سوئيچ سيسكو سري C1000 از سوئيچ هاي لايه 2 كمپاني سيسكو است كه در سال 2019 به بازار تجهيزات شبكه دنيا وارد شده است. ما در اين مقاله مي خواهيم شما را با اين سري از سوئيچ هاي سيسكو، قابليت ها و مدل هاي مختلف آن آشنايي نماييم.
معرفي سوئيچ سيسكو سري C1000:
اين سوئيچ سيسكو Ethernet و Fast Ethernet براي مشاغل كوچك و دفاتر شعب طراحي شده اند. سوئيچ سري C1000 سيسكو از مديريت ساده، انعطاف پذيري و امنيت پشتيباني مي كند. اين سوئيچ مي توانيد براي دفاتر و شركت هاي كوچك بسيار مناسب بوده و امنيت و كارايي بالايي را ارائه نمايد. سوئيچ Cisco Catalyst 1000 بر روي نرم افزار Cisco IOS كار كرده و از مديريت ساده دستگاه و مديريت شبكه از طريق يك رابط خط فرمان (CLI) و همچنين n-box web U پشتيباني مي كند.
يكي از مهمترين اقدامات در طراحي يك شبكه كامپيوتري، امكان ارتقاي آن در آينده مي باشد كه سوئيچ هاي سري 1000 سيسكو، آن را امكانپذير كرده و امكان اتصال تا 250 كاربر را فراهم كرده است.
اين سوئيچ ها مي توانند جايگزين مناسبي براي سوئيچ هاي سري 2960Plus و 2960L باشند.
از ويژگي هاي مهم اين محصول مي توان به:
- داراي 8،16،24 و 48 پورت گيگابيت اترنت و 24، 48 پورت Fast Ethernet و در برخي مدل ها داراي قابليت +PoE
- در مدل هاي 8 پورت داراي 2 يا 4 پورت كومبو 1 گيگابيتي SFP/RJ45 – در مدل هاي Gigabit Ethernet داراي 4 پورت 10 گيگابيتي +SFP/SFP – در مدل هاي Fast Ethernet داراي 4 پورت كومبو 1 گيگابيتي SFP/RJ45 هستند.
- پشتيباني از قابليت +PoE با توان 740W
- داراي گزينه هاي مديريتي CLI و web UI
- نظارت بر شبكه از طريق قابليت sFlow يا sampled flow
- پشتيباني از استاندارد 802.1X
- برخي مدل هاي بدون فن اين سري از سوئيچ ها داراي عمق كمتر از 33 سانتي متر هستند.
- پشتيباني از راه دور سوئيچ از طريق بلوتوث، پروتكل SNMP پورت RJ45 و پورت كنسول USB
- اين سوئيچ ها تنها از لايسنس LAN Lite پشيباني مي كنند.
- قابليت پشتيباني از QoS پيشرفته
مديريت سوئيچ سيسكو سري Catalyst 1000:
اين سوئيچ هاي سيسكو از ويژگي هاي مديريتي زير پشيتباني مي كنند كه شامل:
- Web UI از طريق Cisco Configuration Professional: كه يك رابط كاربري جهت تنظيمات اوليه سوئيچ است كه نصب آسان، پيكربندي، نظارت و عيب يابي سوئيچ را امكان پذير مي سازد.
- بلوتوث: براي دسترسي از طريق over-the-air. سوئيچ ها از يك دانگل بلوتوث خارجي پشتيباني مي كنند كه به پورت USB سوئيچ متصل مي شود و امكان اتصال RF مبتني بر بلوتوث را با لپ تاپ ها و تبلت هاي خارجي فراهم مي كند. لپتاپها و تبلتها ميتوانند با استفاده از Telnet يا Secure Shell (SSH) از طريق بلوتوث به CLI دسترسي پيدا كنند. رابط كاربري گرافيكي از طريق بلوتوث با مرورگر قابل دسترسي است.
- مديريت IP در سوئيچ هاي سري 1000 كاتاليست سيسكو در دسترس است. پورت هاي uplink را مي توان براي اتصال حداكثر هشت سوئيچ در يك Stack و مديريت آنها از طريق يك آدرس IP واحد براي تسهيل فعاليت هاي مديريت شبكه مانند تنظيمات و عيب يابي استفاده كرد. اين ويژگي فقط در مدل هاي اترنت گيگابيتي موجود است.
پشتيباني از قابليت +POE:
اين سري از سوئيچ هاي سيسكو از هر دو قابليت PoE و +PoE پشتيباني مي كنند. اين قابليت هزينه كابل كشي هاي اضافي را بر طرف كرده و علاوه بر انتقال ديتا برق مورد نياز دستگاه ها را نيز تامين مي كند. حداكثر توان POE سوئيچ هاي كاتاليست سري 1000 740 وات است. لازم به ذكر است كه قابليت Perpetual PoE مديريت هوشمند انرژي را در هنگام بارگذاري مجدد سوئيچ حفظ مي كند. به طوري كه با قطع و وصل شدن سوئيچ هيچ گونه خاموشي در ساير دستگاه ها ايجاد نشود.
امنيت در سوئيچ هاي سري 1000 كاتاليست سيسكو:
اين سوئيچ هاي شبكه طيف وسيعي از ويژگي هاي امنيتي را براي محدود كردن سطح دسترسي و كاهش تهديدات ارائه مي نمايد كه از جمله آنان مي توان به:
- ويژگي هاي جامع 802.1X: براي كنترل دسترسي به شبكه، از جمله احراز هويت انعطاف پذير، حالت مانيتور 802.1X و تغيير مجوز RADIUS .
- پشتيباني از 802.1X با Network Edge Access Topology يا NEAT
- توزيع كاربر IEEE 802.1X: كه به شما امكان ميدهد تا كاربران، با نام يكسان را در چندين VLAN مختلف بارگذاري كنيد.
- امكان غيرفعال كردن يادگيري MAC به ازاي هر VLAN: به شما امكان مي دهد فضاي جدول آدرس MAC موجود را با كنترل اينكه كدام رابط يا VLAN آدرس هاي MAC را ياد مي گيرند، مديريت كنيد.
- احراز هويت چند دامنه اي: به تلفن IP و كامپيوترهاي شخصي اجازه مي دهد تا در همان پورت سوئيچ احراز هويت شوند، در حالي كه روي VLAN هاي صوتي و داده مناسب قرار مي گيرند.
- مجوز Authentication, Authorization, and Accounting (AAA): در PnP براي فعال كردن يكپارچه PnP.
- ليست هاي كنترل دسترسي (ACLS): براي امنيت IPv6 و IPv4 و عناصر ACL كيفيت خدمات (QoS) (ACE).
- ACLهاي مبتني بر پورت براي رابطهاي لايه 2: براي اعمال سياستهاي امنيتي روي پورتهاي سوئيچ جداگانه.
- SSH،Kerberos و SNMP v3: براي تامين امنيت شبكه با رمزگذاري ترافيك سرپرست در طول جلسات Telnet و SNMP. SSH، Kerberos و نسخه رمزنگاري SNMP v3 به دليل محدوديتهاي صادراتي ايالات متحده به يك تصوير نرمافزار رمزنگاري خاص نياز دارند.
- SPAN با پشتيباني از دادههاي دوطرفه: به سيستم تشخيص نفوذ سيسكو (IDS) اجازه ميدهد در صورت شناسايي نفوذگر اقدام كند.
- احراز هويت TACACS+ و RADIUS: براي تسهيل كنترل متمركز سوئيچ و محدود كردن كاربران غيرمجاز از تغيير پيكربندي.
- اعلان آدرس MAC: براي اطلاع مديران در مورد كاربران اضافه شده يا حذف شده از شبكه.
- MAC Authentication Bypass (MAB) و WebAuth با ACL هاي قابل بارگيري: براي اينكه ACL هاي هر كاربر بتوانند از موتور خدمات هويت سيسكو (ISE) به عنوان اجراي خط مشي پس از احراز هويت با استفاده از MAB يا تأييد اعتبار وب علاوه بر IEEE 802.1X دانلود شوند.
- تغيير مسير احراز هويت وب: براي فعال كردن شبكهها براي هدايت كاربران مهمان به URL كه در ابتدا درخواست كرده بودند.
- امنيت چندسطحي در دسترسي كنسول: براي جلوگيري از تغيير پيكربندي سوئيچ توسط كاربران غيرمجاز.
- محافظ BPDU: براي خاموش كردن اينترفيسهاي داراي PortFast درخت پوشا در هنگام دريافت BPDU، براي جلوگيري از حلقههاي توپولوژي تصادفي.
- IP Source Guard: براي محدود كردن ترافيك IP در رابطهاي لايه 2 بدون مسيريابي با فيلتر كردن ترافيك بر اساس پروتكل Dynamic Host Configuration Protocol (DHCP) يا با پيكربندي دستي اتصالات منبع IP.
- SSH v2: براي اجازه استفاده از گواهي هاي ديجيتال براي احراز هويت بين كاربر و سرور.
- Spanning Tree Root Guard يا STRG: براي جلوگيري از تبديل شدن دستگاههاي لبهاي كه تحت كنترل سرپرست شبكه نيستند، به گرههاي ريشه پروتكل درخت پوشا (STP) تبديل شوند.
- فيلتر كردن پروتكل مديريت گروه اينترنتي (IGMP): براي ارائه احراز هويت چندپخشي با فيلتر كردن افراد غيرمشترك و محدود كردن تعداد جريانهاي چندپخشي همزمان موجود در هر پورت.
- تخصيص پويا VLAN: از طريق اجراي VLAN Membership Policy Server قابليت سرويس گيرنده براي ارائه انعطاف پذيري در اختصاص پورت ها به VLAN. لازم به ذكر است كه VLAN پويا يا دايناميك تخصيص سريع آدرس هاي IP را تسهيل مي كند.
آشنايي با حملات متداول در لايه 2:
سوئيچ سيسكو سري Catalyst 1000 از طيف وسيعي از ويژگي هاي امنيتي براي محدود كردن دسترسي به شبكه و كاهش تهديدات پشتيباني مي كند. سوئيچ به صورت بومي از ويژگي هايي مانند Port security، رديابي DHCP، بازرسي ديناميك ARP، IP Source Guard و غيره پشتيباني مي كند.
ما حملات متداول زير را در بخش لايه 2 مشاهده ميكنيم و ويژگيهايي را براي كاهش حملات Cisco Catalyst سري 1000 در اختيار داريم.
- DHCP snooping:
يكي از حملات رايج لايه 2، سرور DHCP سركش است كه اغلب براي حملات شبكه مانند حملات Man-in-the-Middle، Sniffing و شناسايي استفاده مي شود. ويژگي DHCP snooping اين است كه پيامهاي DHCP را رهگيري ميكند، ترافيك DHCP سركش را از منابع نامعتبر محدود ميكند و يك جدول اتصال DHCP ايجاد ميكند.
تعيين مي كند كه آيا منابع ترافيك قابل اعتماد هستند يا غيرقابل اعتماد. در حالت اعتماد پيشفرض، همه اينترفيسها غيرقابل اعتماد هستند و بايد رابطهاي شبكه داخلي شناخته شده را به عنوان مورد اعتماد پيكربندي كنيد.
- ARP spoofing:
ARP spoofing حمله رايج ديگري است كه در بخش هاي لايه 2 مشاهده مي شود، جايي كه مهاجم پيام هاي ARP جعلي را ارسال مي كند كه ممكن است به مهاجم اجازه دهد تا ترافيك شبكه را رهگيري كند تا در آن ديده شود. بازرسي پويا ARP با رهگيري تمام درخواست ها و پاسخ هاي ARP از طريق دستگاه ها از اين حمله جلوگيري مي كند.
- IP Source Guard:
جعل IP يا MAC Spoofing حمله ديگري است كه از طريق آن هاست هاي غيرقانوني مي توانند آدرس هاي IP و مك آدرس هاست هاي مجاز را جعل كرده و به شبكه دسترسي غيرقانوني پيدا كنند. IP Source Guard با پيكربندي يك پورت ACL براي آدرسهاي IP به كاهش اين حملات كمك ميكند و آدرسهاي MAC را به امنيت پورت بر اساس جدول اتصال DHCP Snooping اضافه ميكند، كه به نوبه خود ترافيك سركش را مسدود ميكند.
انعطاف پذير در سوئيچ هاي سري 1000 كاتاليست سيسكو:
اين سري از سوئيچ ها داراي ويژگي هايي هستند كه از قطعي شبكه جلوگيري مي نمايد كه از جمله آنان:
- IEEE 802.1s/w Rapid Spanning Tree Protocol (RSTP) و Multiple Spanning Tree Protocol (MSTP)
- (+Per-VLAN Rapid Spanning Tree (PVRST
- Switch-port auto-recovery (error disable)
- Link state tracking
مديريت ساده سويئچ سيسكو سري C1000:
- Cisco AutoSecure: يك CLI تك خطي را براي فعال كردن ويژگي هاي امنيتي پايه (امنيت پورت، رديابي DHCP، بازرسي پروتكل وضوح آدرس پويا (ARP)) فراهم مي كند. اين ويژگي تنظيمات امنيتي را با يك لمس ساده مي كند.
- DHCP: پيكربندي خودكار DHCP سوئيچ هاي متعدد از طريق يك سرور بوت، استقرار سوئيچ را آسان مي كند.
- Auto negotiation: روي همه پورت ها به طور خودكار حالت انتقال نيمه يا تمام دوبلكس را براي بهينه سازي پهناي باند انتخاب مي كند.
- Dynamic Trunking Protocol (DTP): پيكربندي پويا ترانك را در تمام پورت هاي سوئيچ تسهيل مي كند.
- Port Aggregation Protocol (PAgP): ايجاد گروههاي Cisco Fast EtherChannel يا گروههاي Gigabit EtherChannel را براي پيوند به سوييچ، روتر يا سرور را به طور خودكار انجام ميدهد.
- Link Aggregation Control Protocol (LACP): به ايجاد كانالهاي اترنت با دستگاههايي كه مطابق با IEEE 802.3ad هستند، اجازه ميدهد. اين ويژگي مشابه فناوري Cisco EtherChannel و PAgP است.
- Automatic Media-Dependent Interface Crossover (MDIX): به طور خودكار جفت هاي ارسال و دريافت را در صورت نصب كابل نادرست (متقاطع يا مستقيم) تنظيم مي كند.
- Unidirectional Link Detection Protocol (UDLD): و Agressive UDLD به پيوندهاي يك طرفه ناشي از سيمكشي فيبر نوري نادرست يا خطاهاي پورت اجازه ميدهند در رابطهاي فيبر نوري شناسايي و غيرفعال شوند.
- Local Proxy ARP: در ارتباط با Private VLAN Edge براي به حداقل رساندن پخش و به حداكثر رساندن پهناي باند موجود كار مي كند.
- VLAN1 minimization اجازه مي دهد تا VLAN1 در هر ترانك VLAN فردي غيرفعال شود.
- IGMP براي IPv4 و IPv6 و Multicast Listener Discovery (MLD) v1 و v2 snooping اتصال و خروج سريع مشتري از جريانهاي چندپخشي را فراهم ميكند و ترافيك ويديويي با پهناي باند فشرده را فقط براي درخواستكنندگان محدود ميكند.
- Per-port broadcast, multicast, and unicast storm control در هر پورت از كاهش عملكرد كلي سيستم توسط ايستگاه هاي انتهايي معيوب جلوگيري مي كند.
- Voice VLAN با نگه داشتن ترافيك صوتي در يك VLAN جداگانه براي مديريت و عيب يابي آسان تر، نصب تلفن را ساده مي كند.
- Cisco VLAN Trunking Protocol (VTP): از VLANهاي پويا و پيكربندي ترانك پويا در همه سوييچ ها پشتيباني مي كند.
- Layer 2 trace route: با شناسايي مسير فيزيكي كه ديتا از مبدا به مقصد طي مي كند، عيب يابي را آسان مي كند.
- Trivial File Transfer Protocol (TFTP): هزينه مديريت ارتقاء نرم افزار را با دانلود از يك مكان متمركز كاهش مي دهد.
- Network Time Protocol (NTP): زماني دقيق و ثابت را براي همه سوئيچ هاي اينترانت ارائه مي دهد.
طراحي شاسي در سوئيچ هاي سري 1000 كاتاليست سيسكو:
معماري سوئيچ هاي سري C1000 سيسكو، امكان اتصال حداكثر هشت سوئيچ فيزيكي به عنوان يك واحد منطقي با استفاده از مديريت IP واحد از طريق پورت هاي uplink ارائه مي دهد.
- شكل زير طراحي شاسي 8/16/24 پورت سوئيچ سيسكو سري Catalyst 1000 نشان مي دهد:
- شكل زير طراحي شاسي 48 پورت سوئيچ سيسكو سري Catalyst 1000 نشان مي دهد:
سوئيچهاي سري 1000 كاتاليست سيسكو داراي يك منبع تغذيه داخلي هستند و يك آداپتور برق خارجي كه از ورودي برق AC پشتيباني ميكند. مدل هاي 48 پورت و برخي از مدل هاي 24 پورت داراي يك فن داخلي در پشت سوئيچ هستند. همه مدلهاي سري 1000 داراي يك پورت RJ45 و USB mini-B براي دسترسي به كنسول، همراه با يك پورت USB-A براي ذخيرهسازي و دسترسي كنسول بلوتوث در جلوي سوئيچ هستند.
انتقال اطلاعات در سوئيچ هاي سري 1000 كاتاليست سيسكو:
- بسته ها براي اولين بار توسط گيرنده FIFO پس از decapsulation VLAN دريافت مي شوند.
- يك كپي از بسته اول (200 بايت اوليه) براي پردازش به كنترل كننده ارسال مي شود (ليست كنترل دسترسي (ACL)، جستجوهاي كيفيت خدمات (QoS)) و يك نسخه ديگر از كل بسته به Universal Packet Buffer (UPB) ارسال مي شود.
- موتور جستجوي Forwarding Controller جستجوي يادگيري را در حافظه آدرسپذير محتواي سهگانه (TCAM) انجام ميدهد و رم استاتيك (SRAM) را براي اطلاعات مربوطه جستجو ميكند.
- موتور جستجوي Forwarding Controller همچنين جستجوي QoS و ACL را در TCAM انجام مي دهد و SRAM را براي پاسخ ورودي ACL و QoS مربوطه جستجو مي كند.
- Forwarding Controller در جستجوي sampled flow (sFlow) جهت به روزرساني جدول نتيجه مي باشد.
- موتور جستجوي Forwarding Controller انتقال لايه 2/ 3 را در TCAM جستجو مي كند.
- Forwarding Controller ايندكس را براي جزئيات مقصد به SRAM مي فرستد و اطلاعات مقصد برگردانده مي شود.
- يك descriptor با نتايج جستجو به بسته اصلي اضافه شده و در UPB ذخيره مي شود.
مسير خروج:
- يك اشاره گر به فريم در صف انتقال هدف قرار مي گيرد.
- داده هاي فريم از UPB به Transmit FIFO منتقل مي شود.
- بسته ها خارج مي شوند و در Transmit FIFO براي پردازش خروجي ذخيره مي شوند.
- 200 بايت اول براي پردازش خروجي به Forwarding Controller ارسال مي شود.
- موتور جستجوي Forwarding Controller يك جستجوي مقصد را به TCAM ارسال مي كند و يك Index بازگردانده مي شود.
- Forwarding Controller از ايندكس براي دريافت اطلاعات ارسال لايه 2/لايه 3 استفاده مي كند.
- Forwarding Controller هدر بسته را آماده مي كند و به Transmit FIFO مي فرستد، جايي كه بسته نهايي مونتاژ مي شود.
- بسته نهايي به پورت خروجي ارسال مي شود.
منبع : آشنايي با سوئيچ سيسكو سري Catalyst 1000