أرشيف | سيسكو RSS for this section

كيفية حجب بروتوكوﻻت P2P على راوتر سيسكو

أعلم أن ما سنتحدث عنه اليوم يطبق بشكل رئيسي على الجدار الناري فلا يوجد سبب يجبرنا على استخدام الراوتر لحجب بيانات معينة ولكن أحيانا سنواجه بعض المشاكل التى ستجبرنا على إتخاذ مثل هذا القرار مثل حجب الـ Dynamic Port Applications ولذلك أحببت أن أشارككم بما فعلت.

اليوم سنقوم بحجب بروتوكوﻻت Peer-to-peer على راوتر سيسكو ولفعل ذلك سنستخدم أحد الأليات المطورة من قبل شركة سيسكو والتى تعمل على تنظيم تدفق البيانات والتعرف على مجموعة كبيرة من التطبيقات بما في ذلك تطبيقات الويب والتطبيقات التى تعمل عن طريق client/server من خلال فحص الحزم المرسلة عبر الراوترات والسويتشات والتى تعرف بأسم Network Based Application Recognition (NBAR).

1- في البداية ﻷبد أن نقوم بتفعيل Cisco Express Forwarding (CEF) فبدونها لن نستطيع حجب بروتوكوﻻت P2P.

NetworkSet(config)# ip cef

2- بعد ذلك سنحتاج إلى أن عمل class-map لنحدد من خلالها البروتكوﻻت التى سنقوم بحجبها وسنسميها BLOCKED-P2P ثم نضيف بداخلها البروتوكولات التى سيتم حجبها.

NetworkSet(config)# class-map match-any BLOCKED-P2P
match protocol edonkey
match protocol irc
match protocol Napigator
match protocol Blubster
match protocol Piolet
match protocol RocketItNet
match protocol Overnet
match protocol Grokster
match protocol iMesh
match protocol Kazaa
match protocol Morpheus
match protocol Bitcoin
match protocol Alt-Coins
match protocol Ares Galaxy
match protocol Warez P2P
match protocol NeoModus Direct Connect
match protocol fasttrack
match protocol gnutella
match protocol kazaa2
match protocol winmx
match protocol skype
match protocol cuseeme
match protocol novadigm
match protocol ssh
match protocol Aimster
match protocol Applejuice
match protocol Filetopia
match protocol Freenet
match protocol GnucleusLAN
match protocol GoBoogy
match protocol KuGoo
match protocol MUTE
match protocol Soribada
match protocol Soulseek
match protocol Xunlei
match protocol BitTorrent

توضيح: من الممكن أن نجد أن بعض هذه البروتوكوﻻت مازالت غير مدعومة من قبل نظام التشغيل الموجود على الراوتر أو السويتش الذى ستقوم بعمل عمليه الحجب من خلاله ولكن المؤكد أن أغلبها مدعوم, بجانب أن عملية حجب هذه البروتوكولات تستهلك الكثير من الرامات!

3- بعد ذلك سنقوم بعمل أما policy-map أو access-list لتحديد رد الفعل المستخدم بعد تحديد الترافيك (بروتوكوﻻت P2P) لكن لتحديد أفضل أختيار علينا أن نوضح بأن أمر drop المتفرع من الـ policy-map لن يكون متاح على نسخة IOS 12.2(13)T أو ما قبلها.

لنبدأ باستخدام الـ policy-map.

NetworkSet(config)# policy-map P2P-DROP
NetworkSet(config)# class BLOCKED-P2P
NetworkSet(config)# drop

أو نستخدم الـ access-list.

NetworkSet(config)# access-list 189 deny ip any any P2P-DROP
NetworkSet(config)# access-list 189 permit ip any any

4- ثم ندخل على المنفذ الذى سنقوم بتطبيق policy-map عليه.

NetworkSet(config)# interface FastEthernet0/0
NetworkSet(config)# service-policy input P2P-DROP

أو ندخل على نفس المنفذ ونكتب اﻷمر التالي لتطبيق access-list.

NetworkSet(config)# interface FastEthernet0/0
NetworkSet(config)# ip access-group 189 out

وللتأكد من أن الأعدادات التى قمنا بتفعيلها صحيحة علينا أن نكتب اﻷمر التالي:

NetworkSet# show policy-map interface f0/0
FastEthernet0/0
Service-policy input: P2P-DROP

Class-map: BLOCKED-P2P (match-any)
0 packets, 0 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: protocol edonkey
0 packets, 0 bytes
5 minute rate 0 bps
Match: protocol irc
0 packets, 0 bytes
5 minute rate 0 bps
Match: protocol kazaa2
0 packets, 0 bytes
5 minute rate 0 bps
Match: protocol fasttrack
0 packets, 0 bytes
5 minute rate 0 bps
Match: protocol gnutella
0 packets, 0 bytes
5 minute rate 0 bps
Match: protocol winmx
0 packets, 0 bytes
5 minute rate 0 bps
Match: protocol skype
0 packets, 0 bytes
5 minute rate 0 bps
Match: protocol cuseeme
0 packets, 0 bytes
5 minute rate 0 bps
Match: protocol novadigm
0 packets, 0 bytes
5 minute rate 0 bps
Match: protocol ssh
0 packets, 0 bytes
5 minute rate 0 bps
Match: protocol bittorrent
0 packets, 0 bytes
5 minute rate 0 bps
drop

Class-map: class-default (match-any)
0 packets, 0 bytes
5 minute offered rate 0 bps, drop rate 0 bps
Match: any

تنبية: بالنسبة للنقطة المتعلقة ببروتوكول BitTorrent فتوجد بعض المشاكل التى من الممكن أن نواجهها عند تطبيق الطريقة وهى أن أحد المستخدمين قد يغير الـ port المستخدم من قبل برامج التورنت من 6881 لـ 6999 وللتأكد من عدم حدوث ذلك على مدير الشبكة أو يقوم بمنع استخدام هذا الـ port أما بخصوص المشكلة المتعلقة بتشفير اﻻتصال فحلها سيكون موجود على الجدار الناري.

المصدر

Advertisements

تنصيب برنامج Cisco Packet Tracer على توزيعة أوبونتو

يعلم الجميع أن برنامج Cisco Packet Tracer هو محاكي لأجهزة الشبكات الخاصة بشركة سيسكو سيستمز يسمح للطلابة بالتعامل مع الشبكات بشكل إفتراضي حيث يوفر البيئة المناسبة للتدريب, لمزيد من المعلومات عن البرنامج يمكنكم البحث عن لقاءات السيد دينيس فريزو مصمم البرنامج على الإنترنت.

البداية ستكون مع تحميل البرنامج من الرابط التالي, ثم نقوم بعد ذلك بفتح الـ Terminal ونذهب إلى المكان الموجود به نسخة البرنامج ونكتب الأمر الموضح في الصورة التالية

oozy089@HP: ~-Downloads_001

وكما هو موضح في الصورة التالية ستظهر لنا اتفاقية الترخيص الخاصة بالبرنامج

oozy089@HP: ~-Downloads_003

سيطلب منا الموافقة على الشروط الخاصة بالاستخدام وبعد الموافقة سيقوم بتنصيب ملفات البرنامج كما هو موضح في الصورة التالية

oozy089@HP: ~-Downloads_004

تم بحمد الله الإنتهاء من تنصيب كما هو واضح في الصورة التالية

oozy089@HP: ~_005

كيفية ربط راوترين بإستخدام تقنية Cisco EzVPN

Cisco EzVPN تقنية غير معلومة لدى الغالبية على الرغم من أنها تعتبر من التقنيات القديمة إلا أنها مازالت مستخدمة في العديد من الشركات بالتحديد الصغيرة والمتوسطة وذلك للربط بين فروعها المختلفة, وقد تذكرتها عندما طلب منى أحد أصدقائى البحث عن حل مجاني وسهل وأمن للربط بين المقر الرئيسى للشركة التى يعمل بها وأحد فروع الشركة الموجودة في دولة أخرى مع العلم أن كل الراوترات المستخدمة كانت من شركة سيسكو!

قبل البدأ في عمل أى شيء ولضمان نجاح عملية الربط بين الراوترين سنحتاج أن نحدد أى من الطريقتين سنختار فالحل الأول وهو الحل التقليدى الذى نستخدم فيه الحواسيب المسموح لها بأستخدام خدمة VPN بشكل مباشر ونقوم بربطها مع الطرف اﻷخر الذى سيعمل كـ Server مثل الراوتر أو الفايروول أو أى VPN connection, أما الحل الثاني وهو ما سنختاره مع هذه الحالة وهو أستخدام الراوترات الرئيسية في المقر الرئيسى والفرعي للعمل كـ Server & Client والسبب في أختيار الحل الثاني؟ التأكد من أن المجموعة المسموح لها بأستخدام خدمة VPN ستستخدمه للعمل فقط وليس لفعل أى أنشطة أخرى ولإخضاعهم تحت السياسات الموضوعة على الراوتر.

ezvpn

سنبدأ كتابة بعض الأعدادات على الراوتر الذى سيعمل كـ Server وستكون البداية مع عمل AAA model لتوثيق المجموعة التى ستستخدم خدمة VPN وتحديد صلاحياتهم أيضاً
EasyVPN_Server(config)# aaa new-model
EasyVPN_Server(config)# aaa authentication login UserAuthen local
EasyVPN_Server(config)# aaa authorization network GroupAuthor local
EasyVPN_Server(config)# username test password test123

ثم نقوم بوضع Policy للتشفير
EasyVPN_Server(config)# crypto isakmp policy 9
EasyVPN_Server(config-isakmp)# encryption 3des
EasyVPN_Server(config-isakmp)# authentication pre-share
EasyVPN_Server(config-isakmp)# group 5
EasyVPN_Server(config)# crypto isakmp client configuration group VPNgrp
EasyVPN_Server(config-isakmp-group)# key test987
EasyVPN_Server(config-isakmp-group)# save-password

تفعيل IPSec
EasyVPN_Server(config)#$ crypto ipsec transform-set MySet esp-3des esp-sha-hmac
EasyVPN_Server(config)# crypto dynamic-map DynMap 9
EasyVPN_Server(config-crypto-map)# set transform-set MySet
EasyVPN_Server(config)# crypto map ClientMap client authentication list UserAuthen
EasyVPN_Server(config)# crypto map ClientMap isakmp authorization list GroupAuthor
EasyVPN_Server(config)# crypto map ClientMap client configuration address respond
EasyVPN_Server(config)# crypto map ClientMap 9 ipsec-isakmp dynamic DynMap

نضيف crypto map على الإنترفيس المتصل بالإنترنت
EasyVPN_Server(config)#inter s1/1
EasyVPN_Server(config-if)#description WAN
EasyVPN_Server(config-if)#crypto map ClientMap

بعد ذلك ننتقل لكتابة بعض الأعدادات على الراوتر الذى سيعمل كـ Client والتى ستكون أسهل من التى كتبناها على الراوتر اﻷخر ﻷن اﻻتصال سيكون تلقائى فنحن لن نكون بحاجة لعمل nat والتشفير سيكون تلقائى عن التقنية نفسها
EasyVPN_Client(config-crypto-ezvpn)#
crypto ipsec client ezvpn ez

EasyVPN_Client(config-crypto-ezvpn)# connect auto
EasyVPN_Client(config-crypto-ezvpn)# group VPNgrp key test987
EasyVPN_Client(config-crypto-ezvpn)# mode network-extension
EasyVPN_Client(config-crypto-ezvpn)# peer 192.168.11.254
EasyVPN_Client(config-crypto-ezvpn)# username test password test123
EasyVPN_Client(config-crypto-ezvpn)# xauth userid mode local

لتشغيل التشفير لأبد من تحديد WAN interface الذى سيخرج منه وذلك يتم بشكل تلقائى أيضاً
EasyVPN_Client(config)#inter s1/1
EasyVPN_Client(config-if)#description WAN
EasyVPN_Client(config-if)#crypto ipsec client ezvpn ez

سنواجه مشكلة تتعلق بالأجهزة التى تستخدم الطبقات الثالثة (L3) في الإنترنت مثل Switch virtual interface/Physical
EasyVPN_Client(config)#inter f0/1
EasyVPN_Client(config)# description ANY L3 LAN interface
EasyVPN_Client(config)# crypto ipsec client ezvpn ez inside

بعد ذلك سنقوم بإختبار الـ tunnel للتأكد من أن كل شيء يعمل بشكل صحيح ويمكنكم أستخدام هذه اﻷوامر للتأكد من صحة الخطوات السابقة أو معالجة أى مشكلة قد تحدث مستقباً
EasyVPN_Server#show crypto ipsec sa
EasyVPN_Server#show crypto ipsec sa
EasyVPN_Server#show crypto ipsec client ezvpn

لمزيد من المعلومات يمكنكم الضغط عل الروابط التالية فهى مراجع لمن يريد الحصول على معلومات وتفاصيل أكثر :-

http://www.cisco.com/en/US/docs/routers/access/1800/1841/software/configuration/guide/ezvpn.html

http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080808395.shtml

المصدر