اموزش انلاين سيسکو – برگه 3 – پشتیبانی VoIP|پشتیبانی شبکه|ویپ |تجهیزات شبکه

کاربرد پورت SFP در سوئیچ

Posted on دسامبر 14, 2021دسامبر 15, 2021 by tilatel

کاربرد پورت SFP در سوئیچ : SFP سرنام واژه های Small Form-factor Pluggable است. این عبارت در راهنمای بسیاری از تجهیزات شبکه ، به خصوص سوئیچ ها دیده می شود. برای مثال زمانی که شما قصد تهیه یک سوئیچ سیسکو را دارید یکی از معیارهای مهم تعداد پورت های SFP می باشد. SFP یک Transceiver کوچک است که با اتصال به پورت SFP سوئیچ شبکه ، امکان اتصال کابل های فیبر نوری را فراهم می آورد. Transceiver واژه ای تخصصی است که بیانگر یک فرستنده-گیرنده می باشد. یعنی جزئی که به تنهایی هم فرستنده و هم گیرنده است.

SFP سیگنال های الکتریکی سریال را به سیگنال های نوری تبدیل می کند. البته این یک عملیات دو طرفه است. یعنی سیگنال های نوری نیز در SFP به سیگنال های الکتریکی تبدیل می شوند. ماژول های SPF همیشه از نوع Hot Swappable هستند. یعنی هر زمانی که بخواهید می توانید آن ها را از سوئیچ جدا کنید. همچنین هر ماژول یک ID و System Information را به سوئیچ ارائه می دهد. در بازار به ماژول های SFP جیبیک هم گفته می شود.

عبارت Combo SFP Port بر روی سوئیچ من به چه معناست؟

اگر سوئیچ شما پورت های SFP کمبو دارد ، به این معناست که برای مثال در صورت استفاده از پورت SFP شماره ۲۴ ، شما دیگر نخواهید توانست از پورت Ethernet با شماره متناظر همان سوئیچ استفاده کنید و پورت با شماره متناظر ( در اینجا ۲۴ ) غیرفعال خواهد شد ، حتی اگر کابل به آن متصل باشد.

XFP و SFP+

از آن جایی که SFP تنها سرعت ۴.۲۵ Gbps را پشتیبانی می کند ، نوع دیگری از این ماژول ها به وجود آمدند که به آن ها XFP گفته می شود. XFP ها سرعت تا ۱۰ گیگابیت در ثانیه را نیز پشتیبانی می کنند. بعد ترSFP+ نیز معرفی شد که سرعت ۱۰ گیگابیت را پشتیبانی می کند ، اما نیاز به شدت جریان بیشتری نیز دارد. به همین دلیل پورت های SFP+ را بیشتر در سوئیچ های Enterprise و در کارت های جداگانه که به هاست متصل می شوند مشاهده می کنید.

همان طور که در تصویر بالا مشاهده می شود ( سمت راست ) ماژول های XFP بزرگ تر از SFP+ هستند اما با شدت جریان کم تر همان مقدار Throughput را محیا می کنند.

معرفی پروتکل PPP

Posted on دسامبر 14, 2021دسامبر 15, 2021 by tilatel

معرفی پروتکل PPP :همانطور که می دانید پروتکل HDLC به دلیل عدم وجود مکانیزم های احراز هویت امروزه به ندرت مورد استفاده قرار می گیرد. در این مقاله پروتکل پیشرفته تری به نام PPP را به شما معرفی خواهیم کرد. با ما همراه باشید:

PPP یا Point to Point Protocol

جالب است بدانید که PPP نیز بر پایه HDLC بنا شده است. این پروتکل WAN Encapsulation که جهت ارتباطات نقطه به نقطه از آن بهره می برند در واقع یک HDLC بهبود یافته است. اما در مقایسه با HDLC ویژگی های زیادی به آن افزوده شده است. برای مثال همان طور که گفته شد High-Level Data Link Control خاصیت Authentication یا احراز حویت ندارد. اما PPP دارای این قابلیت می باشد. در ادامه پروتکل های Authentication را که Point to Point Protocol از آن ها بهره می برد را معرفی خواهیم کرد :

PPP Authentication

PPP از دو پروتکل احراز حویت PAP و CHAP پشتیبانی می نماید.

PAP کوتاه شده عبارت Password Authentication Protocol است که از آن به عنوان ساده ترین پروتکل احراز هویت یاد می کنند. این پروتکل از Handshake دو مرحله ای یا ۲-Way Handshake جهت Authentication بهره می برد. کلمه های عبور در آن به صورت Plain Text یا متن ساده رد و بدل می شوند. این بدان معنی ست که امنیت PAP بسیار پایین است. اما در مقایسه با HDLC یک گام جلوتر محسوب می شود. ( امنیت USSD ها نیز دقیقا به همین دلیل پایین است و مطابق سیاست های بانک مرکزی قرار است که این روش جهت انجام تراکنش های بانکی حذف شود ) مورد دیگری که PAP را به ساده ترین پروتکل احراز هویت تبدیل کرده است این موضوع می باشد که Password ها تنها در شروع ارتباط رد و بدل و بررسی می شوند و بعد از آن Session بدون نیاز به بررسی دوباره کلمه عبور باز خواهد ماند.

در تصویر زیر ۲ مرحله احراز هویت را در Password Authentication Protocol مشاهده می نمایید.

خوشبختانه امنیت PPP به استفاده از روش PAP برای احراز هویت محدود نمی شود. پروتکل CHAP متد به نسبت پیچیده تری است که از ۳-Way Handshake یا احراز هویت سه مرحله ای بهره می برد و کلمه عبور در آن به صورت HASH رد و بدل می گردد. CHAP یا Challenge Handshake Authentication Protocol از HASH با رمزنگاری MD5 استفاده می نماید. در ابتدا HASH به Node دیگر ارسال می شود و نود دیگر نیز یک HASH را در پاسخ ارسال می کند. اگر هر دو HASH یکسان باشند ارتباط پذیرفته می شود .

در تصویر زیر سه مرحله گفته شده را مشاهده می نمایید.

نحوه ی کانفیگ Unequal Load-Balancing برای پروتکل EIGRP در روتر سیسکو

Posted on دسامبر 12, 2021دسامبر 12, 2021 by tilatel

در سناریو تصوی زیر بر روی هر سه روتر پروتکل EIGRP راه اندازی شده است. از آن جایی که برای رسیدن به شبکه ۱۷۲.۱۶.۲.۰ از روتر R1 دو راه وجود دارد ، ما قصد داریم راه دوم را نیز جهت ایجاد یک Load-Balance نابرابر به جدول Route روتر R1 اضافه کنیم. البته اگر منظور ما را از Load Balance نا برابر متوجه نشده اید ، نگران نباشید. چرا که با مطالعه این راهنما به مفهوم آن پی خواهید برد.

همان طور که در تصویر بالا مشاهده می شود ، روتر R1 برای رسیدن به شبکه ۱۷۲.۱۶.۲.۰ دو راه دارد. راه اول این است که مستقیم از طریق روتر R2 به این شبکه متصل شود و راه دوم عبور از روتر R3 و سپس روتر R2 است. البته انتظار می رود که هم اکنون روتر R1 مسیر مستقیم را انتخاب نماید. برای اطمینان از این موضوع خروجی دستور show ip route 172.16.2.1 را بر روی روتر R1 در ادامه ملاحظه می فرمایید :

همچنین در ابتدا گفتیم که پروتکل EIGRP به طور صحیح در هر سه روتر راه اندازی شده است. بنابراین با دستور show ip eigrp topology نگاهی به توپولوژی فعلی EIGRP خواهید داشت :

در توپولوژی مشاهده می شود که EIGRP از وجود هر دو مسیر برای رسیدن به ۱۷۲.۱۶.۲.۱ اطلاع دارد. اما چرا مسیر دوم در جدول Route قرار داده نشده بود؟ بنا به دلایلی روتر تنها مسیر با متریک بهتر ( پایین تر ) را در جدول Route قرار داده است. متریک در تصویر بالا با رنگ زرد در ابتدای سمت چپ پرانتز ها مشخص شده است. در ادامه شما می توانید هر دو مسیر را با وجود اینکه متریک های متفاوتی دارند ( نا برابر ) در جدول Route قرار دهید. به این ترتیب Router می تواند عمل Load Balancing را انجام دهد. به این کار ایجاد Unequal Load Balancing می گویند.

قبل از اینکه به نحوه پیکربندی روتر بپردازید ، بار دیگر به متریک های دو مسیر توجه کنید. متریک های هر دو این مسیر ها به یکدیگر نزدیک هستند. برای مسیر اول این مقدار ۲۱۷۲۴۱۶ و برای مسیر دوم ۲۱۹۸۰۱۶ است.درواقع می توان گفت که متریک مسیر دوم کم تر از دو برابر متریک مسیر اول است! شما می توانید روتر را طوری پیکربندی کنید که در صورت وجود هر مسیر جایگزینی تا ۴ برابر متریک مسیر برتر ، Load Balancing را بین مسیرهای موجود به منظور دست یابی به یک شبکه خاص برقرار کند و همه مسیرها را در جدول Route تزریق نماید. به این مضرب یا مرتبه ( در اینجا ۴ ) مقدار Variance می گویند و نحوه پیکربندی آن به صورت زیر است :

اکنون بار دیگر به جدول Route در روتر R1 نگاهی بیاندازید :

نتیجه آن که با توجه به قسمت مشخص شده با رنگ زرد در تصویر بالا ، با برقراری Variance ، هر دو مسیر در جدول Route تزریق شده اند.

نحوه ی تغییر مسیر EIGRP با استفاده از Delay در روتر سیسکو

Posted on دسامبر 12, 2021 by tilatel

همانطور که می دانید که EIGRP یک پروتکل هیبرید است. به این معنا که هم از خواص پروتکل های Distance Vector برخوردار است و هم برخی خواص پروتکل های مسیریابی Link State را دارد. از این رو عوامل مختلفی در تعیین مسیریابی در زمان فعال سازی EIGRP بررسی می شوند. یکی از این موارد ، Delay می باشد که بر روی Cost که از متریک های EIGRP است تاثیر می گذارد. در این مقاله در قالب یک سناریو کاملا عملی و واقعی به شما نشان خواهیم داد که چطور می توانیم تنها با تغییر مقدار Delay بر روی یک اینترفیس ، مسیر روتینگ را تغییر دهیم. به این کار در اصطلاح فنی EIGRP Route Tuning گفته می شود.

سناریوی تصویر زیر را در نظر بگیرید که در آن بر روی همه روتر ها پروتکل EIGRP راه اندازی شده است.

به نظر شما ، اگر مقدار Delay برای تمام اینترفیس ها مقدار پیش فرض باشد ، روتر R1 برای رسیدن به ۱۷۲.۱۶.۳.۱ از کدام مسیر استفاده می نماید؟

برای رسیدن به پاسخ این سوال دستور show ip route 172.16.3.1 را بر روی روتر R1 اجرا می نماییم.

همان طور که مشاهده می کنید ، در خروجی این دستور مشخص است که آی پی اینترفیس S0/0/0 روتر R3 به عنوان Next Hop تعیین شده است. به این معنا که برای رسیدن به ۱۷۲.۱۶.۳.۱ بسته تحویل روتر R3 می شود.

مقدار Delay تعیین شده برای اینترفیس های سریال تمامی روترها ۲۰۰۰۰ میکروثانیه و برای اینترفیس های گیگابیت ۱۰۰ تعیین شده است. ( این مقادیر در سیسکو Default هستند ) ما در اینجا قصد داریم که با افزایش Delay در اینترفیس سریال S0/0/1 روتر R1 کاری کنیم که متریک EIGRP برای مسیر مستقیم از R1 به سمت R3 بیش تر از مسیر غیر مستقیم از R1 به R2 و سپس به R3 شود.

به این منظور وارد محیط پیکربندی روتر R1 شده و اینترفیس S0/0/1 را انتخاب کنید. سپس با دستور delay 5000 مقدار Delay را تا ۵۰۰۰۰ میکروثانیه افزایش دهید.

دقت داشته باشید که اگرچه در زمان اجرای دستور show interfaces مقدار Delay بر اساس میکروثانیه نمایش داده می شود ، اما برای تغییر آن بایستی آن را به صورت ۱۰ برابر میکروثانیه بنویسید. برای مثال ۵۰۰۰ ضرب در ده برابر میکروثانیه برابر است با ۵۰ هزار میکروثانیه. که در زیر خروجی دستور show interfaces را برای اینترفیس S0/0/1 مشاهده می کنید :

اکنون به تصویر اول که شماتیک کلی سناریو می باشد مراجعه نمایید. به نظر شما با توجه به اینکه به جز اینترفیس S0/0/1 از روتر R1 بقیه اینترفیس های سریال در سناریو تاخیر پیش فرض ۲۰ هزار میکروثانیه را دارا هستند ، کدام مسیر به سمت شبکه ۱۷۲.۱۶.۳.۰/۲۴ تاخیر بیش تری دارد؟

تاخیر در مسیر مستقیم : اکنون Delay برای اینترفیس S0/0/1 برابر با ۵۰ هزار و برای اینترفیس Gi0/0 روتر R3 قابل چشم پوشی است. بنابراین کل تاخیر را در مسیر مستقیم به سمت R3 برابر ۵۰ هزار در نظر بگیرید.

تاخیر در مسیر غیر مستقیم : اگر بسته بخواهد ابتدا به روتر R2 و سپس به روتر R3 ارسال شود در روتر R1 از اینترفیس S0/0/0 و در روتر R2 از S0/0/0 خارج می شود که هر دو دارای تاخیر پیش فرض ۲۰ هزار میکروثانیه هستند. همچنین مانند قبل تاخیر اینترفیس خروجی گیگابیت در روتر R3 ناچیز و قابل چشم پوشی است.

با توجه به دو پاراگراف بالا تاخیر مسیر مستقیم ۵۰ هزار و مسیر غیرمستقیم ۴۰ هزار است. بنابراین مسیر غیر مستقیم متریک برتر را خواهد داشت. ( چرا که از دید EIGRP تاخیر کم تری دارد! ) برای آزمودن درستی فرضیه مان ، یک بار دیگر دستور show ip route 172.16.3.1 را بر روی روتر R1 اجرا کنید.

مانند تصویر مشاهده می کنید که مسیر قبلی تغییر یافته است و اکنون برای رسیدن به روتر R3 بسته ها ابتدا باید از روتر R2 عبور کنند.

نحوه ی کانفیگ EIGRP برای IPv6 در اینترفیس های سریال روترهای سیسکو

Posted on دسامبر 11, 2021 by tilatel

EIGRP برای IPv6 بر روی اینترفیس راه اندازی می شود. بنابراین تمرکز اصلی بر روی نحوه پیاده سازی یا درواقع ساز و کار EIGRP بین اینترفیس های سریال در دو روتر متصل به هم می باشد. این نکته که EIGRP برای IPv6 نیاز به فعال سازی بر روی اینترفیس دارد به حدی اهمیت دارد ، که از آن به روش های مختلف و به دفعات سوال مطرح شده است.

سناریوی زیر را در نظر بگیرید :

در تصویر بالا ، آدرس های آی پی ورژن ۶ بر روی تمام روترها و کامپیوتر ها به صورت صحیح پیکربندی شده است. همچنین EIGRP برای IPv6 از قبل بر روی روتر R2 راه اندازی شده و Autonomous System آن برابر با ۱۰ است. قصد ما این است که این پروتکل را بر روی اینترفیس های روتر R1 نیز فعال کنیم. به این منظور و برای درک بهتر از شرایط سناریو ابتدا بخشی از خروجی دستور show ipv6 interface را بر روی روتر R2 به شما نمایش می دهیم :

مشاهده می کنید که آدرس Link-Local که با FE80 آغاز می شود و همچنین آدرس Global unicast address فعال هستند.( این آی پی ها بر روی اینترفیس گیگابیت نیز به همین منوال فعال هستند )

حال بخشی از خروجی این دستور را در روتر R1 مشاهده کنید : ( با نمایش این آدرس ها به دنبال بیان نکته مهمی درباره رفتار EIGRP برای IPv6 هستم که در ادامه ذکر خواهد شد )

جهت پیکربندی EIGRP وارد وضعیت Global Configuration شوید :

در وضعیت Global Configuration روتر با دستور ipv6 router eigrp 10 به روتر اعلام می کنیدکه قصد پیکربندی اینترفیس ها برای عضویت در Autonomous Number 10 پروتکل EIGRP را دارید. سپس به ترتیب وارد محیط پیکربندی اینترفیس های مورد نظرتان شده و با کامند ipv6 eigrp 10 این پروتکل مسیریابی را برای اینترفیس ها فعال کنید.

اما نکته مهم این است که بر اساس خروجی دستور show ipv6 interface اینترفیس های سریال متصل به هم دارای آی پی در یک ساب نت مشترک نیستند ! از این رو ، آیا انتظار می رود که در حال حاضر همسایگی EIGRP شکل گرفته باشد یا چنین چیزی امکان پذیر نیست؟! برای پاسخ به این سوال خروجی دستور show ipv6 eigrp neighbors را در ادامه بررسی کنید :

علی رغم اینکه آدرس های آی پی در یک ساب نت نبودند ، اما همسایگی شکل گرفته است. این یکی از تفاوت های اصلی EIGRP با EIGRP for IPv6 است. دلیل چنین عملکردی نیز استفاده از آدرس Link-Local برای ایجاد همسایگی به جای آدرس Global Unicast می باشد.

نحوه ی مانیتور کردن سوییچ های سیسکو با استفاده از نرم افزار SoftPerfect Switch Port Mapper

Posted on دسامبر 9, 2021 by tilatel

نرم افزار SoftPerfect Switch Port Mapper این قابلیت را به شما می دهد از وضعیت پورت های سوییچ اطلاع دقیقی پیدا کنید و بتوانید سوییچ را مانیتور کنید.برای اضافه کردن سوییچ ها به نرم افزار SoftPerfect Switch Port Mapper در ابتدا SNMP در سوییچ فعال کنید.

پیکربندی SNMPv2 در Cisco

مراحلی که در ادامه شرح داده می شود ، برای روترها و سوئیچ های سیسکو یکسان است و تفاوتی ندارد. با این وجود تصاویر تهیه شده از محیط پیکربندی Switch می باشد.

در ابتدا با استفاد از پروتکل Telnet به Switch یا Router مورد نظرتان متصل شوید. با نوشتن دستور enable وارد وضعیت فعال شوید.

دستور Configure Terminal را تایپ نمایید که وارد محیط Configuration شوید.

آن چنان که می دانیم ، SNMP نسخه دو در دو حالت Read-only و Read-write قابل استفاده است و برای هر کدام از این دو وضعیت می توانیم Community String جداگانه ای را تعریف نماییم.

جهت پیکربندی این مقدار در حالت Read-only از دستور زیر استفاده کنید.

snmp-server community techtik RO

در اینجا ما Public Community String را برابر techtik قرار دادیم. شما می توانیم به جای techtik کلمه مورد نظر خود را قرار دهید.

اضافه کردن Switch به نرم افزار SoftPerfect Switch Port Mapper

از محیط نرم افزار SoftPerfect Switch Port Mapper بر روی Manage Devices کلیک کنید.

در پنحره باز شده برای اضافه کردن دستگاه خود بر روی Add کلیک کنید.

در این پنجره add باید اطلاعات سوییچ را وارد کنید.
۱- در قسمت Host name باید IP سوییچ را وارد کنید.
۲- در قسمت SNMP Version بر روی حالت SNMPv2c قرار بدید.
۳- در قسمت Community String باید Community که در سوییج تعریف کردید را در اینجا وارد کنید.
۴- در قسمت Device Name یک نام بدلخواه وارد کنید.
۵- در آخر بر روی Test connection کلیک کنید تا مطمئن شوید که ارتباط برقرار است اگر ارتباط برقرار باشد اطلاعات سوییچ در یک پنجره جداگانه نمایش میدهد.

بر روی OK کلیک کنید.

برای اسکن سوییچ فقط کافیه بر روی Go کلیک کنید و سوییچ مورد نظر را انتخاب کنید تا سوییچ را اسکن کند که ۱دقیقه هم بیشتر طول نمیکشد.

سپس اطلاعاتی اعم از وضعیت پورت همانند روشن یا خاموش بودن پورت، سرعت، وضعیت Duplex، ، VLan, IP و …. نمایش می دهد.

اگر از سایت اصلی این نرم افزار را دانلود کنید تا ۱۰ پورت سوییچ بیشتر اسکن نمی کند و باید لایسنس تهیه کنید تا کامل پورت ها اسکن کند، اما در سایت های ایرانی حالا ماند soft98 می توانید نسخه کرک شده این نرم افزار را پیدا کنید تا کامل پورت ها اسکن کند.

نحوه ی نصب ESXi 6.5

Posted on دسامبر 9, 2021دسامبر 9, 2021 by tilatel

در این مقاله قصد داریم طریقه نصب ESXi 6.5 را به صورت گام به گام به شما آموزش دهیم. با ما همراه باشید:

همانطور که می دانید تکنولوژی مجازی سازی که در اینجا منظور تکنولوژی server virtualization است این امکان را مهیا میکند که بر روی یک سیستم فیزیکی (معمولاً سرور ) ، تعداد زیادی سیستم عامل را در قالب ماشین مجازی راه اندازی نماییم که این ماشین های مجازی را میتوان همزمان اجرا و استفاده نمود. بدین ترتیب تکنولوژی مجازی سازی باعث استفاده بهینه از منابع سخت افزاری سرور میشود.

ESXi 6.5 یکی از بهترین سیستم عامل هایی است که توسط Hypervisor موجود در خود ، امکان راه اندازی تکنولوژی مجازی سازی را در اختیار شما قرار میدهد.

ESXi را بنا به نیاز خود میتوانید در PC و یا Server و یا درون یک ماشین مجازی نصب نمایید.

در شبکه و در محیط های کاری مسلماً می بایست آنرا بر روی سرورهای فیزیکی نصب نماییم ، اما در محیط های آزمایشی و لابراتوار خود میتوانیم آنرا در PC و یا درون ماشین مجازی نیز نصب نماییم.

برای نصب ESXi 6.5 در سیستم خود ( PC و یا سرور و یا ماشین مجازی ) به source سیستم عامل ESXi نیاز داریم که این سورس در قالب یک فایل iso. میباشد و میتوانید آنرا از سایت های مختلفی دانلود نمایید.

نام این فایل در سیستم ما VMware-VMvisor-Installer-6.5.update01.iso میباشد .البته این فایل را ممکن است با نامی مشابه این نام نیز مشاهده نمایید :

VMware vSphere_Hypervisor (ESXi) 6.5.0 U1.iso

اگر قصد دارید ESXi را در یک سیستم فیزیکی ( PC و یا Server ) نصب کنید ، می بایست این فایل iso. را در یک DVD رایت نموده و در DVD-ROM سیستم خود قرار دهید. همچنین میتوانید توسط نرم افزاری همانند Rufus ، توسط فایل iso یک فلش bootable حاوی سیستم عامل ESXi ایجاد نموده و توسط این فلش USB سیستم را بوت نمایید.

اما اگر قصد دارید ESXi را برای مقاصد آزمایشی و در محیط تست و لابراتوار خود درون یک ماشین مجازی نصب نمایید ، مستقیما فایل iso. سیستم عامل ESXi را به عنوان DVD-ROM مجازی با ماشین مجازی خود معرفی خواهیم نمود.این فایل Bootable می باشد.ما در این مقاله آموزش نصب ESXi 6.5 ، آنرا را در قالب یک ماشین مجازی درون نرم افزار VMware Workstation 14 نصب و راه اندازی خواهیم نمود.

نکته: برای اینکه بتوانیم ESXi را به عنوان یک ماشین مجازی در VMware Workstation نصب کنیم حتما باید سخت افزار سیستم ما VTX را ساپورت نماید و سیستم عامل ما نیز ۶۴ بیتی باشد.

مراحل کار :

ابتدا نرم افزار VMware Workstation که در حال حاضر آخرین نسخه آن ۱۴ است را دانلود و نصب نمایید.نرم افزار را باز نموده و بر روی گزینه create a virtual machine کلیک نمایید

طبق شکل زیر گزینه custom را انتخاب کنید :

طبق شکل زیر گزینه workstation 14.x را انتخاب کنید :

در این صفحه فایل iso. را انتخاب می نماییم :

در این صفحه نام ماشین مجازی خود و محل قرارگیری فایل فولدرهای آنرا تعیین می نماییم. ما نام و محل را به صورت شکل زیر در نظر میگیریم :

در این مرحله تعداد processor ها و تعداد core ی که از هر processor به این ماشین مجازی تخصیص خواهد داد را انتخاب مینمایم.

انتخاب این موارد بسته به processor سیستم فیزیکی شما متفاوت است ، ما حالت پیش فرض را انتخاب می نماییم :

در این مرحله مقدار Memory که در نظر داریم از سیستم فیزیکی به این ماشین مجازی اختصاص یابد را تعیین می نماییم :

در این مرحله گزینه use host-only networking را انتخاب می کنیم :

برای مشاهده توضیحات کامل گزینه های موجود صفحه فوق به مجموعه ویدیویی آموزش نصب esxi ( ورژن 6.7 u1 ) مراجه نمایید.

در دو صفحه بعد به ترتیب گزینه های paravirtualized SCSI و SCSI را انتخاب می کنیم :

در این مرحله گزینه create a new virtual disk را انتخاب می کنیم :

اینجا بهتر هست حتما دکمه browse را بزنیم و محل فولدر خود ماشین مجازی را انتخاب کنیم :

در این مرحله بسته به نیاز خود و تعداد ماشین های مجازی که میخواهیم در این سرور ESXi ایجاد کنیم انتخاب می کنیم :

در این مرحله من بر روی customize hardware کلیک کرده و USB را حذف میکنم :

در مرحله آخر بر روی Finish کلیک میکنیم تا فرایند ایجاد این ماشین مجازی آغاز شود.

در این مرحله گزینه اول یعنی standard installer را انتخاب مینماییم :

فرایند نصب سیستم عامل ESXi 6.5 همانند فرایند نصب ESXi 6.0 می باشد.

در این صفحه سیستم بیان میکند که ESXi بر روی هر سخت افزاری قابل نصب نمی باشد و هر سخت افزاری را پشتیبانی نمیکند. به عنوان مثال برخی از برندهای کارت شبکه را پشتیبانی نمیکند و در صورت بروز چنین مطلبی ، قادر به استفاده از کارت شبکه سیستم خود نخواهید بود.

در لینک نشان داده شده لیست HCL یا Hardware Compatibility List وجود دارد که لیست سخت افزارهایی که ESXi از آنها پشتیبانی میکند وجود دارد.

در این صفحه دکمه F11 را میزنیم تا با EULA موافقت نماییم :

در این مرحله هارد دیسک سیستم ( در اینجا در واقع هارد ماشین مجازی ) که قرار است سیستم عامل ESXi بر روی آن نصب شود نمایش داده میشود.

در این مرحله انتخاب میکنیم که ESXi بر روی کدامیک از Storage های متصل به سیستم نصب شود. به صورت پیش فرض Storage از نوع DAS میباشد.

در این مرحله keyboard layout پیش فرض US را قبول می نماییم :

در این مرحله یک پسورد دلخوه بر روی ادمین ESXi که نام آن Root می باشد تعیین می نماییم. این پسورد می بایست حداقل ۷ کاراکتر داشته باشد.

در این مرحله سیستم به ما پیام میدهد که دکمه F11 را بزنید تا فرایند نصب شروع شود. توجه داشته باشید که سیستم پیام میدهد که هارد دیسک این ماشین مجازی فرمت و repartition خواهد شد و اگر اطلاعاتی در آن وجود دارد به کلی حذف خواهند شد. از آنجایی که این ماشین مجازی را به همین منظور ایجاد نموده ایم و دورن هارد دیسک آن اطلاعاتی وجود ندارد ، نگرانی وجود ندارد.

صبر میکنیم تا فرایند نصب سیستم عامل ESXi به اتمام برسد :

دکمه Enter را میزنیم تا سیستم reboot شود :

بعد از reboot شدن سیستم ،صفحه کنسول مدیریتی ESXi که DCUI نامیده میشود نمایش داده میشود.

در این محیط میتوان تنظیمات اولیه سرور ESXi از قبیل تنظیمات IP Address را انجام داد.

معرفی ویژگی Kerio Control HA

Posted on دسامبر 8, 2021دسامبر 8, 2021 by tilatel

همانطور که می دانید از ورژن 9.3 فایروال کریو کنترل ، ویژگی جدیدی به نام HA یا High Availability به آن اضافه شده است.

توجه کنید که این ویژگی HA ویژگی در خصوص خود کریو کنترل می باشد و هیچ ارتباطی با ویژگی Failover که در خصوص لینک های اینترنت در کریو کنترل است ندارد.

به اختصار ویژگی Kerio control HA این امکان را مهیا می کند که دو عدد کریو کنترل در لبه شبکه قرار دهید تا اگر زمانی کریو کنترل اول شبکه از کار افتاد ، کریو دوم وارد عمل شده و شروع به سرویس دهی نماید و بدین ترتیب سرویس دهی و پایداری امنیت ارتباطات شبکه با اینترنت تضمین شود.

در این سیستم کریو اصلی Master Appliance و کریو دوم Slave Appliance نامیده می شود.

در این ویژگی، میان دو کریو کنترل شبکه مان یک ارتباط active/passive ایجاد می شود. بدین معنی که در حالت عادی همیشه یکی از کریوها Active و در حال سرویس دهی می باشد و کریو دوم در حالت آماده بکار یا standby قرار می گیرد. حال اگر زمانی کریو کنترل اول از کار بیفتد ، کریو دوم وارد عمل شده و شروع به سرویس دهی می نماید.

ویژگی HA را میتوان هم برای نسخه های نرم افزاری کریو کنترل (software appliance) و هم برای نسخه های سخت افزاری (hardware appliance) کریو کنترل راه اندازی نمود.

توجه : برای راه اندازی ویژگی HA ، می بایست هر دو کریو کنترل از نظر مشخصات کاملاً یکسان باشند.

به عنوان مثال اگر appliance سخت افزاری هستند می بایست model number و version آنها دقیقا یکسان باشد.

و نیز اگر appliance نرم افزاری هستند می بایست ورژن آنها دقیقا یکسان باشد مثلا هر دو Kerio control 9.3 باشند.

نحوه راه اندازی ویژگی Kerio Control HA

جهت فعال سازی این ویژگی هر دو کریو کنترل را می بایست روشن و اجرا نمایید

در هر یک از کریوها به کنسول ادمین متصل شوید و در پنل سمت چپ بخش جدیدی به نام High availability وجود دارد :

در این بخش appliance ی که می خواهید به عنوان master باشد و نیز slave را تعیین می کنید

همچنین اینترفیسی که میخواهیم از طریق آن عملیات sync شدن تنظیمات میان این دو کریو کنترل انجام شود را انتخاب می نماییم :

در بخش device name می بایست اسامی متفاوتی را برای این دو appliance مشخص نمایید.

در بخش shared secret می بایست یک رمز مشترک جهت اعتبار سنجی میان دو کریو بابت فرایند sync تعریف نمایید

سپس در کادر پایین ، اینترفیس LAN کریو را انتخاب می نماییم

به هر یک از این دو اینترفیس LAN ، یک آدرس ip مجازی یا virtual ip اختصاص دهید. این آدرس ip به عنوان floating gateway به کلاینت ها معرفی می شود. یعنی default gateway که در پشت صحنه دو عدد کریو کنترل پشت آن قرار دارند.

توجه : هر دو ورژن ipv4 و ipv6 برای HA ساپورت می شوند.

اگر زمانی دیوایس master از کار بیفتد ، دیوایس slave مسولیت آن virtual ip را بر عهده می گیرد.

بعد از apply نمودن تنظیمات، فرایند sync اولیه میان کریو master و کریو slave آغاز می شود.

نتیجه فرایند synchronization را می توانید در فیلد status و Health check در تب High availability در هر دو appliance مشاهده نمایید.

برای اطلاعات بیشتر در خصوص Kerio Control HA می توانید صفحه معرفی ویژگی HA در سایت رسمی GFI را مشاهده کنید.

آشنایی با کاربرد Logon Script و Logon script در فایروال کریو کنترل

Posted on دسامبر 8, 2021مارس 27, 2022 by tilatel

در این مقاله قصد داریم کاربرد Logon Script و Logon script را در مباحث مرتبط با فایروال کریو کنترل آموزش دهیم.با ما همراه باشید:
در مباحث مربوط به کانفیگ کریو کنترل در شبکه، در سناریوهایی می توان بر اساس نیاز دو نوع اسکریپت به نام های Logoff script و Logon Script ایجاد و استفاده نمود.البته ایجاد و استفاده از این دو اسکریپت در شبکه به هیچ عنوان الزامی نمی باشد.

1) Logoff Script

در خصوص ارتباطات شبکه با اینترنت توسط کریو کنترل، یک سناریو ساده روزمره را در یک شرکت یا سازمان نظر بگیرید :
کاربری با نام User1 پشت یک سیستم قرار می گیرد و از پشت آن کامپیوتر وارد اینترنت می شود.
در نتیجه در کنسول کریو کنترل، در بخش Active Hosts مشابه تصویر زیر مشاهده می شود که کاربری با نام User1 از پشت کامپیوتری با نام PC1 ( و یا ip آن سیستم مثلاً 172.20.1.11 ) به اینترنت متصل شده است.

کاربرد Logon Script و Logoff Script در کریو کنترل

حال فرض کنید که پس از گذشت چند دقیقه، کاربر User1 کارش با سیستم و اینترنت تمام شده و از سیستم خود Log off می نماید و یا سیستم خود را خاموش می نماید.
مشکلی که در این مرحله وجود دارد این است که هنگام Log off نمودن کاربر از ویندوز، به صورت پیشفرض در محیط تنظیمات کریو کنترل هیچ اتفاقی رخ نمی دهد و و اصولا Log off نمودن کاربر از ویندوز، ارتباطی هم با کریو کنترل ندارد. لذا طبیعتاً به صورت پیشفرض کریو متوجه نمی شود که این کاربر ازویندوز Log off نموده است و ارتباط خود را با اینترنت قطع نموده است،
بنابراین در کنسول کریو در همان بخش Active Hosts همچنان مشاهده می شود که در سیستم PC1 ، کاربری به نام User1 همچنان به اینترنت متصل است!

حال یکی دیگر از کارمندان سازمان با نام User2 می آید و پشت همان سیستم قرار می گیرد و مرورگر را باز می نماید تا به اینترنت متصل شود، در این حالت کریو از این کاربر اطلاعات لاگین به کریو (Username & password اینترنت) درخواست نمی کند و لذا این کاربر جدید با استفاده از همان کانکشن کاربر قبلی و با اکانت همان کاربر قبلی به استفاده از اینترنت می پردازد !

ایراد این مطلب این است که تمام فعالیت هایی که این کاربر جدید (User2) انجام می دهد (تمام سایت هایی که باز میکند، کانکشن هایی که به محل های مختلف میزند و… ) همچنان به نام کاربر قبلی ثبت می شود! همچنین از حجم و سهمیه (Quota) اینترنت کاربر قبلی استفاده و مصرف می شود که همه اینها مشکلاتی را برای کاربر قبلی (User1) ایجاد خواهد نمود.

برای رفع این مشکل می توانیم اسکریپت خاصی به نام Logoff Script ایجاد و در محلی صحیح در Group Policy دامین قرار دهیم و راه اندازی نمایم.

Logoff Script در واقع یک اسکریپت یا batch file است که باعث می شود هنگامی که هر کاربر دامین، کارش با سیستم و با اینترنت تمام شده و از سیستم خود Logoff می نمایند، از داخل کریو کنترل نیز Logoff شود و کانکشن او با کریو قطع شود. لذا هنگامی که کاربر بعدی پشت همان کامپیوتر قرار می گیرد و می خواهد به اینترنت متصل شود، کریو اطلاعات لاگین و دسترسی به اینترنت را به صورت جداگانه از این کاربر جدید درخواست می نماید و وی می بایست اطلاعات ورود مجزای مربوط به خود را وارد نموده و جداگانه توسط کریو کنترل احراز هویت شود (بسیار عالی ! )
همچنین از این به بعد تمام فعالیت های اینترنتی که این کاربر جدید انجام می دهد، در لاگ ها و گزارشات به نام همین کاربر جدید ثبت می شوند و بدین شکل مسولیتی متوجه کاربر قبلی نخواهد بود و مشکل فوق رفع می شود.

با توجه به اینکه Logoff script مزایای مهم فوق را به همراه دارد و راه اندازی آن ایراد خاصی نیز ندارد پیشنهاد می کنیم این اسکریپت را به روشی که در زیر خواهید دید بر روی همه کاربران دامین اعمال نمایید.

نحوه ایجاد و استفاده از Logoff Script

در یک سیستم که تمامی کاربران شبکه از طریق شبکه با آن ارتباط داشته باشند ( مثلاً در file server و یا در خود دامین کنترلر ) ترجیحاً در ریشه یکی از درایوها یک فولدر ایجاد نموده و آنرا Share نمایید. ما جهت پیشگیری از پیچیدگی های غیر ضروری، در خود دامین کنترلر در ریشه درایو C فولدری با نام KerioScripts را ایجاد و share می نماییم و درون این فولدر دو عدد فایل text ایجاد نموده و طبق تصویر زیر اسم و پسوند آنها را Logoff.bat و Logoff.vbs تغییر می دهیم :

طبق تصاویر زیر داخل هر یک از این دو فایل کدهای زیر را وارد می نماییم ( توجه داشته باشید که شما در شبکه خود می بایست آدرس ip اینترفیس LAN کریو خود و همچنین آدرس ip دامین کنترلر شبکه خود را وارد نمایید ) :

آشنایی با کاربرد Logon Script و Logon script در فایروال کریو کنترل

همانطور که در تصویر زیر مشاهده می نمایید در ساختار شبکه تست ما، کاربر User1 و User2 درون OU به نام Staff (کارمندان) قرار دارند :

اما با توجه به اینکه راه اندازی Logoff Script مفید می باشد، پیشنهاد می کنیم آنرا در Policy که بر روی کل کاربران شبکه اعمال میشود تعریف نمایید، لذا تصمیم داریم این Policy را بر روی OU با نام All-People که حاوی اکانت تمام کاربران موجود در دامین (کارمندان معمولی ، مدیران، ادمین ها ، … ) است اعمال نماییم. لذا در کنسول Group Policy Management به مسیر زیر می رویم :

مطابق تصویر زیر در سربرگ Scripts ، دکمه Add را میزنیم و در کادر باز شده ، آدرس دقیق فایل Logoff.bat را با فرمت UNC path وارد می نماییم ( شما می بایست به جای srv-2019 اسم و یا آدرس ip سیستمی که فولدر مربوطه را درون آن Share نموده اید وارد نمایید ) :

نتیجه :

حال هنگامی که هر یک از کاربران دامین از سیستم خود Logoff می کنند، اسکریپت فوق (فایل Logoff.bat ) اجرا شده و طبق کد درون آن فایل Logoff.vbs و کدهای درون آن اجرا می شوند و باعث میشوند کاربر از کریو کنترل نیز Logoout شود.

2) Logon Script

قبل از اینکه به معرفی Logon Script بپردازیم ذکر این نکته الزامی است که Logon Script بر خلاف Logoff Script کاربرد چندانی ندارد و اصولاً استفاده از آن به دلایل امنیتی که توضیح خواهیم داد توصیه نمی شود.

Logon Script نوعی اسکریپت یا bath file است که توسط آن میتوان تنظیم نمود تا زمانی که کاربران در پشت سیستم خود به دامین لاگین می کنند، به صورت اتوماتیک و در پس زمینه، نام کاربری و پسورد آنها به کریو کنترل نیز ارسال شود و در نتیجه به کریو نیز لاگین شوند و دسترسی اینترنت آنها از همان لحظه برقرار گردد. این کار با استفاده از مکانیسم NTLM Authentication صورت می پذیرد.

سناریو :

فرض کنید در شبکه ای از ما درخواست می شود که برای برخی از کاربران (مثلاً مدیران ) تنظیمی انجام دهیم تا هنگامی که آن ها به سیستم خود لاگین می نماید، اطلاعات کاربری شان (Username & password) در پس زمینه و بدون دخالت کاربر به صورت اتوماتیک به کریو کنترل ارسال شود و آن کاربر به صورت اتوماتیک در کریو کنترل نیز احراز هویت شود و به این ترتیب کاربر از همان ابتدای ورود به ویندوز، به کریو کنترل هم لاگین نموده است. لذا هنگامی که این کاربر مروروگر خود را باز می نماید تا به اینترنت متصل شود، کریو کنترل هیچ پیام و درخواستی مبنی بر درج username و password به او نمایش نمی دهد و کاربر به راحتی و به صورت پیشفرض به اینترنت متصل می باشد.

بنابراین کاربرد اصلی این نوع اسکریپت را می توان برای کاربرانی محسوب کرد که نیاز دارند به محض لاگین به سیستم، به صورت اتوماتیک به اینترنت نیز متصل شوند و نیاز به وارد کردن مجدد اطلاعات ورود به اینترنت نداشته باشند.

نحوه ایجاد و استفاده از Logon Script

همانند سناریو قبل درون همان فولدر KerioScripts دو عدد فایل text دیگر ایجاد نموده و طبق تصویر زیر اسم و پسوند آنها اینبار را Logoon.bat و Logon.vbs تغییر می دهیم :

طبق تصاویر زیر داخل هر یک از این دو فایل کدهای زیر را وارد می نماییم ( توجه داشته باشید که شما در شبکه خود می بایست در فایل Logon.bat آدرس ip دامین کنترلر شبکه خود را وارد نمایید ) :

توضیح : کدهای اسکریپت فوق باعث می شوند که هر بار که این کابران در پشت سیستم لاگین می کنند، مرورگر پیشفرض سیستم کاربر در بک گراند یک کانکشن http به وب سایت دلخواهی که شما URL آنرا در این فایل درج نموده اید ایجاد کند و در در نتیجه کریو username و password درخواست نماید و با تنظیماتی که در ادامه مقاله خواهید دید تنطیمی می کنیم که username و passwordی که کاربر با آن لاگین نموده است به طور اتوماتیک در بک گراند به کریو ارسال شود و کاربر در پس زمینه Authenticate شده و به اینترنت متصل شود !

به این دلیل که می خواهیم این Policy فقط بر روی افراد خاصی (مثلاً مدیران ) اعمال شود، آنرا در GPO که بر روی OU مدیران اعمال می شود تعریف می نماییم :

این بار به قسمت Logon می رویم :

سپس طبق تصویر زیر در سربرگ Scripts دکمه Add را میزنیم و در کادر باز شده ، آدرس دقیق فایل Logon.bat را با فرمت UNC path وارد می نماییم ( شما می بایست به جای srv-2019 اسم و یا آدرس ip سیستمی که فولدر مربوطه را درون آن Share نموده اید وارد نمایید ) :

توجه : انجام دو مرحله اضافه دیگر نیز الزامی است

جهت راه اندازی Logon Script دو مرحله تنظیمات دیگر را نیاز می بایست به شرح زیر و در محل های دیگری انجام دهید، در غیر اینصورت Logon Script شما تاثیری نخواهد داشت.

1) انجام تنظیمات internet Explorer در GPO که بر روی کامپیوترهای مدیران اعمال می شود :

به این منظور در کنسول Group Policy Management به GPO-Managers-Computers را باز و ویرایش می نماییم :

به مسیر دقیق زیر مراجعه می نماییم :

Computer Configuration > Policies > Administrative Templates > Windows Components > Internet Explorer >
Internet Control Panel > Security Page > Internet Zone

بر روی گزینه Logon options دو بار کلیک نموده و گزینه Automatic Logon using current username and password را انتخاب می نماییم.

2) غیرفعال کردن Force SSL Secured Connection در تنظیمات کریو کنترل

در صفحه وب کریو کنترل نیز مطابق تصویر زیر در بخش Advanced Options، گزینه Force SSL secured connection (recommended) را غیرفعال نمایید:

توجه : غیرفعال کردن این گزینه باعث می شود که مرورگر این کاربران هنگام متصل شدن به کریو کنترل، هشدار website’s security certificate contains invalid information را نادیده بگیرد و در وافع مکانیسم NTLM Authentication حتی در شرایطی که سرتیفیکیت کریو برای سیستم کاربر شناخته شده و trusted نباشد ( به عنوانمثال سرتیفیکیت های Self-Signed ) انجام شود.

ضمناً نقطعه ضعف امنیتی دیگری که در این حالت وجود دارد این است که نام کاربری و پسورد کاربران به صورت plain-text و رمز نشده به کریو کنترل ارسال می شود . باید اطمینان داشته باشیم که در شبکه مان میان کاربران و کریو کنترل، ارتباط ایمن و کنترل شده باشد.

نحوه ی کانفیگ NAT در Kerio Control

Posted on دسامبر 6, 2021 by tilatel

همانطور که می دانید NAT (Network Address Translation) به معنای تبدیل یا اختصاص IP های خصوصی شبکه داخلی به IP عمومی برای ورود به شبکه جهانی و یا ارسال و دریافت اطلاعات از بستر اینترنت می باشد. به طور مثال، شما با استفاده از NAT خواهید توانست با داشتن تعداد کمی IP Public به تمامی کاربران شبکه LAN امکان ارتباط با شبکه های درون WAN را بدهید. برای استفاده از این امکان در کریو کنترل مراحل زیر را دنبال کنید.
• به Traffic Rules بروید.
• بر روی Rule ای که قرار است عمل NAT بر روی آن انجام شود (آن دسته از کاربران و یا IP هایی هستند که قرار است با WAN ارتباط داشته باشند)، بر روی قسمت Translation دابل کلیک نمایید.

• در پنجره ای که باز می شود شما میتوانید به چند صورت NAT را انجام دهید.

Source IP NAT Translation: این گزینه برای اتصال کاربران شبکه داخلی به اینترنت استفاده می شود. یعنی ارتباط کاربران گروه مد نظر با فایروال و سپس از فایروال به اینترنت و غیره. در این بخش چند گزینه وحود دارد:

Default Setting: که استفاده از این گزینه توصیه می شود. در این گزینه به صورت پیش فرض IP های داخلی شبکه به IP خروج از شبکه (Gateway) اختصاص داده می شود.
سپس شما می توانید برای بازدهی بیشتر از گزینه Perform Load Balancing per host یا Perform load balancing per connection استفاده کنید تا ترافیک بین خطوط خروجی شما (2 or more public IP addresses) تقسیم شود. تفاوت بین گزینه اول و دوم تنها در افزایش سازگاری (Compatibility) در مورد اول وافزایش بازدهی در مورد دوم خواهد بود.

Use specific outgoing interface: با انتخاب این گزینه Packet هایی که نیاز به NAT دارند تنها از یک لینک عبور داده می شوند و انتخاب کدام لینک عبوری، با شما خواهد بود.
نکته: دقت کنید که تیک Allow using of a different if this one becomes unavailable را انتخاب کنید. در غیر اینصورت در صورت قطعی اینترنت بر روی لینک انتخابی شما تمامی اتصالات به اینترنت قطع خواهند شد و کریو کنترل قادر نخواهد بود تا لینک را به Active interface دیگری Switch کند.

Use specific IP address: با انتخاب این گزینه می توانید NAT را برای IP آدرس خاصی در آن Rule اختصاص دهید. به عبارت دیگر در این قسمت باید Source IP مد نظر شما وارد شود.

Destination NAT: این گزینه که با نام Port Mapping نیز شناخته شده است، زمانی استفاده می شود که بخواهیم به فرد یا افرادی در خارج از شبکه LAN خود اجازه استفاده از سرویس های خاصی از داخل LAN را بدهیم. نمونه بارز Port mapping استفاده از خدمات وب سرور درون سازمانی برای کاربران خارج از سازمان خواهد بود.
نکته: با توجه به اهمیت بالای این موضوع از لحاظ Security لازم است در این بخش توجهات لازم به کار گرفته شود. یکی از مواردی که می تواند موثر باشد انتخاب سرویس های مشخص و حداقلی در Traffic Rule خواهد بود. برای یک FTP Server تنها سرویس FTP و برای یک Web Server تنها سرویس HTTP و HTTPS را انتخاب نمایید.

نمونه ای از Port Mapping در کریو کنترل
در این مثال دو وب سرور با IP آدرس های 192.168.1.100 و 192.168.1.200 به دو IP Valid کریو با IP آدرس های 195.39.55.12 و 195.39.55.13 اختصاص داده شده است. دقت کنید که تنها سرویس اجازه داده شده HTTP می باشد.

نحوه ی کانفیگ آنتی ویروس در Keri Control

Posted on دسامبر 6, 2021مارس 27, 2022 by tilatel

همانطور که می دانید کریو کنترل یکی از فایروال های محبوب مورد استفاده در شبکه های کوچک و متوسط می باشد.در کریو کنترل یک engine آنتی ویروس به صورت یکپارچه وجود دارد که با جلوگیری از ورود فایل های آلوده و ویروس ها به شبکه،تا حدی به حفظ امنیت شبکه کمک می کند.

ماژول آنتی ویروس کریو کنترل قبلا توسط کمپانی Sophos ارائه می شد اما مدتیست که به Bitdefender تغییر کرده است.

توجه: استفاده از ویژگی آنتی ویروس کریو کنترل و آپدیت کردن آن به صورت قانونی، نیازمند لایسنس مجزای مربوط به خود می باشد.
البته در نسخه های کریو کنترل که کاربران از سایت های ایرانی دریافت می کنند، معمولاً ماژول آنتی ویروس فعال می باشد

آنتی ویروس کریو کنترل توانایی اسکن کردن فایل هایی که توسط 4 پروتکل زیر از اینترنت دریافت می شوند را دارا می باشد :

HTTP, FTP, SMTP , POP3

شرایط و محدودیت های آنتی ویروس کریو کنترل

1- اسکن کردن آنتی ویروس فقط بر روی ترافیک رول هایی اعمال می شود که protocol inspector ی که آنتی ویروس کریو را ساپورت می کند، روی آن رول اعمال می شود.

2- فرایند اسکن و شناسایی ویروس ها در مورد ترافیک هایی که توسط پروتکل SSL/TLS تبادل می شوند قابل انجام نمی باشد،زیرا آنتی ویروس کریو نمی تواند چنین ترافیک هایی را رمزگشایی کند و آبجکت های دورن آن را تفکیک کند.

3- در خصوص اسکن هایی که کریو روی ایمیل ها انجام میدهد، کریو فقط فایل های ضمیمه attachment آلوده را حذف می کند،اما نمی تواند کل ایمیل را drop کند.

4- در خصوص ترافیک SMTP فقط ترافیک Incoming چک می شود ( مثلا ایمیل هایی که از اینترنت به شبکه داخلی ارسال می شوند)،
اما چک کردن ترافیک خروجی outgoing باعث بروز اختلالاتی می شود که در نهایت منجر به این می شود که ارسال ایمیل و تحویل آن به گیرنده با مشکل مواجه شود.

5- در خصوص ترافیک هایی که در آنها یک پورت غیر استاندارد به جای پورت اصلی پروتکل تعیین کرده باشیم،(مثلا پروتکل http با پورت 81 )، protocol inspector مربوط به آن پروتکل به صورت اتوماتیک اعمال نمی شود.در این صورت باید باید سرویس یا پروتکلی را تعیین کنیم که اجازه دریافت این ترافیک را توسط آن protocol inspector بدهد.

6- اگر در تنظیمات کریو کنترل، content rule های سخت گیرانه ای را اعمال کرده اید که دسترسی به سایت های زیادی را بلاک می کند،ابتدا باید اطمینان حاصل کنید که آنتی ویروس کریو می تواند به URL های زیر دسترسی داشته باشد :

bdupdate.kerio.com

bdupdate-cdn.kerio.com

اطلاعات بیشتر در خصوص content rule ها را می توانید در بخش Configuring the Content Filter مشاهده نمایید.

نحوه کانفیگ کردن آنتی ویروس کریو کنترل

برای مشاهده تنظیمات بخش آنتی ویروس کریو کنترل، در کنسول کریو در پنل سمت چپ بر روی بخش antivirus کلیک کنید.

نحوه ی کانفیگ آنتی ویروس در Keri Control

همانطور که در شکل زیر مشاهده می کنید، ماژول آنتی ویروس کریو به صورت پیش فرض هر 8 ساعت یکبار تلاش می کند تا دیتابیس خود را از طریق اینترنت آپدیت کند:

نحوه ی کانفیگ آنتی ویروس در Keri Control

نکته : در خصو آپدیت شدن دیتابیس آنتی ویروس کریو، اگر فرایند آپدیت شدن به هر دلیلی fail شود، اطلاعات مفصلی در قسمت error Logs ثبت می شود که می توان آنها را مطالعه و بررسی کرد.

همانطور که مشاهده می کنید SMTP Scanning آنتی ویروس کریو به صورت پیشفرض غیر فعال می باشد و اگر این گزینه را فعال کنید،همانطور که قبلاً اشاره کردیم ویروس اسکن فقط بر روی inbound connections به بیان دیگر ایمیل های دریافتی از خارج به داخل شبکه اِعمال خواهد شد.

نحوه ی کانفیگ آنتی ویروس در Keri Control

مطابق عکس فوق در بخش settings ، می توانیم تعیین کنیم که ماژول آنتی ویروس کریو فقط فایل هایی با ماکزیمم حجم مشخصی را دارند اسکن کند و فایل های حجیم تر را اسکن نخواهد کرد.

طبق تنظیمات پیش فرض این بخش کریو کنترل فقط فایل های تا حداکثر حجم 4096 کیلوبایت ( 4 مگابایت ) را اسکن می کند.

توجه داشته باشید که اگر این مقدار را افزایش دهید و کریو درگیر اسکن کردن فایل های حجیم شود،مقدار زیادی از ظرفیت پراسسور و فضای دیسک کریو درگیر این موضوع خواهند شدو ممکن است در عملکرد کلی کریو اختلال ایجاد شود و آن کانکشن به طور کامل قطع شود.

تنظیمات سربرگ سربرگ http, FTP scanning

نحوه ی کانفیگ آنتی ویروس در Keri Control

همانطور که در ابتدای این مقاله بیان کردیم ، آنتی ویروس کریو کنترل توانایی اسکن تبادلات 4 پروتکل زیر را دارد:

HTTP, FTP, SMTP , POP3

حال در خصوص فایل هایی که توسط دو پروتکل HTTP و FTP دریافت می شوند تنظیمات بیشتری در اختیارتان است که در این سربرگ مشاهده می نمایید و می توانید تعیین کنید که در مورد این دو پروتکل، آنتی ویروس کریو چه نوع object هایی را اسکن نماید.

کریو فایل های دانلودی را ابتدا درون یک فایل temporary درون دیسک خود به طور موقت ذخیره می کند،و آخرین سگمنت آن فایل را درون خود کش می کند و سپس عملیات ویروس اسکن را بر روی آن سگمنت انجام می دهد.
اگر ویروسی را تشخیص دهد، آن سگمنت آخر فایل را drop می کند و این باعث می شود که فایل ناقص به کلاینت تحویل داده می شود و کلاینت نمی تواند آن فایل را اجرا کند و بدین ترتیب ویروس درون فایل نیز اجرا نخواهد شد.

توجه : آنتی ویروس کریو فقط می تواند فایل آلوده را شناسایی کند و آنرا drop کند اما نمی تواند فایل آلوده را ترمیم کند و فایل سالم را تحویل دهد.

نکته 1 : در خصوص ترافیک هایی که در content rule مربوطه ، گزینه Skip Antivirus scanning را فعال کرده باشیم، ویروس اسکن انجام نخواهد شد.

نکته 2: اگر کلاینت ها با استفاده از extension هایی مانند download manager ها و یا download accelerator ها فایل ها را از اینترنت دریافت می کنند Full functionality ویروس اسکن تضمین نمی شود.

در صورت فعال کردن آپشن اول، زمانی که کاربر قصد دانلود فایل آلوده به ویروس را دارد، کریو کنترل یک ایمیل اطلاع رسانی به آن ایمیل آن کاربر ارسال خواهد کرد که در آن بیان شده است که ویروس کشف شده و به دلایل امنیتی کریو دانلود را متوقف کرده است.

برای اینکه کریو کنترل این ایمیل را بتواند ارسال کند، 3 بخش زیر باید به طور صحیح کانفیگ شده باشند :

1- کاربر برای اتصال به کریو authenticate شده باشد.

2- بر روی آن user account یک آدرس ایمیل صحیح وارد شده باشد.

3- یک SMTP Server برای ارسال این ایمیل ها کانفیگ شده باشد.

در زیر آن طبق تنظیم پیشفرض اگر کریو کنترل نتواند فایل دریافتی را اسکن کند ( مثلا به دلیل corrupted بودن و یا encrypted بودن و یا compress بودن و یا password-protected بودن آن فایل ) ، اجازه انتقال آن فایل را نمی دهد و آن فایل را deny می کند.

در قسمت پایین در بخش scanning rules ، تعدادی رول پیش ساخته در خصوص http & FTP Scanning وجود دارند :

این رول ها از بالا به پایین بررسی و اعمال می شوند.مطابق رول آخر ، در خصوص دانلود فایل هایی که با هیچیک از رول های موجود match نشوند، کریو آن فایل ها را اسکن نخواهد کرد.توسط ساخت rule هایی می توانید تعیین کنید که آنتی ویروس کریو ، چه نوع فایل ها و extension هایی را اسکن نماید
و یا چه نوع فایل هایی را از اسکن کردن مستثنی نمادید.مثلا توسط ساخت یک Rule می توان تعیین کرد که آنتی ویروس کریو Audio files و یا video files را اسکن نکند.

توجه : مطابق عکس زیر هنگام ساخت رول جدید می توان رول را بر اساس یکی از این 4 نوع پارامتر تعریف نمود :

نحوه ی کانفیگ آنتی ویروس در Keri Control

در تصویر زیر مثال هایی را در خصوص نحوه استفاده از هر پارامتر مشاهده می نمایید :

توجه : در این بخش اگر رولی را با استفاده از پارامتر MIME Type و یا URL بسازید و در آن از کاراکتر Asterisk یا همان * استفاده کنید ، آن رول بر روی تمام object های http اِعمال خواهد شد.

تنظیمات سربرگ Email Scanning

در سربرگ Email Scanning تنظیمات بیشتری را در خصوص اسکن نمودن ایمیل ها توسط ماژول آنتی ویروس کریو می توان انجام داد.

با فعال کردن گزینه اول، در صورتی که کریو در ایمیل ورودی به شبکه، ویروسی را تشخیص دهد، عبارتی دلخواهی که شما تعیین می کنید مثلاً **Virus** را به قسمت subject ایمیل اضافه می کند.

مطابق عکس فوق در کادر بعدی TLS connections اگر تیک گزینه را حذف کنید باعث می شود که کریو اجازه دریافت ایمیل هایی که توسط پروتکل TLS رمزنگاری شده اند را نخواهد داد.

توجه : این گزینه حتی اگر ماژول آنتی ویروس کریو را غیرفعال کرده باشید تاثیر خود را اعمال خواهد کرد.

در کادر آخر تعیین می شود که اگر آنتی ویروس کریو نتواند فایل ضمیمه Attachment ایمیل ها را به هر دلیل ( ازجمله corrupted شدن و یا encrypt شدن فایل ضمیمه ) اسکن کند، آن فایل attachment را از ایمیل حذف خواهد کرد و یا اجازه تحویل آن فایل را به گیرنده خواهد داد.

چگونگی متصل شدن kerio Control به Active Directory

Posted on دسامبر 5, 2021دسامبر 5, 2021 by tilatel

برای کنترل بهتر کاربران و تمرکز کاری، بهترین راه حل این است Kerio Control را به Active Directory شبکه خود متصل کنید تا مدیریت کاربران آسان تر خواهد شد.

برای اتصال Kerio Control به دومین کافیست از پنل سمت چپ وارد قسمت Domain and user Login شوید.سپس از سربرگ Directory Services شوید و بر روی گزینه Join Domain کلیک کنید.

در پنجره باز شده در قسمت Domain name نام دومین شبکه را وارد کنید.
در قسمت Kerio Control server name می توانید یک نام به دلخواه برای سرور Kerio Control در نظر بگیرید.
در قسمت Username و Password نام کاربری و رمز عبور دومین را وارد کنید.

در صورتی که Kerio Control نتواند دومین شبکه را پیدا کند از شما در خواست می کند که IP آدرس دومین شبکه را وارد کنید.
سپس بر روی Next کلیک کنید.

زمانی که Kerio Control بتواند با موفقیت به دومین شبکه متصل شود پیغام Successfully را نمایش می دهد.

حالا توانستید Kerio Control را به دومین متصل کنید.
برای اینکه مطمئن شوید Kerio Control کامل به دومین شبکه متصل شده است در همین صفحه در بالای صفحه چراغ سبزی را مشاهده می کنید که به منظور عضو بودن کریو به دومین شبکه می باشد.
یا اینکه می توانید در پایین صفحه در بر روی Test Connection کلیک کنید و وضعیت اتصال کریو را چک کنید.

هر زمانی هم که بخواهید اتصال Kerio Control را از دومین شبکه قطع کنید کافیست بر روی Leave Domain کلیک کنید.

سپس از شما درخواست نام کاربری و پسوردی که در هنگام اتصال کریو به دومین وارد کرده بودید را درخواست دارد.
در آخر بر روی Next کلیک کنید تا کریو از دومین شبکه خارج شود.

بهین ارتباط هوشمند

برچسب: اموزش انلاين سيسکو

کاربرد پورت SFP در سوئیچ

عبارت Combo SFP Port بر روی سوئیچ من به چه معناست؟

XFP و SFP+

معرفی پروتکل PPP

PPP یا Point to Point Protocol

PPP Authentication

نحوه ی کانفیگ Unequal Load-Balancing برای پروتکل EIGRP در روتر سیسکو

نحوه ی تغییر مسیر EIGRP با استفاده از Delay در روتر سیسکو

نحوه ی کانفیگ EIGRP برای IPv6 در اینترفیس های سریال روترهای سیسکو

نحوه ی مانیتور کردن سوییچ های سیسکو با استفاده از نرم افزار SoftPerfect Switch Port Mapper

پیکربندی SNMPv2 در Cisco

اضافه کردن Switch به نرم افزار SoftPerfect Switch Port Mapper

نحوه ی نصب ESXi 6.5

معرفی ویژگی Kerio Control HA

نحوه راه اندازی ویژگی Kerio Control HA

آشنایی با کاربرد Logon Script و Logon script در فایروال کریو کنترل

1) Logoff Script

نحوه ایجاد و استفاده از Logoff Script

2) Logon Script

سناریو :

نحوه ایجاد و استفاده از Logon Script

توجه : انجام دو مرحله اضافه دیگر نیز الزامی است

نحوه ی کانفیگ NAT در Kerio Control

نحوه ی کانفیگ آنتی ویروس در Keri Control

چگونگی متصل شدن kerio Control به Active Directory