover کردن اطلاعات پیکربندی اقدام گردد. مطمئنا در این روش ، فاکتور زمان Recovery کم اهمیت ترین موضوع مورد توجه مدیر شبکه در نظر گرفته شده است. اما روشهای Recovery سریع تری نیز وجود دارد که می توانند تقریبا بصورت بلادرنگ عمل نمایند. یکی از این روش ها استفاده از پروتکل HSRP یا همان Hot Standby Routing Protocol خواهد بود که در قسمت بعد نسبت به تشریح نحوه پیکربندی آن اقدام خواهم کرد.



    موفق و پیروز باشید.
    سلام کلیه کاربرانی که از بنده سرور اختصی خریداری کردن لطفا طبق اطلاع رسانی قبلی خواستارم از سرور های خود بک اپ بگیرید و هر چه سریع تر تماس بگیرید در اولین فرصت با من تماس بگیرید با تشکر
    پاسخ با نقل قول پاسخ با نقل قول

  2. تعداد تشکر ها ازrezahd به دلیل پست مفید

    berrybari, jonesenavanh, merci
« موضوع قبلی | موضوع بعدی »

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

در حال حاضر 1 کاربر در حال مشاهده این موضوع است. (0 کاربران و 1 مهمان ها)

موضوعات مشابه

  1. حل مشکل نماد اعتماد با پروتکل امن ssl
    توسط Ahmad110 در انجمن مباحث و منابع آموزش
    پاسخ ها: 0
    آخرين نوشته: July 13th, 2016, 20:12
  2. معرفی پروتوکل hsrp
    توسط alikamanak در انجمن سیسکو Cisco
    پاسخ ها: 0
    آخرين نوشته: June 17th, 2014, 02:41

مجوز های ارسال و ویرایش

  • شما نمیتوانید موضوع جدیدی ارسال کنید
  • شما امکان ارسال پاسخ را ندارید
  • شما نمیتوانید فایل پیوست کنید.
  • شما نمیتوانید پست های خود را ویرایش کنید
  •  

مشاهده قوانین انجمن