نن ورځ به موږ دوه مهم موضوعات وګورو: DHCP Snooping او "غیر ډیفالټ" اصلي VLANs. مخکې له دې چې درس ته لاړ شو، زه تاسو ته بلنه درکوم چې زموږ د یوټیوب بل چینل ته لاړ شئ چیرې چې تاسو کولی شئ د خپلې حافظې د ښه کولو په اړه ویډیو وګورئ. زه وړاندیز کوم چې تاسو دا چینل سبسکرایب کړئ ، ځکه چې موږ هلته د ځان د پرمختګ لپاره ډیری ګټورې لارښوونې پوسټ کوو.
دا درس د ICND1.7 موضوع 1.7b او 2c فرعي برخو مطالعې ته وقف شوی دی. مخکې له دې چې موږ د DHCP Snooping سره پیل وکړو، راځئ چې د تیرو درسونو ځینې ټکي په یاد ولرو. که زه غلط نه یم، موږ د DHCP په اړه په 6 او 24 ورځو کې زده کړل. هلته، د DHCP سرور لخوا د IP پتې د ګمارلو او د ورته پیغامونو تبادلې په اړه مهم مسایل بحث شوي.
عموما، کله چې یو پای کاروونکي شبکې ته ننوځي، دا شبکې ته د خپرونې غوښتنه لیږي چې د شبکې ټولو وسیلو لخوا "اوریدل کیږي". که دا مستقیم د DHCP سرور سره وصل وي ، نو بیا غوښتنه مستقیم سرور ته ځي. که چیرې په شبکه کې د لیږد وسیلې شتون ولري - روټرونه او سویچونه - بیا سرور ته غوښتنه د دوی له لارې تیریږي. د غوښتنې ترلاسه کولو سره ، د DHCP سرور کارونکي ته ځواب ورکوي ، څوک چې هغه ته د IP پتې ترلاسه کولو غوښتنه لیږي ، وروسته له دې چې سرور د کارونکي وسیلې ته ورته پته مسله کوي. دا څنګه د IP پتې ترلاسه کولو پروسه په نورمال شرایطو کې پیښیږي. په ډیاګرام کې د مثال په وینا، پای کارونکي به پته 192.168.10.10 او د دروازې پته 192.168.10.1 ترلاسه کړي. له دې وروسته، کارونکي به وکوالی شي د دې دروازې له لارې انټرنیټ ته لاسرسی ومومي یا د شبکې نورو وسیلو سره اړیکه ونیسي.
راځئ فرض کړو چې د اصلي DHCP سرور سربیره ، په شبکه کې د درغلیو DHCP سرور شتون لري ، دا دی ، برید کونکی په ساده ډول په خپل کمپیوټر کې د DHCP سرور نصبوي. په دې حالت کې، کاروونکي، شبکې ته د ننوتلو سره، یو نشراتي پیغام هم لیږي، کوم چې روټر او سویچ به اصلي سرور ته لیږل کیږي.
په هرصورت، غلا سرور هم شبکې ته "اوریدل" کوي، او د نشر پیغام ترلاسه کولو سره به کارونکي ته د اصلي DHCP سرور پرځای د خپل وړاندیز سره ځواب ووايي. د دې ترلاسه کولو سره ، کارونکي به خپله رضایت ورکړي ، چې په پایله کې به هغه د برید کونکي څخه IP پته 192.168.10.2 او د دروازې پته 192.168.10.95 ترلاسه کړي.
د IP پتې د ترلاسه کولو پروسه د DORA په نوم لنډه ده او له 4 مرحلو څخه جوړه ده: کشف، وړاندیز، غوښتنه او اعتراف. لکه څنګه چې تاسو لیدلی شئ، برید کونکی به وسیله ته یو قانوني IP پته ورکړي چې د شبکې پتې شتون کې وي، مګر د اصلي دروازې پتې 192.168.10.1 پرځای، هغه به دا د جعلي پتې 192.168.10.95 سره "سلپ" کړي، دا د هغه د خپل کمپیوټر پته ده.
له دې وروسته ، انټرنیټ ته لارښود شوي ټول پای کارونکي ترافیک به د برید کونکي کمپیوټر څخه تیریږي. برید کوونکی به دا نور هم وګرځوي، او کارونکي به د اړیکو د دې طریقې سره هیڅ توپیر احساس نکړي، ځکه چې هغه به بیا هم انټرنیټ ته لاسرسی ولري.
په ورته ډول، د انټرنیټ څخه بیرته راګرځیدونکي ترافیک به د برید کونکي کمپیوټر له لارې کاروونکي ته تیریږي. دا هغه څه دي چې عموما د مینځني (MiM) برید په نوم یادیږي. د کاروونکي ټول ټرافیک به د هیکر کمپیوټر څخه تیریږي، څوک به وکوالی شي هر هغه څه ولولي چې هغه یې لیږلي یا ترلاسه کوي. دا یو ډول برید دی چې د DHCP شبکو کې ترسره کیدی شي.
دوهم ډول برید د خدماتو انکار (DoS) یا "د خدماتو انکار" بلل کیږي. څه پیښیږي؟ د هیکر کمپیوټر نور د DHCP سرور په توګه کار نه کوي، دا اوس یوازې د برید وسیله ده. دا ریښتیني DHCP سرور ته د کشف غوښتنه لیږي او په ځواب کې د وړاندیز پیغام ترلاسه کوي ، بیا سرور ته غوښتنه لیږي او له هغې څخه IP پته ترلاسه کوي. د برید کونکي کمپیوټر دا په هر څو ملی ثانیو کې کوي، هر ځل چې یو نوی IP پته ترلاسه کوي.
په ترتیباتو پورې اړه لري، د اصلي DHCP سرور د سلګونو یا څو سوه خالي IP پتې حوض لري. د هیکر کمپیوټر به د IP پتې .1، .2، .3 او داسې نور تر لاسه کړي تر څو چې د ادرسونو حوض په بشپړه توګه ختم نشي. له دې وروسته، د DHCP سرور به ونشي کولی په شبکه کې نوي پیرودونکو ته IP پتې چمتو کړي. که یو نوی کاروونکي شبکې ته ننوځي، نو هغه به ونشي کولی وړیا IP پته ترلاسه کړي. دا د DHCP سرور باندې د DoS برید نقطه ده: د دې لپاره چې نوي کاروونکو ته د IP پتې صادرولو مخه ونیسي.
د دې ډول بریدونو سره د مبارزې لپاره، د DHCP Snooping مفهوم کارول کیږي. دا د OSI پرت XNUMX فعالیت دی چې د ACL په څیر کار کوي او یوازې په سویچونو کار کوي. د DHCP سنوپینګ پوهیدو لپاره ، تاسو اړتیا لرئ دوه مفکورې په پام کې ونیسئ: د باور وړ سویچ باوري بندرونه او د نورو شبکې وسیلو لپاره غیر باوري غیر باوري بندرونه.
باوري بندرونه د DHCP هر ډول پیغام ته د تیریدو اجازه ورکوي. بې باوره بندرونه هغه بندرونه دي چې پیرودونکي ورسره تړلي دي، او DHCP Snooping دا جوړوي ترڅو د DHCP پیغامونه چې له دې بندرونو څخه راځي رد شي.
که موږ د DORA پروسه یاد کړو، پیغام D د پیرودونکي څخه سرور ته راځي، او پیغام O له سرور څخه پیرودونکي ته راځي. بیا، یو پیغام R د پیرودونکي څخه سرور ته لیږل کیږي، او سرور پیرودونکي ته A پیغام لیږي.
د غیر خوندي بندرونو څخه د D او R پیغامونه منل شوي، او د O او A په څیر پیغامونه رد شوي. کله چې د DHCP Snooping فعالیت فعال شي، ټول سویچ بندرونه د ډیفالټ لخوا غیر خوندي ګڼل کیږي. دا فنکشن دواړه په بشپړ ډول د سویچ لپاره او د انفرادي VLANs لپاره کارول کیدی شي. د مثال په توګه، که چیرې VLAN10 یو بندر سره وصل وي، تاسو کولی شئ دا فیچر یوازې د VLAN10 لپاره فعال کړئ، او بیا به د دې بندر بې اعتباره شي.
کله چې تاسو د DHCP سنوپینګ فعال کړئ ، تاسو باید د سیسټم مدیر په توګه د سویچ ترتیباتو ته لاړشئ او بندرونه په داسې ډول تنظیم کړئ چې یوازې هغه بندرونه چې سرور ته ورته وسیلې سره وصل دي بې اعتباره ګڼل کیږي. دا د هر ډول سرور معنی لري، نه یوازې DHCP.
د مثال په توګه، که بل سویچ، روټر یا اصلي DHCP سرور له بندر سره وصل وي، نو دا بندر د باور په توګه ترتیب شوی. پاتې سویچ بندرونه چې د پای کارونکي وسیلې یا د بې سیم لاسرسي نقطې سره وصل دي باید د ناامنه په توګه تنظیم شي. له همدې امله ، هر وسیله لکه د لاسرسي نقطه چې کارونکي ورسره وصل دي د بې باوره بندر له لارې سویچ سره وصل کیږي.
که چیرې د برید کونکي کمپیوټر سویچ ته د O او A ډول پیغامونه واستوي ، نو دوی به بلاک شي ، دا دا دی چې دا ډول ترافیک به د باور وړ بندر څخه تیر نشي. دا څنګه د DHCP سنوپینګ د پورته بحث شوي بریدونو ډولونو مخه نیسي.
سربیره پردې ، د DHCP سنوپینګ د DHCP پابند میزونه رامینځته کوي. وروسته له دې چې پیرودونکي له سرور څخه IP پته ترلاسه کړي، دا پته، د وسیلې د MAC پتې سره چې دا یې ترلاسه کړې، د DHCP سنوپینګ میز ته به داخل شي. دا دوه ځانګړتیاوې به د ناامنه بندر سره تړاو ولري چې پیرودونکي ورسره وصل وي.
دا مرسته کوي، د بیلګې په توګه، د DoS برید مخه ونیسي. که چیرې یو پیرودونکي د ورکړل شوي MAC پتې سره دمخه IP پته ترلاسه کړي ، نو ولې باید نوي IP پتې ته اړتیا ولري؟ په دې حالت کې، د داسې فعالیت هر ډول هڅه به په جدول کې د ننوتلو چک کولو وروسته سمدلاسه مخنیوی وشي.
بل شی چې موږ یې په اړه بحث کولو ته اړتیا لرو Nondefault، یا "غیر ډیفالټ" اصلي VLANs دي. موږ په مکرر ډول د VLANs موضوع ته اشاره کړې ، دې شبکو ته د 4 ویډیو درسونه وقف کوو. که تاسو هیر شوي یاست چې دا څه دي، زه تاسو ته مشوره درکوم چې دا درسونه بیاکتنه وکړئ.
موږ پوهیږو چې په سیسکو کې ډیفالټ اصلي VLAN VLAN1 دی. د VLAN Hopping په نوم بریدونه شتون لري. راځئ فرض کړو چې په ډیاګرام کې کمپیوټر د اصلي اصلي شبکې VLAN1 لخوا د لومړي سویچ سره وصل دی ، او وروستی سویچ د VLAN10 شبکې لخوا کمپیوټر سره وصل دی. د سویچونو تر مینځ یو ډنډ رامینځته شوی.
عموما، کله چې د لومړي کمپیوټر څخه ټرافيک سویچ ته راشي، نو دا پوهیږي چې هغه بندر چې دا کمپیوټر ورسره وصل دی د VLAN1 برخه ده. بیا، دا ټرافیک د دوو سویچونو تر مینځ ټرنک ته ځي، او لومړی سویچ داسې فکر کوي: "دا ټرافیک د اصلي VLAN څخه راغلی، نو زه اړتیا نلرم چې دا نښه کړم،" او د ټرک په اوږدو کې غیر نښه شوي ټرافیک وړاندې کوي، کوم چې دوهم سویچ ته راځي.
سویچ 2، د غیر نښه شوي ټرافیک ترلاسه کولو سره، داسې فکر کوي: "څنګه چې دا ټرافیک غیر نښه شوی، دا پدې مانا ده چې دا د VLAN1 پورې اړه لري، نو زه نشم کولی دا د VLAN10 څخه لیږم." د پایلې په توګه، د لومړي کمپیوټر لخوا لیږل شوي ټرافیک نشي کولی دویم کمپیوټر ته ورسیږي.
په واقعیت کې، دا باید څنګه پیښ شي - د VLAN1 ټرافيک باید VLAN10 ته لاړ نشي. اوس راځئ تصور وکړو چې د لومړي کمپیوټر شاته یو برید کونکی شتون لري چې د VLAN10 ټګ سره چوکاټ رامینځته کوي او سویچ ته یې لیږي. که تاسو په یاد ولرئ چې VLAN څنګه کار کوي، نو تاسو پوهیږئ چې که ټګ شوي ټرافیک سویچ ته ورسیږي، دا د چوکاټ سره هیڅ نه کوي، مګر په ساده ډول دا د ډنډ په اوږدو کې لیږدوي. د پایلې په توګه، دویم سویچ به ټرافیک د یو ټګ سره ترلاسه کړي چې د برید کونکي لخوا رامینځته شوی، نه د لومړي سویچ لخوا.
دا پدې مانا ده چې تاسو اصلي VLAN د VLAN1 پرته بل څه سره ځای په ځای کوئ.
څرنګه چې دوهم سویچ نه پوهیږي چې چا د VLAN10 ټاګ رامینځته کړی ، دا په ساده ډول دوهم کمپیوټر ته ترافیک لیږي. دا څنګه د VLAN هوپینګ برید پیښیږي ، کله چې برید کونکی داسې شبکې ته ننوځي چې په پیل کې ورته د لاسرسي وړ نه و.
د دې ډول بریدونو د مخنیوي لپاره، تاسو اړتیا لرئ چې تصادفي VLAN، یا تصادفي VLANs جوړ کړئ، د بیلګې په توګه VLAN999، VLAN666، VLAN777، او داسې نور، کوم چې د برید کونکي لخوا هیڅکله نشي کارول کیدی. په ورته وخت کې، موږ د سویچونو ترنک بندرونو ته ځو او د کار کولو لپاره یې تنظیم کوو، د بیلګې په توګه، د اصلي VLAN666 سره. په دې حالت کې، موږ د ترنک بندرونو لپاره اصلي VLAN له VLAN1 څخه VLAN66 ته بدلوو، دا دی، موږ د VLAN1 پرته بله شبکه د اصلي VLAN په توګه کاروو.
د ډډ په دواړو خواو کې بندرونه باید ورته VLAN ته تنظیم شي، که نه نو موږ به د VLAN شمیره غلطه غلطي ترلاسه کړو.
د دې ترتیب څخه وروسته، که یو هیکر پریکړه وکړي چې د VLAN Hopping برید ترسره کړي، هغه به بریالی نشي، ځکه چې اصلي VLAN1 د سویچونو هیڅ ترنک بندرونو ته نه دی ټاکل شوی. دا د غیر ډیفالټ اصلي VLANs په جوړولو سره د بریدونو پروړاندې د ساتنې میتود دی.
له موږ سره د پاتې کیدو لپاره مننه. ایا تاسو زموږ مقالې خوښوي؟ غواړئ نور په زړه پورې مینځپانګه وګورئ؟ د امر په ورکولو یا ملګرو ته وړاندیز کولو سره زموږ ملاتړ وکړئ ، د ننوتلو کچې سرورونو ځانګړي انلاګ کې د هابر کاروونکو لپاره 30٪ تخفیف ، کوم چې زموږ لخوا ستاسو لپاره اختراع شوی و: (د RAID1 او RAID10 سره شتون لري، تر 24 کور پورې او تر 40GB DDR4 پورې).
Dell R730xd 2 ځله ارزانه؟ یوازې دلته په هالنډ کې! ډیل R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - له $ 99 څخه! په اړه ولولئ
سرچینه: www.habr.com