24 بهمن 1401

لایسنس رزرو دائمی سیسکو (Cisco PLR License) چیست؟

سیسکو PLR (Permanent License Reservation) نوع جدیدی از لایسنسینگ سیسکو می باشد که به عنوان یک راه امن برای فعال سازی قابلیت های محصولات سیسکو در یک محیط بسیار امن که در آن اتصالات اینترنتی مجاز نیست، حساب می شود. در حالی که لایسنس هوشمند یا همان Smart License سیسکو به اتصال دوره ای بین دستگاه ها و پرتال مدیر لایسنس هوشمند سیسکو (CSMS) نیاز دارد، لایسنس های سیسکو PLR لایسنس های آفلاین، دائمی و با ویژگی کامل را ارائه می دهند.

شرکت داده کاوان رایان تتیس لایسنس های PLR را به صورت گارانتی شده ارائه می دهد به این صورت که ارائه لایسنس آفلاین به گونه ای انجام می پذیرد که کارفرما از روی CSSM سیسکو رویه آفلاین شدن لایسنس و تبدیل آن به فایل SLR (Specific License Reservation) را به صورت آنلاین مشاهده نماید. به این ترتیب خریداران محترم اطمینان خواهند یافت که لایسنس های PLR ارائه شده توسط شرکت تتیس قابل احراز هویت هستند و این شرکت به هیچ عنوان از لایسنس های صادر شده توسط KEYGEN استفاده نمیکند.

نمونه ای از مراحل فعال سازی لایسنس PLR Cisco را در تصاویر زیر برای شما قرار دادیم:

سیسکو PLR را به عنوان خطوط تولید امن خود در نظر گرفته است. در ادامه برخی از سرویس ها و محصولاتی که مشتریان سیسکو می توانند لایسنس PLR را در آنها ثبت کنند معرفی شده اند:

Cisco Secure Firewall (سیسکو Firepower)

سری Cisco FirePower که برای شعبه ها، پردیس های بزرگ و مراکز داده طراحی شده است. سازمان ها با استفاده از این ابزارها می توانند به سرعت ترافیک وب رمزگذاری شده را بررسی کنند، نفوذهای شبکه را شناسایی و مسدود کنند، VPN های مختلف را پیاده سازی کنند و محافظت یکپارچه در برابر حملات DDoS داشته باشند.

این دستگاه ها همچنین می توانند با Cisco Firewall Threat Defense (FTD) یکپارچه شوند، که یک راهکار نرم افزاری یکپارچه است که سیسکو ASA و Cisco Firepower را در یک سیستم کامل سخت افزاری و نرم افزاری ترکیب می کند. لایسنس Cisco PLR باید بر روی FDM یا FMC Web-UI اعمال شود تا دستگاه فایرپاور ثبت و فعال شود. پس از فعال‌سازی لایسنس PLR، تمامی ویژگی‌ها از جمله دفاع از تهدید، بدافزار، IPS، URL، AMP و غیره بدون محدودیت زمانی فعال می‌شوند، همچنین AnyConnect به همراه Session های نامحدود بر روی دستگاه فایرپاور در دسترس خواهد بود.

Cisco Secure Firewall Management Center (FMC)

Cisco FMC یک سرویس برای مدیریت چندین Cisco FirePower در یک شبکه است. Cisco FMC مدیریت یکپارچه FirePower سیسکو را با نرم افزار FTD برای کنترل پورت و پروتکل، کنترل برنامه، IPS، فیلتر URL و عملکردهای محافظت از بدافزار ارائه می دهد. هنگام استفاده از یک لایسنس Cisco PLR در Cisco FMC، نیازی به خرید لایسنس جداگانه برای هر دستگاه فایرپاور نخواهد بود. اساسا یک FMC می تواند تا 25 دستگاه FirePower را تنها با یک لایسنس PLR پشتیبانی کند. با این حال، ما به شما توصیه نمی کنیم که بیش از 3 عدد FirePower را روی یک سرور FMC اضافه کنید.

Cisco Identity Service Engine (ISE)

Cisco ISE یک پلتفرم برای کنترل احراز هویت و دسترسی است که یک خط مشی واحد را در کل سازمان ارائه می دهد که چندین سرویس از جمله احراز هویت (Authentication)، تعیین سطح دسترسی (Authorization) و حسابداری (Accounting) یا همان AAA را ترکیب می کند. Cisco ISE همچنین از مجوز PLR پشتیبانی می کند که می تواند تمام ویژگی های برتر خود را به طور دائم برای دستگاه های شبکه و کاربران نهایی به صورت تعداد نامحدود فعال کند. Cisco ISE معمولاً از دو PAN جداگانه برای افزونگی و در دسترس بودن بالا استفاده می کند و هر PAN به لایسنس PLR جداگانه نیاز دارد.

Cisco Secure Network Analytics (StealthWatch)

استفاده از Telemetry سازمانی StealthWatch دید عمیق تری را برای تمام نقاط پایانی Cloud، مرکز داده و اتصالات شعبات در شبکه به ارمغان می آورد. این قابل مشاهده بودن منجر به سیاست‌های تقسیم‌بندی هوشمندتر می شود که می‌توانند مدت کوتاهی پس از کشف چیزی مشکوک توسط StealthWatch، به راحتی اجرا شوند. مجوز سیسکو StealthWatch PLR در نهایت می‌تواند قابلیت‌های کامل را در یک روش آفلاین با استفاده از شبکه‌های امن فعال کند تا از هرگونه اتصال ورودی یا خروجی غیرضروری برای ثبت دستگاه جلوگیری شود.

روترهای Cisco ASR

روترهای Cisco ASR (Aggregation Services Routers) با ویژگی های غنی از نظر اقتصادی و پشتیبانی از پهنای باند بالا شناخته می شوند. در حال حاضر روترهای سری سیسکو ASR 900، ASR 1000 و ASR 9000 از مجوز PLR پشتیبانی می کنند.

روترهای سیسکو ISR

روترهای سیسکو ISR (Integrated Services Routers) معمولا برای ارتباطات WAN بین شعبات سازمان ها استفاده می گردند. روترهای سری ISR 1000 و ISR 4000 از مجوز PLR پشتیبانی می کنند.

روتر CSRv Cisco

روترهای (Cloud Services Routers) Cisco CSR1000v که برای استقرار در محیط ابر خصوصی (Private Cloud) و عمومی (Public Cloud) و به صورت ماشین مجازی طراحی شده‌اند، می‌توانند با استفاده از مجوز PLR به توانایی کامل خود دست یابند. این روترها قابلیت های VoIP را پشتیبانی می کنند و می توان از آنها به عنوان Cisco Unified Border Element (CUBE) با لایسنس PLR استفاده نمود.

سوئیچ‌های Nexus Cisco

سوئیچ‌های Cisco Nexus دارای قابلیت‌های بی‌نظیر، عملکرد سریع، برای تامین نیازهای حال و آینده مراکز داده طراحی شده اند. در حال حاضر اکثر مدل‌های Cisco Nexus از جمله: Nexus 5000، Nexus 7000، Nexus 9000 از مجوزهای PLR پشتیبانی می‌کنند.

سوئیچ‌های Catalyst سیسکو

سوئیچ‌های Catalyst سیسکو برای پاسخگویی به نیازهای سازمان های در حال پیشرفت، توسعه اینترنت اشیا (IOT) و محیط Cloud طراحی شده‌اند. در آخرین به روز رسانی IOS XE در سوئیچ های Catalyst 3000 و Catalyst 9000، مجوز PLR پشتیبانی می شود.

کنترل‌کننده شبکه بی‌سیم Cisco Catalyst 9800

کنترل‌کننده بی‌سیم یا Wireless LAN Controller مدل Catalyst 9800 با پشتیبانی از Wi-Fi 6 شبکه شما را تقویت می‌کند و به کلاینت های بی سیم آن اجازه می‌دهد در هر کجای شبکه LAN مستقر شود. مجوز سیسکو PLR هم برای دستگاه فیزیکی Cat9800 و هم برای ماشین مجازی Cat9800 در دسترس است.

9 بهمن 1401

04 بهمن 1401

فایروال FortiGate چیست و معرفی فایروال های FortiGate

مقدمه

استراتژی‌های امنیتی معمولی نمی‌توانند به رفع چالش‌های حمله‌های اینترنتی و سایبری در حال گسترش در سازمان‌ها و شرکت‌ها (از کار از راه دور گرفته تا شبکه‌های چند ابری) کمک کنند. شبکه امنیت‌محور فورتی نت با یکپارچه‌سازی دقیق زیرساخت‌های شبکه با معماری امنیتی، این چالش‌ها را برطرف می‌کند. به این معنی که شبکه شما با افزایش مقیاس و تغییر، ایمن باقی می‌ماند. فایروال‌ های فورتی نت که به آنها FortiGate گفته می‌شود نسل بعدی فایروال ها (NGFW) هستند و از سازمان‌ها در برابر تهدیدات شبکه مبتنی بر وب از جمله تهدیدات شناخته و ناشناخته و استراتژی‌های نفوذ، محافظت می‌کنند.

فایروال‌های فورتی گیت که به صورت سخت‌افزار، ماشین مجازی یا در فضای ابری قابلیت مستقر شدن را دارند، به شکلی یکپارچه با سرویس‌های امنیتی FortiGuard Labs ادغام شده و امنیت کلی شرکت را از لبه شبکه تا هسته تقویت می‌کنند. در ادامه این مطلب به معرفی کاربردهای این فایروال‌های و چند مدل از آن می‌پردازیم.

کارایی فایروال های FortiGate

فایروال‌های فورتی گیت از فناوری پردازشگر امنیتی پیشرفته (SPU) برای اجرای عملکردهای امنیتی در این صنعت با تأخیر بسیار کم استفاده می‌کنند و حداکثر عملکرد و امنیت برای ترافیک رمزگذاری‌شده SSL را حفظ می‌کنند.

بررسی کلی سرویس فایروال FortiGate

در ابتدا لازم است به صورت کلی سرویس فایروال FortiGate و هر چیزی که این سرویس فایروال NGFW ارائه می‌دهد را بررسی کنیم.

آنتی ویروس فورتی گارد

این آنتی ویروس در تمام فایروال‌های NGFW فورتی گیت در دسترس قرار دارد. آنتی ویروس فورتی گارد که یک آنتی ویروس سازمانی است به منظور محافظت از شبکه‌های شرکت و دستگاه‌های کارکنان در برابر جدیدترین و پیشرفته‌ترین بدافزارها، ویروس‌ها، نرم‌افزارهای جاسوسی و سایر تهدیدات مخرب ساخته شده است. آنتی ویروس FortiGuard از فناوری‌های امنیتی فعال و به روز رسانی‌های ساعتی به منظور شناسایی سریع تهدیدات خطرناک و پیشرفته و مسدود کردن آن‌ها استفاده می‌کند.

FortiGuard IPS

فایروال های FortiGateنسل NGFW به لطف سرویس FortiGuard IPS از قابلیت‌ حفاظت در برابر نفوذ به شبکه برخوردار هستند. FortiGuard IPS که قادر به شناسایی حملات روز صفر، باج‌افزار، بدافزار پیشرفته و سایر تهدیدات مخرب است، به تیم‌های امنیتی اجازه می‌دهد تا به سرعت هرگونه نفوذ در شبکه را شناسایی کرده و قبل از بروز هرگونه آسیب جدی یا سرقت داده‌ها، آنها را مسدود کنند.

حفاظت از نشت داده‌ها

سرویس FortiGuard Application Control که از طریق فایروال ‌های Fortinet در دسترس است، به شرکت‌ها کمک می‌کند به راحتی استفاده از برنامه‌ها را کنترل کنند و در عین حال وضعیت امنیتی کلی برنامه خود را نیز بهبود بخشند. FortiGuard Application Control همچنین امکان مشاهده فوری همه برنامه‌های در حال اجرا در شبکه و همچنین روند استفاده در طول زمان را برای کاربران فراهم می‌کند.

FortiGuard Web Filtering

سرویس FortiGuard Web Filtering که در هر فایروال FortiGate NGFW موجود است، از سازمان‌ها و کارمندان شرکت در برابر دسترسی به محتوای وب مخرب یا وب سایت‌های مشکوکی که می‌توانند شبکه شرکت را در معرض خطر قرار دهند محافظت می‌کند. سازمان‌ها می‌توانند به ‌طور خودکار، محتوای وب خطرناک را مسدود کنند تا هیچ بارگیری مخربی شروع و یا به دستگاه شرکت منتقل نشود.

آشنایی با مدل‌های فایروال FortiGate

اکنون که فایروال فورتی گیت و کارایی آن‌ها آشنا شدید بد نیست به معرفی برخی از بهترین مدل‌های آن نیز بپردازیم. سه مدل زیر از سری فایروال های FortiGateهستند و عملکرد عالی در زمینه حفاظت از شبکه و دستگاه‌های سازمان‌ها از خود نشان می‌دهند.

فایروال های FortiGateسری F60

سری فایروال 60F برای ساخت شبکه‌های مبتنی بر امنیت در شرکت‌های توزیع شده سایت ها و تغییر معماری WAN در هر مقیاسی گزینه‌ای ایده‌آل است.

با داشتن مجموعه غنی از خدمات امنیتی FortiGuard مبتنی بر هوش مصنوعی و یکپارچه‌سازی امنیتی

پلتفرم، سری FortiGate FortiWiFi 60F امکان حفاظت هماهنگ، خودکار و سرتاسری در برابر تهدید را در تمام موارد استفاده فراهم می‌کنند.

سری فایروال f60 فورتی گیت دارای اولین SD-WAN یکپارچه و امکان دسترسی به شبکه Zero Trust (ZTNA) در شکل یک راه حل NGFW است و به یک سیستم عامل مجهز می‌شود. FortiGate FortiWiFi 60F به طور خودکار کنترل، تأیید و دسترسی کاربر به برنامه‌ها را تسهیل می‌کند و یک تجربه کاربری یکپارچه و بهینه و سازگار را فراهم می‌کند. از ویژگی‌های این فایروال‌ها به موارد زیر باید اشاره کرد:

هزاران اپلیکیشن در ترافیک شبکه را به منظور بررسی عمیق و اجرای دقیق سیاست‌ها شناسایی می‌کند.
از شبکه در برابر بدافزارها، سوء استفاده‌ها و وبسا‌یت‌های مخرب در شکل ترافیک رمزگذاری شده و غیر رمزگذاری شده محافظت می‌کند.
با استفاده از حملات مداوم از طریق FortiGuard Labs مجهز به هوش مصنوعی از حملات مداوم جلوگیری کرده و یا آن‌ها را شناسایی می‌کند
با استفاده از Fabric Security Fabric که با FortiSandbox مجهز به هوش مصنوعی ادغام شده است، حملات پیچیده و ناشناخته را به صورت فوری مسدود می‌کند.

فایروال‌های سری 100F فورتی گیت

فایروال های FortiGateسری 100F ترکیبی از افزایش امنیت با استفاده از هوش مصنوعی و یادگیری ماشینی برای محافظت از شرکت و سازمان‌ها در برابر تهدیدات و حملات سایبری در هر مقیاسی است. با استفاده از این فایروال‌ها نگاه عمیق‌تری به شبکه خود خواهید داشت و می‌توانید برنامه‌ها، کاربران و دستگاه‌ها را قبل از اینکه به تهدید تبدیل شوند شناسایی کنید.

سری FortiGate 100F با قابلیت‌های امنیتی AI/ML که به یک پلتفرم یکپارچه امنیتی یکپارچه گسترش می‌یابد، شبکه‌ای امن ایجاد کرده که به طور خودکار کار می‌کند. نه تنها شبکه را با محافظت از امنیت وب، محتوا و دستگاه ایمن کرده بلکه با تقسیم‌بندی شبکه و SD-WAN ایمن، پیچیدگی و خطرات شبکه‌های فناوری اطلاعات ترکیبی را کاهش می‌دهد. قابلیت Universal ZTNA آن به طور خودکار دسترسی کاربر به برنامه‌ها را کنترل، تأیید و تسهیل می‌کند و تهدیدات را با محدود کردن دسترسی به کاربران تأیید شده کاهش می‌دهد. علاوه بر این، این فایروال امکان حفاظت از تهدیدات فوق سریع و بررسی امنیت SSL در هر سطح و بدون اثرگذاری بر عملکرد را فراهم می‌کند.

فایروال های FortiGateسری 200F

فایروال های FortiGateسری 200F یک راه‌حل SD-WAN مبتنی بر برنامه، مقیاس‌پذیر و ایمن و پشتیبانی از قابلیت‌های فایروال نسل بعدی (NGFW) را به شرکت‌های متوسط تا بزرگ که در سطح دانشگاه یا شعبه سازمانی مستقر هستند ارائه می‌دهد. از شبکه در برابر تهدیدات سایبری با سیستم پرشتاب روی تراشه و SD-WAN ایمن و پیشرو در صنعت که استقرار آن ساده، مقرون به صرفه و راحت است محافظت می‌کند. در نهایت، رویکرد شبکه‌سازی مبتنی بر امنیت فورتی نت، امکان یکپارچگی شبکه را با نسل جدید فایروال فراهم می‌کند.

برجسته

23 مهر 1401

24 مرداد 1401

مقایسه لایسنس اسمارت سیسکو با لایسنس کلاسیک سیسکو

یکی از چالش های مدیران و مهندسین IT که با محصولات و تجهیزات سیسکو سر و کار دارند آشنایی با لایسنس های سیسکو و انواع آن(لایسنس اسمارت سیسکو ،لایسنس کلاسیک سیسکو و …) می باشد. از آنجا که انتخاب صحیح نوع لایسنس و قابلیت های آن برای استفاده از محصولات سیسکو بسیار حائز اهمیت می باشد، در ادامه به معرفی انواع لایسنس های سیسکو می پردازیم و آنها را با یکدیگر مقایسه می کنیم.

به طور کلی لایسنس های سیسکو به سه دسته تقسیم می شوند:

لایسنس کلاسیک سیسکو (Cisco Classic License) چیست؟

این مدل قدیمی ترین حالت لایسنسینگ محصولات سیسکو می باشد. در این روش شما قابلیت های مختلف دستگاه خود را از طریق روش کلید فعال سازی یا همان Activation Key فعال می کنید.

سیسکو این نوع لایسنس را Traditional Product Activation Key Licensing یا همان PAK Licensing می نامد. این مدل قدیمی ترین مدل از لایسنس های سیسکو می باشند و در حال حاظر بسیاری از دستگاه ها و راه کاری سیسکو از آن پشتیبانی نمی کنند.

لایسنس اسمارت سیسکو (Cisco Smart License) چیست؟

لایسنس اسمارت سیسکو روش جدید و جایگزین لایسنس های کلاسیک سیسکو می باشد. تمام محصولات جدید سیسکو و حتی برخی از محصولات قدیمی که قبلا از لایسنس کلاسیک سیسکو استفاده می کردند حالا از اسمارت لایسنس پشیبانی می کنند.سوال مهم این است که لایسنس اسمارت سیسکو چیست؟ و چه تفاوتی با لایسنس کلاسیک یا PAK دارد؟

Cisco Smart Licensing سیستمی است که از یک License Manager (مدیر لایسنس) در اکثر دستگاه ها و راهکارهای سیسکو تشکیل شده است. این روش لایسنس ها را برای ویژگی های نرم افزاری و سخت افزاری مختلف مدیریت می کند. License Manager قبل از پذیرش و فعال سازی یک لایسنس، آن را تجزیه و تحلیل و احراز هویت می کند. لایسنس های کلاسیک قدیمی‌تر، دید ناقصی را به مشتریان ارائه می‌دادند، زیرا هیچ راهی برای پیگیری همه لایسنس های نرم‌افزاری که آنها دارند وجود نداشت. همچنین، هر دستگاه باید به صورت دستی با استفاده از PAK ثبت می شد.

علاوه بر این، لایسنس ها به یک دستگاه خاص اختصاص داشتند و اگر دستگاه دیگر مورد استفاده قرار نمی گرفت، لایسنس نیز از بین می رفت. Cisco Smart Licensing مدیریت لایسنس ها را در سازمان ها به روش های مختلف ساده می کند. اولاً، لایسنس ها به سخت‌افزار قفل نشده‌اند، بنابراین مشتریان به راحتی می‌توانند لایسنس ها را جمع‌آوری کنند و در صورت نیاز آزادانه آن‌ها را تغییر دهند. در Smart Licensing هیچ کلید فعال‌سازی محصول (PAK) برای ثبت لایسنس مورد نیاز نیست. علاوه بر این، سیسکو Smart Licensing را در همه محصولات خود استاندارد می کند و همه محصولات سیسکو از آن پشتیبانی خواهند نمود.

لایسنس اسمارت سیسکو چگونه کار می کند؟

لایسنس اسمارت سیسکو مبتنی بر فضای ابری است و به شما اجازه می دهد تا کارهای وقت گیر صدور License را خودکار کنید و به سادگی وضعیت لایسنس و روند استفاده از نرم افزار خود را بررسی کنید. Smart Licensing یک پورتال متمرکز به نام Cisco Software Services Management یا SSM (مدیریت خدمات نرم افزاری سیسکو) را ارائه می دهد که مدیریت کلیه لایسنس های سیسکو را از یک وب سایت متمرکز امکان پذیر می کند. از طریق پورتال Smart Licensing یک نمای یکپارچه از تمام لایسنس هایی که خریداری کرده اید و آنچه در شبکه شما مستقر شده است خواهید داشت.

پورتال متمرکز Cisco Software Services Management یا SSM (مدیریت خدمات نرم افزاری سیسکو)

شکل زیر نمایی از این پنل را نشان می دهد:

برای تهیه Smart License و همچنین لاگین در پنل SSM (Smart Software Manager) نیاز به اکانت هوشمند سیسکو یا همان Cisco Smart Account می باشد. در ادامه خواهیم دید که Smart Account چیست؟

Smart Account چیست؟

Cisco Smart Account به زبان ساده اکانتی است که به شما امکان می دهد تمام لایسنس ها، دستگاه ها و قراردادهای لایسنس سیسکو خود را سازماندهی کنید. همچنین به شما امکان می دهد در آینده دسترسی به این دارایی ها را کنترل کنید. حساب‌های هوشمند به شما این امکان را می‌دهند که تمام لایسنس ها، دستگاه‌ها و سرویس‌های اشتراک سیسکو خود را سازماندهی کنید.

حساب هوشمند در حال حاضر برای بسیاری از محصولات محبوب سیسکو اجباری است و برای سفارش و دریافت محصولات Smart License باید یک Smart Account داشت.

دو نوع Smart Account وجود دارد: یکی برای مشتری یا همان customer smart account و یکی برای شریک تجاری یا همان Partner Holding Account.

customer smart account جایی است که لایسنس ها ذخیره و سازماندهی می شوند تا مشتری به آنها دسترسی داشته باشد، آنها را فعال کند و مدیریت کند. یک Partner Holding Account توسط یک شریک تجاری (Cisco Partner) یا توزیع کننده، برای ذخیره موقت سفارش تا زمانی که smart account مشتری شناخته شود استفاده می شود.

Virtual Account چیست؟

Error: The WooCommerce API is disabled on this site [woocommerce_api_disabled] 404 stdClass Object ( [headers] => Array ( [0] => Accept: application/json [1] => Content-Type: application/json [2] => User-Agent: WooCommerce API Client-PHP/2.0.1 )[method] => GET [url] => https://netwayprime.com/wc-api/v2/products/13895?consumer_key=ck_2f239dff32d448fb020c0e76e79e4f66e92f2e62&consumer_secret=cs_aedf1c9e37999ad2487f54f41a14313fb42f0375 [params] => Array ( [consumer_key] => ck_2f239dff32d448fb020c0e76e79e4f66e92f2e62 [consumer_secret] => cs_aedf1c9e37999ad2487f54f41a14313fb42f0375 )[data] => Array ( )[body] => [duration] => 1.21733 ) stdClass Object ( [body] => {"errors":{"code":"woocommerce_api_disabled","message":"The WooCommerce API is disabled on this site"}} [code] => 404 [headers] => Array ( [x-powered-by] => PHP/7.4.33 [set-cookie] => PHPSESSID=bee5cbb6a30d4906832014d312b7a10d; path=/; secure [expires] => Thu, 19 Nov 1981 08:52:00 GMT [cache-control] => no-store, no-cache, must-revalidate [pragma] => no-cache [x-dns-prefetch-control] => on [content-type] => application/json; charset=UTF-8 [x-litespeed-tag] => 695_HTTP.404 [x-litespeed-cache-control] => no-cache [date] => Mon, 22 Apr 2024 05:51:48 GMT [alt-svc] => h3=":443"; ma=2592000, h3-29=":443"; ma=2592000, h3-Q050=":443"; ma=2592000, h3-Q046=":443"; ma=2592000, h3-Q043=":443"; ma=2592000, quic=":443"; ma=2592000; v="43,46" ))

دوره پیشنهادی

هم حساب هوشمند مشتری و هم حساب های دارایی شریک می توانند حساب های مجازی Virtual Account داشته باشند. حساب‌های مجازی به عنوان زیرپوشه‌ها برای سازماندهی لایسنس ها و کاربران در حساب هوشمند عمل می‌کنند. یک Smart Account می تواند چندین حساب کاربری Virtual Account داشته باشد.

شرکت داده کاوان تتیس لایسنس های اسمارت سیسکو را از طریق Smart Account اختصاصی خود ارائه می دهد و برای مشتریان محترم Virtual Account به اسم سازمان مربوطه ساخته و برای مدیریت لایسنس ها در اختیار ایشان قرار می دهد.

نکته آخر در خصوص لایسنس های اسمارت این می باشد که در این نوع لایسنسینگ، تجهیز یا راهکار سیسکو باید به صورت دوره ای و به شکل آنلاین با پرتال SSM (Cisco Smart Software Manager) در ارتباط باشد به همین خاطر Smart License را لایسنسی از نوع آنلاین می شناسیم و در صورت عدم اتصال به اینترنت می توانیم از لایسنس های PLR استفاده کنیم.

23 مهر 1401

23 آبان 1396

معرفی دوره های آموزشی میکروتیک

MTCNA: Mikrotik Certified Network Associate

دوره آموزشی کارشناس شبکه های میکروتیک (MTCNA) اولین و پایه ای ترین دوره از سری دوره های آموزشی شرکت میکروتیک می باشد وعملاً پیش نیازی ندارد ولی برای درک بهتر پیشنهاد می شود دانشجویان آشنایی مقدماتی با مفاهیم شبکه و پروتکل IP و مدل TCP/IP داشته باشند. در این دوره دانشجویان با مفاهیم پایه ای شبکه و تجهیزات میکروتیک (سیتم عامل RouterOS و سخت افزار RouterBoard) به طور کامل آشنا خواهند شد، همچنین سایر مباحث دوره های بالاتر را به طور جزئی فرا خواهند گرفت. در پایان دوره آموزشی، دانشجویان قادر به انجام تنظیمات اولیه برروی میکروتیک هستند وهمچنین مهارت راه اندازی Routing، DHCP، DNS، Wireless، انواع Tunnel، Firewall ،Queue و غیره را نیز دارا خواهند بود.

MTCRE: Mikrotik Certified Routing Engineer

عنوان این دوره مهندسی مسیریابی شبکه های میکروتیک است. پیش نیاز این دوره ی آموزشی دوره ی MTCNA می باشد. در دوره آموزشی مهندسی مسیریابی شبکه های میکروتیک (MTCRE) مفاهیم و تنظیمات مربوط به مسیریابی بر روی میکروتیک به طور کامل آموزش داده خواهد شد و در پایان این دوره آموزشی دانشجویان قادر به راه اندازی Route های استاتیک و داینامیک مانند OSPF و همچنین تنظیمات انواع Tunnel ها و VLAN و … خواهند بود.

MTCWE: Mikrotik Certified Wireless Engineer

عنوان این دوره مهندسی شبکه های بی سیم میکروتیک است. پیش نیاز این دوره ی آموزشی دوره ی MTCNA می باشد. در دوره آموزشی MTCWE مفاهیم و تنظیمات انواع لینک های بی سیم با استفاده از میکروتیک به طور کامل آموزش داده خواهد شد. در پایان این دوره آموزشی دانشجویان قادر به راه اندازی کلیه حالت های لینک های بی سیم مانند Point to Point یا Point to Multipoint خواهند بود.

MTCTCE: Mikrotik Certified Traffic Control Engineer

عنوان این دوره مهندسی کنترل ترافیک شبکه های میکروتیک است. پیش نیاز این دوره ی آموزشی، MTCNA می باشد. در دوره ی آموزش MTCTCE مفاهیم و تنظیمات مربوط به کنترل پهنای باند و مسیر عبوری پکت ها و مفاهیم Firewall بر روی میکروتیک به طور کامل و پیشرفته آموزش داده خواهد شد. در پایان دوره آموزش MTCTCE دانشجویان قادر به راه اندازی انواع صف ها، انواع فیلترها و غیره در روتر میکروتیک خواهند بود و مفهوم Packet Flow در میکروتیک را به طور کامل مسلط خواهند شد.

MTCUME: Mikrotik Certified User Management Engineer

عنوان این دوره، مهندسی مدیریت کاربران شبکه های میکروتیک است. پیش نیاز این دوره ی آموزشی دوره ی MTCNA می باشد. در دوره ی مهندسی مدیریت کاربران شبکه های میکروتیک یا MTCUME مفاهیم و تنظیمات مربوط به User Manager و RADIUS برروی میکروتیک به طور کامل آموزش داده خواهد شد در پایان این دوره آموزشی دانشجویان قادر به راه اندازی مباحث پیشرفته تونل ها، Accounting، مدیریت کاربران با User Manager وHotspot و غیره خواهند بود.

MTCIPv6E: Mikrotik Certified IPv6 Engineer

عنوان این دوره مهندسی شبکه های مبتنی بر IPv6 میکروتیک است. پیش نیاز این دوره ی آموزشی دوره ی MTCNA می باشد. در این دوره مباحث مرتبط با مفاهیم IP نسخه ۶ به طور کامل آموزش داده می شود و برخی از سرویس هایی که با این پروتکل در میکروتیک کار می کنند نیز آموزش داده می شود.

MTCINE: Mikrotik Certified Inter-Networking Engineer

عنوان این دوره مهندسی ارتباطات بین شبکه ای میکروتیک است. پیش نیاز این دوره ی آموزشی دوره ی MTCRE می باشد. این دوره تنها دوره ی میکروتیک می باشد که نیاز به گذراندن دو دوره ی دیگر میکروتیک را دارد. دراین دوره آموزشی مفاهیم و تنظیمات مربوط به پروتکل های BGP، MPLS و VPLS برروی میکروتیک به طور کامل آموزش داده خواهد شد. در پایان دوره دانشجویان قادر به راه اندازی سرویس های مورد نیاز برای مراکز سرویس دهنده (SP) خواهند بود.

در چارت زیر سری کامل دوره های میکروتیک با رعایت تمامی پیش نیاز ها نشان داده شده است:

شایان ذکر است که برخی دوره های جدید میکروتیک مانند دوره ی سویچینگ در حال آماده سازی توسط شرکت میکروتیک می باشد. همچنین برخی مطالب مانند CAPsMAN که کنترلر قدرتمند وایرلس شرکت میکروتیک است و برنامه The Dude که نرم افزارمانیتورینگ شبکه شرکت میکروتیک است معمولاً به صورت کمپ برگذار می گردند. متأسفانه برخی از سرفصل ها در هیچکدام از دوره های میکروتیک فعلاً وجود ندارد و فقط نحوه پیکربندی آن ها در سایت ویکی میکروتیک موجود است. (مانند VRRP،LACP،IGMP،PIM و غیره)

نویسنده: حسین طارمیان

پیشنهاد نویسنده

روتر ISR 1100 سیسکو

ذخیره ساز Dell EMC Unity

فورتی آنالایزر | FortiAnalyzer (FAZ)

سن سوئیچ Brocade

فایروال فورتیگیت سری 200

فایروال فورتیگیت سری 60

18 مرداد 1401

22 آبان 1396

آشنایی با تکنولوژی SDN (بخش دوم)

بررسی مختصری از شبکه :

بررسی مختصر شبکه به ما کمک میکند که مشکلاتی را توضیح دهیم که تکنولوژی SDN سعی بر برطرف کردن آن دارد. همانطور که به یاد می آورید شبکه به مجموعه ای از دستگاه های تخصصی (Specialized Computer) به نام روتر (Router) سوییچ (Switch) و … گفته میشود که این دستگاه ها توانایی ارسال و دریافت بسته (Packet) را به سمت یکدیگر دارا می باشند.

بسته (Packet) شامل بلوک های داده ای (Blocks of Data) است که از طریق لینک های فیزیکی ارسال می شوند.

بسته ها (Packet’s) شامل یکسری 0 و 1 هستند که این 0 و 1 ها حاوی مقدار کمی از داده ها ( در حقیقت داده (data) در سمت ارسال کننده به قسمت های کوچک شکسته می شود و در سمت مخالف یعنی در سمت گیرنده دوباره این قسمت ها به یکدیگر متصل می شوند (Reassembled) ) و دستورالعمل ها برای روتر ها و سوییچ ها در مورد مقصد بسته هستند که این اطلاعات در Header بسته قرار می گیرد .

اطلاعات انتقال داده شده بین کامپیوتر ها را payload می نامند.

لایه های چندگانه (Multiple Layers of Data) داده ها هرکدام با مجموعه ایی از دستورالعمل های خاص خود با یکدیگر جمع می شوند (Assembled) تا کامپیوتر مربوطه در سمت مخالف خط ارتباطی با استفاده از این مجموعه دستورالعمل ها بتواند پاسخ مناسب را به بسته ارسالی بدهد .

پس اطلاعات باید به شکل قابل استفاده و استاندارد برای همه کامپیوتر ها باشد از این رو یکی از استانداردهایی که در شبکه می توان با آن اشاره کرد مدل استاندارد OSI است.

مدل استاندارد OSI توابع ارتباطی اجزای شبکه را مستقل از فروشندگان و تکنولوژیهای خاص تعریف می کند.

برای اینکه یک شبکه مفید باشد اطلاعات باید از یک قسمت شبکه به قسمت دیگر شبکه منتقل بشود.(خب خسته نباشی اینو که خودمون می دونستیم) این انتقال می تواند بین سرور ها یا کامپیوترها باشد و یا حتی دستگاه های ارتباطی خاص مانند تلفن های مبتنی بر آی پی (IP Phone).

هنگامی که یک Session در شبکه شکل می گیرد، اولین بسته به سمت Device مورد نظر در مقصد ارسال می شود، حال این دستگاه باید بداند که با بسته دریافتی چه رفتاری کند، و پروسه ی اینکه این تصمیم گیری چگونه انجام می شود (و نرم افزار در پشت صحنه) در قلب چراییه ایجاد تغییرات برای کاربران است تا قادر به ایجاد Application ها و Programهای خود (سفارشی شده) باشند.

اولین مساله این است که هر دستگاه شبکه واقعا یک جزیره به خودی خود است. بنابراین اگرچه هر دستگاهی بخشی از یک معماری بزرگ اتصالی است ولی این کامپیوترهای تخصصی (Specialized Computers) پورتال هایی (دروازه)هستند که از طریق آن ها تراکنش ها انجام می شود(جریان های ترافیکی عبوری).

این یک مدل مصنوعی از چگونگی شکل گرفتن اینترنت است. این مدل طوری طراحی شده است که حتی اگر قسمت هایی از آن در دسترس نباشد قادربه کار کردن است. پس نتیجه این می شود که هر Node (دستگاه) در شبکه مستقل از بقیه است.

آشنایی مختصر با ســــــــــه اصطلاح درمعماری دستگاه های شبکه :

Control Plane
Forwarding Plane (Data Plane)
Management Plane

برای چند لحظه به این فکر نکنید که مثلا روتر چه کاری انجام میدهد؟ یا سوییچ چه کاری انجام می دهد ؟ در نتیجه فکرهای زیادی به ذهن شما خطور خواهد کرد ….

مثلا اتصال فیزیکی این دستگاه ها به یکدیگر با کابل یا با وایرلس برای اینکه یک شبکه ایجاد کنیم.

خب به طور مثال جا به جایی پیام ها در شبکه (منظور از پیام می تواند Ethernet Frame یا Packet باشد ):

سوییچ ها Ethernet Frame را ارسال می کنند و روتر ها Packet ها را ارسال (Forward) می کنند. آنها پروتکل های مختلف زیادی را استفاده می کنند برای اینکه اطلاعات مفیدی را به دست بیاورند.

هر کاری که دستگاه های شبکه انجام می دهند می تواند به سطوح مختلف کاری تقسیم بندی شود

سطح کنترلی (Control Plane):

در حقیقت مغز متفکر دستگاه می باشد که تمام هوش و ذکاوت دستگاه در Control Plane است.

از جمله وظایف Control Plane می توان به موارد زیر اشاره کرد:

[-] Routing Protocol
[-] IPv4 ARP
[-] IPv6 NDP
[-] Switch MAC Learning
[-] STP
….

سطح ارسالی ( داده ایی) [Forwarding (Data) Plane ]:

در حقیقت Forwarding Plane یا Data Plane وظیفه این را دارد که بسته ها را از یک رابط شبکه (Network Interface) دریافت کند و تحویل رابط شبکه ایی دیگر بدهد, این سطح از معماری دستگاه نحوه ی اینکه چه بسته ایی ا ز چه رابط شبکه ایی گرفته شود و تحویل چه رابط شبکه ایی داده شود را از سطح کنترلی دستور می گیرد .

شما می توانید اینگونه فکر کنید که Control Plane مغز متفکر دستگاه و Forwarding Plane یا Data Plane بازوی دستگاه است .

سطح مدیریتی (Management Plane ):

این سطح مدیریتی دستگاه است که برای انجام امور مدیریتی استفاده می شود.

در شکل زیر به طور کامل مفاهیم گفته شده را درک خواهیم کرد.

خب اینگونه معماری دستگاه های شبکه بهترین نوع معماری دستگاه ها است و اینگونه بنظر میرسد که راه حل کاملا منطقی برای ساختن یک سیستم شبکه و معماری آن است.

این معماری برای مدت طولانی به خوبی کار کرده و جواب نیاز های کاربران را داده است، امـــا مشکل این است که در طول زمان پیچیدگی عظیمی در شبکه ایجاد کرده است، به دلیل اینکه هر عملی (تابع)، هر برنامه کاربردی (Application) و هر مجموعه قوانین باید برای هر دستگاه به طور واحد برنامه ریزی شود، زیرا هر دستگاه به مغز کوچک (Control Plane) خود برای اجرای برنامه ها، تصمیم گیری های انتقال و … وابسته است و این مستقل بودن هر دستگاه زمانی که شبکه شما دارای ده ها هزار دستگاه است یک وضعیت کابووس وار را برای شما به ارمغان می آورد.

علاوه بر آنچه گفته شد شما فرض کنید که نیاز های جدید کاربران و مشتریان شما روز به روز افزایش پیدا می کند و این باعث می شود که شما به طور مداوم تغییراتی را روی دستگاه اعمال کنید یا حتی تنظیمات جدیدی را به آن کوه تنظیمات قبلی که الان در حال کار کردن است اضافه کنید، پس در نتیجه پیچیدگی (و همچنین خطاها) به صورت آبشارگونه ایی روی شبکه شما و دستگاه های شما جاری می شود. در حقیقت درخت پیچیدگی های شما در طول زمان با این معماری سنتی به صورت لگاریتمی افزایش خواهد یافت و مدیریت آن به شدت سخت خواهد شد، در شکل زیر پیچیدگی ها را به صورت درخت وار نشان داده ایم و همانطور که مشاهده می کنید با گسترده شدن شبکه پیچیدگی های آن به شدت زیاد می شود.

جدا کردن برنامه های شبکه (Networking Application) از مجموعه شبکه

علاوه بر مشکلات ناشی از توزیع اطلاعات شبکه در سراسر شبکه، مشکل دیگری وجود دارد و آن در نحوه تولید برنامه های کاربردی شبکه و کد کردن آنها در دستگاه های شبکه است.

دوباره خاطرنشان می کنیم که در این مقاله منظور ما از برنامه های کاربردی شبکه (Networking Applications) روتینگ(Routing)، بهینه سازی(Optimization) و غیره می باشد.

مشکل اینجا است که علاوه بر اینکه هر دستگاه شبکه دارای یک سطح کنترلی (Control Plane) مختص خود می باشد، هر دستگاه دارای سیستم عامل پیچیده و منحصر بفرد خود نیز می باشد که باید تنظیم سازی، ایمن سازی، برنامه ریزی و تنظیم مجدد بشود در هر زمانی که یک تغییر قرار است ایجاد بشود.

علاوه بر این مشکل دیگر نشستن این تنظیمات برروی سخت افزار سفارشی شده برای نرم افزارهای سفارشی شده آن تولید کننده خاص هست، مثل توابع مسـیر یابی (Routing Functions)، لیست های دسترسی (Access List)، نرم افزارهای مدیریتی و مثال هایی از این قبیل.

برای مثال شما رابطه چشمگیری بین برنامه های کاربردی (Applications)، سیستم عامل و سخت افزار سرورها در بخش مجازی سازی دیده اید.

اکثر سازندگان دستگاه ادعا می کنند که دارای دسته های کد (بخش های کاربردی کد) هستند که از یکدیگر کاملا متمایز هستند به مانند شکل زیر.

این خیلی خوب است اگر در عمل و واقعیت هم مثل این ادعا دستگاه ها کار کنند اما با توجه به شکل زیر متوجه میشویم که در عمل و واقعیت با چیزی مواجه میشویم که کاملا با ادعا اولیه در تضاد 100% است . در واقع پایگاه کد این بخش های غیرقابل برگشت در هم تنیده و وابسته به یکدیگر هستند به طوری که یک مشکل با یکی از برنامه ها ی کاربردی می تواند بر سیستم عامل تاثیر بگذارد که این می تواند به نوبه خود بر روی دستورالعمل های سخت افزاری تخصصی و بالعکس تاثیر بگذارد. به همین دلیل است که مشکلات برنامه یا تنظیمات آن اغلب می توانند از طریق شبکه پخش شوند و باعث ایجاد مشکلات مربوط به عملکرد و یا حتی بدتر , باعث ایجاد اختلال و راه اندازی مجدد سیستم بشوند.
با توجه به شکل زیر مشکلی که الان با یکدیگر بحث کردیم به راحتی قابل درک می باشد.

این سیستم ها همچنین پیچیدگی را حتی از آنچه که ا ز طریق توزیع کنترل ایجاد می شود بیشتر افزایش میدهند.

به یاد بیاورید که هر یک از این دستگاه ها به صراحت میلیون ها خط کد را دارا می باشند که روی نسخه های مختلف سخت افزار و حافظه قرار می گیرند و همه ی این پیچیدگی ها پیچیده است.

این تنها بخشی از دلایلی هست که نوآوری کندتر از آن چیزی است که اکثر کاربران خواهان آن هستند و سفارشی کردن نیز به مراتب سخت تر (برای چندین کاربر در یک شبکه مشترک )، چرا که هر یک از شرکت های بزرگ شبکه با مشکلات مشابه پیچیدگی مواجه هستند و هر برنامه کاربردی جدیدی که تولید می شود باید با همه سخت افزار ها و نرم افزار های تولید کنندگان مختلف سازگار باشد.

مساله سازگاری با استفاده از سازمان های استاندارد مطرح می شود امـا حتی اگر یک برنامه کاربردی جدید طراحی شده و پس از آن بررسی و سپس تولید شود می تواند سال ها به طول بیانجامد.

لازم به ذکر است که این نتیجه حاصل از طرح های ناسازگار شرکت ها ی بزرگ شبکه نیست. هنگامی که این سیستم ها برای اولین بار ایجاد شد، نوآوری و همکاری های زیادی صورت گرفت که طی دو دهه زمینه ی تجارت و ارتباطات را سریعا تغییر داد. در حقیقت هنوز هم ادامه دارد و واقعا کاملا مورد توجه است، مساله این است که امروز چه چیزی واقعا مورد نیاز شبکه های امروزی هست ؟

شبکه های برنامه ریزی شده به جای شبکه هایی که مجموعه ایی از دستگاه ها به صورت جداگانه برنامه ریزی شده اند.

بخش سخت اینکار استفاده از یک سیستم کنترل متمرکز برای برنامه ریزی شبکه به طور بالقوه نیاز به این است که فروشندگان شبکه کدهای خود را برای عموم باز کنند، نه آن چیزی که آن ها خود مایل به انجام آن هستند.

خوشبختانه بعضی از راه حل ها برای این کار وجود دارد، همانطور که در مقاله بعدی در بخش کنترل کننده ها به آن خواهیم پرداخت. در حقیقت شما شاهد خواهید بود که بسیاری از فروشندگان بزرگ تجهیزات شبکه از ابتکار بوجود آمده در SDN حمایت می کنند گرچه این به معنی تغییر در کسب و کار و از دست دادن کنترل آن ها روی بخش هایی از بازار کار است.

در حقیقت ما با استفاده از تکنولوژی SDN می خواهیم سطح کنترلی دستگاه ها را از سایر سطوح دستگاه ها جدا کنیم و آن ها را یکپارچه، متمرکز و قابل برنامه ریزی کنیم، ضمن اینکه می خواهیم کم کم به سمت شبکه های نرم افزاری هم مهاجرت کنیم به همین دلیل است مه شرکت های بزرگ شبکه اعلام کردند اگر شبکه کاری تا پایان سال 2018 علم برنامه نویسی نداشته باشد شبکه کار محسوب نمی شود.

ما در این مقاله مشکلات شبکه های امروزی، پیچیدگی های آن, مدیریت دشوار آن را با هم به طور خلاصه مرور کردیم.

در مقاله بعدی با یکدیگر شروع به بحث و گفت و گو به صورت عمیق تر و جامع تر درباره SDN پیش نیازهای آن, پروتکل های مربوط به آن و اصطلاحات آن می پردازیم.

18 مرداد 1401

09 آبان 1396

آشنایی با تکنولوژی SDN (بخش اول)

بخش اول :

مشکل شبکه های امروزی ما چیست ؟

کاربران امروزی به شدت به این موضوع عادت کرده اند که دیگر در اانتظار برآورده شدن خواسته هایشان توسط شرکت های بزرگ و حتی سرشناس نمی نشینند و خود دست به کار میشوند تا نیازهای خود را برطرف کنند و به هیچ عنوان خود را محدود به اسم, شرکت , سازمان و یا برند تجاری خاصی نمی کنند که این دسته سازمان ها نیازهای نرم افزاری و اپلیکیشنی کاربران را برطرف کنند بلکه کاملا عکس این موضوع صادق است , به طوری که کاربران امروزی برای یافتن آن چیزی که مورد نیازشون هست وقت صرف میکنند , تحقیق میکنند , انرژی میگذارند تا در نهایت خواسته خودشان را برطرف کنند.

حال این برطرف کردن خواسته کاربر می تواند یا جست و جو در سایت های مختلف و یافتن نرم افزار مورد نظر و دانلود آن باشد یا نه حتی در بعضی موارد که شامل کاربران حرفه ایی و فنی می شود , خود کاربر دست به کار شده و با استفاده از علم و دانش خود و با استفاده از سیستم عامل هایی مثل سیستم عامل های متن باز خود ابزار مورد نیاز خودشان را برای خودشان فراهم می کنند . به عنوان مثال این ابزار ها می توانند به عنوان نرم افزار به عنوان سرویس (Software as Service(SaaS)) مورد استفاده قرار گیرند و خیلی مثال هایی از این قبیل.

اغلب شرکت ها و سازمان های (آی تی) باید تلاش کنند تا تمام این ابزارها را فراهم و حفظ کنند و برای پشتیبانی آن هم به دنبال راه کارهای مناسب باشند.در کل امروزه ایجاد محدودیت برای کاربران در سازمان ها و شرکت های بزرگ به طور کل موضوعی رد شده است, به طور مثال امروزه حتی بعضی از سازمان ها و شرکت های مهم اجازه استفاده از نرم افزارهای متن باز را مثل (MySQL) را در سیستم های بحرانی و حیاتی خود را هم به کاربران میدهند تا مانع محدودیت برای کاربران سازمان خود شوند و در عین حال وابستگی سازمان خود را هم به شرکت های Close Source از بین میبرند چون در اینصورت سفارشی کردن محصول را برای سازمان خود راحت تر و قابل دسترس تر می کنند در ضمن اینکه از پرداخت هزینه های گزاف هم اجتناب می کنند.

در این مسیر پیش رو به سوی نوآوری و یکپارچه سازی و سفارشی سازی ابزارها و نرم افزارها و …. کاربران شبکه هم مستسثنی از این قضیه نیستند آن ها هم نیاز هایی از این قبیل دارند و آن ها هم نیاز به گسترش و پیشرفت کار خود در شبکه را جزو نیازهای مهم و حیاتی به حساب می آورند و می خواهند توانایی سفارشی سازی ابزارهای (شبکه) خود را در شبکه از نظر خدمات , برنامه های کاربردی و پشتیبانی را دارا باشند. در این میان کلمه Application ( برنامه ) برمیگردد به برنامه های شبکه ایی یا Network Application’s مانند Routing(مسیریابی), (Optimization) بهینه سازی یا (Security) امنیت و ……

برای انطباق با این نیازهای روزافزون کاربران امروزی شبکه نیاز به متحول شدن در نحوه کار و پیاده سازی شبکه به چشم می خورد. در اصل نتیجه مطلوب این است که شبکه های امروزی را که روز به روز هم در حال گسترش هستند را قابل برنامه ریزی کنیم در ننتیجه این کار خیلی خیلی راحت تر می توانیم در شبکه تغییرات ایجاد کنیم, حال چه این تغییرات برای گروه خاصی باشد یا برای کل سازمان یا شرکت فرقی ندارد مهم مدیریت ساده و در اصل یــــــک پـــــــــارچــــــــه سازی مدیریت شبکه است به طوری که مثلا برای ایجاد یک تغییر در پیکربندی (Configuration) چند دستگاه نیاز به حضور نقطه به نقطه (Point-By-Point) پای هر دستگاه نداشته باشیم و تنها با اعمال تغییرات مورد نیاز در نرم افزار یکپارچه سازی شبکه کلیه تغییرات روی دستگاه ها اعمال شود.

برای رسیدن به این هدف یک تکنولوژی جدید به نام Software Defined Network یا SDN را معرفی می شود که در ادامه به بحث راجع به این تکنولوژی جدید , پروتکل های آن و نحوه اعمال آن و شرایط مورد نیاز برای اعمال این تکنولوژی را مورد بررسی قرار می دهیم. اما در بخش بعدی قبل از پرداختن به تکنولوژی SDN چند مورد را با یکدیگر مورد بررسی قرار می دهیم.

ادامه مطلب

محمد جم زیور

مجازی سازی

26 تیر 1401

03 آبان 1396

VMware vRealize Operations Manager

به طور کلی، این بسته نرم افزاری امکان اجرای اعمال مدیریتی هوشمند را بر روی برنامه های کاربردی تا دستگاه های ذخیره سازی در زیرساخت های Cloud، مجازی و فیزیکی ارائه می دهد. این مجموعه نرم افزاری، اطلاعات را از چندین منبع داده متفاوت جمع آوری و تحلیل می کند و جهت تحلیل، از الگوریتم های تحلیلی پیشرفته ای به منظور یادگیری و تشخیص رفتار عادی هر یک اشیائی که مانیتور می کند، استفاده می کند. از طریق داشبورد، View ها و گزارشات، کاربران قادر به مشاهده جزئیات هستند و می توانند از این اطلاعات جهت تصمیم گیری در حوزه های زیر استفاده کنند:

• یافتن راه حل برای مشکلات و تحلیل علل ریشه ای آنها

• سلامت محیطی و هشداردهی پیشرفته مشکلات بالقوه

• مدیریت ظرفیت و پیش بینی

مجموعه vRealize Operations Manager از چندین پکیج مدیریتی جهت جمع آوری، تحلیل و نمایش داده های جمع آوری شده از منابع داده مختلف (محصولات VMware و یا اشخاص ثالث) استفاده می کند. این قابلیت ها، دیدی جامع از زیرساخت Cloud و همچنین میزان بار کاری کاربران سرویس ها برای ارائه دهندگان خدمات Cloud فراهم می کند. به علاوه، می توان با استفاده از تعریف Policy، فرآیندهای کلیدی را خودکار کرد که همین امر موجب می شود که میزان بازده افزایش یابد.

از جمله قابلیت های موجود در این بسته نرم افزاری می توان به موارد زیر اشاره نمود:

• امکان استفاده از هشدارها و نشانه های تحلیلی جهت رفع مشکلات متداول و همچنین حل مسائل پیچیده عملیاتی

• نظارت بر ظرفیت و بهره برداری از زیرساخت

• برنامه ریزی جهت استفاده ظرفیت و تحلیل شرایط خاص

• شخصی سازی محیط نرم افزار با تعریف هشدارها، نشانه ها، دیدها، گزارشات، داشبوردها و معیارها

• پیکربندی Policy ها جهت رفع نیازهای محیطی

• اعطای دسترسی به کاربران و گروه ها و کنترل میزان دسترسی آنها به محیط

• گسترش قابلیت های برنامه با افزودن بسته های مدیریتی و راهکارها

این بسته نرم افزاری در قالب دو مدلِ پیاده سازی عرضه شده است؛ اولین مدل یک ابزار مجازی از پیش پیکربندی شده (vApp) است و دومین مدل، یک بسته قابل نصب بر روی سیستم عامل های ویندوز و لینوکس است. مدل اول، در قالب یک ماشین مجازی (VM) است. هر یک از این ماشین های مجازی می توانند برای اجرای یکی از نقش های زیربنایی در کلاستر مربوط به vRealize مورد استفاده قرار بگیرند. این نقش ها عبارتند از:

• Master Node: اولین نود (اجباری) در یک کلاستر و یا نود منفرد

• Master Replica Node: نود اختیاری به منظور استفاده از قابلیت High Availability (HA) برای نود اصلی یا همان Master Node

• Data Node: جهت گسترش کلاستر مربوط به vRealize Operations Manager

• Remote Collector Node

ادامه مطلب

محمد جم زیور

امنیت

26 تیر 1401

20 شهریور 1396

نرم افزار LiveAction LiveNX

شفافیت شبکه بی نظیر و تضمین خدمات

نقشه تعاملی از شبکه که توسط این پلتفرم ارائه می شود جریان ترافیک شبکه را به صورت لحظه ای نمایش می دهد. بر روی این نقشه می توانید مسیر جریان داده و دستگاه های شبکه موجود در مسیر را مشاهده کنید. همچنین این توپولوژی به مدیران شبکه اجازه می دهد تا جزئیات بیشتری از شبکه را آنالیز و بررسی کنند تا بتوانند در نهایت در سیاست های خود و سازمان موارد لازم را اعمال کنند. علاوه بر این ها با داشتن ویژگی Flow Playback می توان بر اساس تاریخ یا زمان جریان های داده در گذشته را بررسی کرد.

شفافیت برنامه ها و خطایابی

امکان دیدن همه پرتکل ها، انواع اپلیکشن ها از جمله ویدیو، صدا، برنامه های ارتباطی، برنامه های به اشتراک گذاری فایل و …. در این پلتفرم باعث می شود که مدیران یک دید عمیق از جریان داده های موجود در شبکه خود داشته باشند. خطایابی برنامه های پیاده شده در مرکز داده، فضا های ابری عمومی یا بستری مانند سرویس به عنوان پلتفرم (SaaS). این شفافیت در نهایت منجر به فهمیدن این می شود که کدام برنامه ها به چه شکلی منابع شبکه را مورد استفاده قرار می دهند و می تواند در تصمیم گیری برای داشتن مکانیزم ها و سیاست های بهینه تاثیر گذار باشد.

مدیریت و کنترل کیفیت خدمات

امروزه در شبکه ها با حضور برنامه های مالتی مدیا، ارتباطات یکپارچه و بسیاری از سرویس های مورد استفاده سازمان ها بیش از هر زمان دیگری نیازمند تجربه کاربری بهتری برای کاربران نهایی هستیم. پلتفرم LiveNX توانایی مدیریت QoS را به صورت کامل در اختیار مدیر شبکه قرار می دهد. بدین معنی که مدیر شبکه می تواند به صورت لحظه ای سیاست های تضمین کیفیت خدمات را اضافه، حذف یا تغییر دهد. همچنین با داشتن یک wizard گرافیکی مناسب و دارا بودن تعدادی سیاست های نمونه از قبل تعبیه شده که متشکل از بهترین راهکار ها و موارد پیشنهادی شرکت سیسکو است می توان مطمئن بود که موارد انتخابی مطابق با استاندارد های روز دنیاست و می تواند با اطمینان مورد استفاده قرار گیرد. مورد بسیار با اهمیت دیگر نیز تولید گزارش هایی از عملکرد، تنظیمات و خطاهای سیاست های QoS است که این عمل نیز توسط این پلتفرم انجام می پذیرد.

مدیریت SD-WAN (Software-Defined WAN)

این پلتفرم توانایی بررسی موثر عملکرد شبکه های WAN از جمله MPLS، hybrid، SD-WAN برای بدست آوردن مقدار باز آوری در ازای سرمایه گذاری (ROI) را دارد. زمانی که یک دستگاه در شبکه تصمیم به تغییر مسیر برای یک مقصد خاص میگیرد این برنامه تغییر را رندر و به شکل گرافیکی بر روی توپولوژی شبکه نمایش می دهد.

برنامه ریزی ظرفیت

پیدا کردن منابعی که بیشترین استفاده و تغییر را دارند مانند پهنای باند، CPU، حافظه اصلی و… همچنین بررسی جزئی اطلاعات از جمله آمارها و خطاهای اینترفیس ها. علاوه بر این موارد می تواند با دیگر گزارش هایی که از دیگر قسمت ها گردآوری شده اند ترکیب و در نهایت یک دید کلی از منابعی که بیشترین استفاده را دارند به مدیر شبکه بدهد.

20 شهریور 1402

18 مرداد 1396

ابزار RVTools برای VMware

RVTools یک ابزار رایگان (برای ویندوز) است که با استفاده از امکاناتی (VI SDK) که برنامه نویسان شرکت VMware تعبیه کرده اند اطلاعات محیط های مجازی را جمع آوری و نمایش می دهد. این نرم افزار یک ابزار رایگان است که می تواند با تمام نسخه های ESXi و vCenter (از جمله vCenter 6.5) در تعامل باشد و از این نسخه ها پشتیبانی می کند.

RVTools قادر است اطلاعاتی از قسمت های مختلف از جمله ماشین های مجازی، پردازنده، حافظه، دیسک ها، پارتیشن ها، شبکه، فلاپی درایوها، CD درایوها، Snapshot ها، VMware tools، Resource Poolها، کلاسترها، هاست های ESX و HBA ها، کارت های شبکه، سوییچ ها، پورت ها، سوییچ های distributed، پورت های distributed و service console ها، VM Kernelها، Datastoreها، multipath info، اطلاعات لایسنس و تست های سلامتی را بدست آورد و نمایش دهد.

همچنین با این ابزار می توانید CD یا فلاپی درایو را از ماشین های مجازی قطع کنید و VMware Tools نصب شده بر روی همه ماشین های مجازی را بروز رسانی کنید.

در ادامه لینک دانلود و راهنمای کاربری استفاده از نرم افزار را برای شما قرار داده ایم.

لینک دانلود برنامه

لینک دانلود راهنما کاربری

21 شهریور 1402

11 مرداد 1396

Private VLAN چیست؟

مقدمه

همانطور که به یاد دارید اساس کار VLAN ها به وجود آوردن Broadcast domain های مختلف بود. اما Private VLAN ها اجازه می دهند که domain را اصطلاحا به broadcast “subdomain” های ایزوله تقسیم کنیم. به این معنی که sub-VLAN هایی در داخل یک VLAN بسازیم که از یکدیگر ایزوله باشند. زمانی که VLAN بندی می کنیم دیگر پورت های داخل VLAN های مختلف نمی توانند مستقیما با یکدیگر ارتباط داشته باشند، و به یک مکانیزم لایه 3 نیاز دارند تا پکت ها را بین broadcast domain های مختلف انتقال دهد. این محدودیت در مورد PVLAN ها نیز صدق می کند، چرا که subdomain ها هم در لایه 2 از یگدیگر جدا هستند و به یک مکانیزم لایه 3 برای برقراری ارتباط نیاز دارند.

در دنیای شبکه VLAN های مختلف دارای IP هایی از رنج های متفاوت خواهند بود. اما زمانی که یک VLAN را با استفاده از PVLAN ها تقسیم می کنیم دستگاه هایی که داخل آن PVLAN ها قرار می گیرند همچنان دارای رنج IP مشابه خواهند بود اما همانطور که گفته شد نمی توانند مستقیما با یکدیگر در ارتباط باشند و نیازمند دستگاه لایه 3 برای برقراری ارتباط با یکدیگر خواهند بود (برای مثال با استفاده از Local Proxy ARP). در اینجا router به عنوان یک دستگاه لایه 3 می تواند اجازه یا عدم اجازه برقراری ارتباط بین sub-VLAN ها را بدهد. معمولا این نوع تنظیمات در محیط های “Shared” مانند ISP co-location بسیار طرفدار دارد چرا که قرار دادن چندین مشتری در یک رنج IP می تواند مقرون به صرفه باشد و در عین حال سطح بسیار خوبی از isolation را بین مشتریان فراهم می کند.

آشنایی با اصطلاحات Private VLAN ها:

در ادامه تصویر سناریویی که برای توضیحات و انجام تنظیمات در این مطلب مورد استفاده قرار گرفته است را مشاهده می کنید.

در این سناریو ما VLAN 1000 را به سه PVLAN تقسیم می کنیم. و شامل sub-VLAN 1012 که روتر های R1 و R2 در آن هستند و sub-VLAN 1034 که روتر های R3 و R4 در آن قرار می گیرند و در نهایت sub-VLAN 1055 که فقط روتر R5 در آن وجود دارد. روتر R6 نیز در این سناریو به عنوان دستگاه لایه 3 برای برقراری ارتباط مورد استفاده قرار می گیرد. در Private-VLAN باید یک VLAN را به عنوان VLAN اصلی در نظر بگیریم که ما VLAN 1000 را به عنوان Primary در نظر گرفتیم یعنی تمام دستگاه ها که در آن قرار می گیرند دارای رنج آی پی 10.0.0.0/24 خواهند بود.

پورت هایی که در این VLAN قرار می گیرند بر اساس نوع آن ها به سه دسته تقسیم می کنیم:

• پورت Promiscuous (“P”): معمولا به یک روتر وصل می شود. این نوع پورت اجازه دارد که فریم های لایه دو VLAN را از هر نوع پورت دریافت یا به آن ارسال کند.

• پورت Isolated (“I”): این نوع از پورت صرفا اجازه دارد که با پورت “P” ارتباط داشته باشد. معمولا دستگاه های مانند سرور ها به این پورت ها وصل می شوند.

• پورت Community (“C”): این پورت ها اجازه دارند که با بقیه دستگاه ها که همگی در یک PVLAN هستند ارتباط برقرار کنند. همچنین قادر خواهند بود تا با پورت های “P” در ارتباط باشند.

به این منظور که رفتار sub-VLAN ها را پیاده سازی کنیم نیاز داریم نحوه انتقال فریم ها بین انواع مختلف پورت ها را تعریف کنیم. VLAN ها را به دو گروه “Primary” و “Secondary” تقسیم می کنیم.

• Primary VLAN (در مثال ما VLAN 1000): این VLAN برای انتقال فریم های که از پورت های “P” می آیند بر روی دیگر انواع پورت ها (پورت های“I” و “C”) استفاده می شود.

• Secondary Isolated VLAN: فریم ها را از پورت های “I” به پورت های “P” منتقل می کند. از آنجایی که پورت های Isolated نمی توانند فریم ها را مستقیما به یکدیگر ارسال کنند می توانیم فقط از یک Isolated VLAN برای اتصال همه ی I-port ها به P-port ها استفاده کنیم.

• Secondary Community VLANs: فریم ها را بین پورت های Community یا C-port های که در یک گروه (private-vlan community) هستند انتقال می دهد. همچنین می توانند فریم ها را به P-port های Primary VLAN بفرستند.

Private VLAN ها چگونه کار می کنند؟

این ها موارد کلیدی از نحوه عملکرد Private VLAN ها هستند که باید به یاد داشته باشید:

• Primary VLAN فریم ها را از promiscuous port به تمام پورت ها در PVLAN ها ارسال می کند.

• Isolated VLAN فریم ها را از دستگاه ها مستقیما به روتر یا همان P-port ها ارسال می کنند.

• Community VLAN ها اجازه ارتباط دو طرفه برای تبادل فریم ها را در یک گروه می دهد علاوه بر این فریم ها را برای P-port ها نیز ارسال می کند.

• فرآیند یادگیری MAC آدرس ها، forward کردن و همچنین روند broadcast/multicast flooding در primary/secondary VLAN ها همچنان مثل گذشته خواهد بود.

Private VLAN ها می توانند از پورت trunk انتقال داده شوند. شماره VLAN های Secondary برای tag زدن فریم ها مورد استفاده قرار می گیرد. مانندVLAN های عادی ترافیک Primary VLAN نیز ترانک می شود. اگر چه نیاز دارید تنظیمات مشخصی برای Private VLAN (bindings، mappings) را بر روی همه ی سوییچ ها انجام دهید. (البته اگر از VTPv3 استفاده کنید نیازی به این کار نیست).

تنظیمات Private VLANها:

ما Primary VLAN 1000، Isolated VLAN 1005(R5)، Community VLAN 1012(R1, R2) و Community VLAN 1034(R3, R4) را داریم.

قدم اول:

اگر نخواهیم از VTPv3 استفاده کنیم باید VTP را با قرار دادن در حالت Transparent غیر فعال کنیم. بعد از آن باید VLAN های Primary و Secondary را بسازیم و آن ها را به PVLAN domain ها bind کنیم.

SW1:

vtp mode transparent ! ! Creating primary VLAN, which is shared among secondary’s ! vlan 1000 private-vlan primary ! ! Community VLAN for R1 and R2: allows a “subVLAN” within a Primary VLAN ! vlan 1012 private-vlan community ! ! Community VLAN for R3 and R4 ! vlan 1034 private-vlan community ! ! Isolated VLAN: Connects all stub hosts to router. ! Remember - only one isolated vlan per primary VLAN. ! In our case, isolates R5 only. ! vlan 1055 private-vlan isolated ! ! Associating the primary with secondary’s ! vlan 1000 private-vlan association 1012,1034,1055

این قدم برای گروه کردن PVLAN ها داخل یک shared domain و برقراری یک پیوستگی بین آن ها انجام می شود. از آنجایی که VTP را غیر فعال کردیم همین کار را بر روی سوییچ 2 (SW2) نیز انجام دهید.

قدم دوم:

باید تنظیم کردن پورت های host و bind کردن آن ها به PVLAN های مربوطه طبق سناریو انجام شود. همچنین این نکته را در نظر داشته باشید که پورت host همزمان به VLAN های مختلف تعلق دارد به این معنی که downstream آن primary و upstream آن secondary است. همچنین پورت ترانک را بین سوییچ ها فعال می کنیم تا ترافیک PVLAN ها بین سوییچ ها منتقل شود.

SW1:
! ! Community port (links R1 to R2 and “P”-ports) ! interface FastEthernet0/1 description == R1 switchport private-vlan host-association 1000 1012 switchport mode private-vlan host spanning-tree portfast ! ! Community port (links R3 to R4 and “P”-ports) ! interface FastEthernet0/3 description == R3 switchport private-vlan host-association 1000 1034 switchport mode private-vlan host spanning-tree portfast ! ! Isolated port (uses isolated VLAN to talk to “P”-ports) ! interface FastEthernet0/5 description == R5 switchport private-vlan host-association 1000 1055 switchport mode private-vlan host spanning-tree portfast ! ! Trunk port ! interface FastEthernet 0/13 switchport trunk encapsulation dot1q switchport mode trunk

SW2:

interface FastEthernet0/2 description == R2 switchport private-vlan host-association 1000 1012 switchport mode private-vlan host spanning-tree portfast ! interface FastEthernet0/4 description == R4 switchport private-vlan host-association 1000 1034 switchport mode private-vlan host spanning-tree portfast ! ! Trunk port ! interface FastEthernet 0/13 switchport trunk encapsulation dot1q switchport mode trunk

اکنون باید صحت تنظیمات انجام شده بر روی سوییچ اول (SW1) را بررسی کنیم:

SW1#show vlan id 1012

SW1#show vlan id 1034

SW1#show vlan id 1055

SW1#show interfaces fastEthernet 0/13 trunk

بررسی صحت تنظیمات انجام شده بر روی سوییچ 2 (SW2):

SW2#show vlan id 1000

SW2#show vlan id 1012

SW2#show vlan id 1034

SW2#show vlan id 1055

SW2#show interface fastEthernet 0/13 trunk

قدم سوم:

نوبت به ساخت یک promiscuous port و تنظیم کردن downstream mapping های آن رسیده است. در اینجا VLAN های secondary را اضافه می کنیم که ترافیک را توسط این پورت (P-port) دریافت می کنیم. Primary VLAN برای ارسال ترافیک به همه ی پورت های “C” و “I” استفاده می شود.

SW2:

! ! Promiscuous port, mapped to all secondary VLANs ! interface FastEthernet0/6 description == R6 switchport private-vlan mapping 1000 1012,1034,1055 switchport mode private-vlan promiscuous spanning-tree portfast

بررسی صحت تنظیمات انجام شده:

SW2#show int fa 0/6 switch | beg private

اگر نیاز دارید یک SVI بسازید و از آن برای ارتباط بین اعضای Private VLAN ها استفاده کنید صرفا باید interface مربوط به Primary VLAN را ساخته و تنظیمات را بر روی آن انجام دهید. پس از اینکه SVI ساخته شد باید Secondary VLAN های مورد نظر را دقیقا مانند Promiscuous port به SVI که ساخته اید map کنید. همچنین ممکن است بخواهید ارتباط را برای تعدادی secondary VLAN را محدود کنید که می توانید با ننوشتن mapping برای آن این کار را انجام دهید.

SW1:

!
! SW1 SVI is mapped to all secondary VLANs
!
interface Vlan 1000
ip address 10.0.0.7 255.255.255.0
private-vlan mapping 1012,1034,1055

SW2:

!
! SW2 SVI is mapped to 1012/1034 only, so it’s cant communicate with R5
!
interface Vlan1000
ip address 10.0.0.8 255.255.255.0
private-vlan mapping 1012,1034

اکنون برای تکمیل شدن سناریو همه ی روتر های R1-R6 را در رنج (10.0.0.0/24) IP می دهیم و آدرس broadcast را پینگ می کنیم.

R1#ping 10.0.0.255 repeat 1

R3#ping 10.0.0.255 repeat 1

R5#ping 10.0.0.255 repeat 1

R6#ping 10.0.0.255 repeat 1

یک ویژگی دیگر وجود دارد که ذکر آن خالی از لطف نیست به نام پورت Protected یا “Private VLAN edge” که بسیار ابتدایی بوده و حتی بر روی سوییچ پایین رده نیز وجود دارد. این ویژگی امکان ایزوله کردن پورت ها را در داخل یک VLAN می دهد. به این معنی که تمام پورت های Protected داخل یک VLAN از برقراری ارتباط با یکدیگر منع شده اند (اما اجازه دارند به دیگر پورت های non-protected در همان VLAN فریم ارسال کنند). معمولا پورت های protected تنظیم می شوند که unicast های ناشناخته (مانند فریم با MAC آدرس که سوییچ آن را بلد نیست) را دریافت نکنند.

مثال:

interface range FastEthernet 0/1 - 2 switchport mode access switchport protected switchport block unicast switchport block multicast

ادامه مطلب

نوشته هایمحمد جم زیور

Cisco Secure Firewall (سیسکو Firepower)

Cisco Secure Firewall Management Center (FMC)

Cisco Identity Service Engine (ISE)

Cisco Secure Network Analytics (StealthWatch)

روترهای Cisco ASR

روترهای سیسکو ISR

روتر CSRv Cisco

سوئیچ‌های Nexus Cisco

سوئیچ‌های Catalyst سیسکو

کنترل‌کننده شبکه بی‌سیم Cisco Catalyst 9800

روتر ISR 1100 سیسکو

ذخیره ساز Dell EMC Unity

فورتی آنالایزر | FortiAnalyzer (FAZ)

سن سوئیچ Brocade

فایروال فورتیگیت سری 200

فایروال فورتیگیت سری 60

طراحی شده توسط زهرا حسینی تفرشی پور