Transparent Cisco IOS Firewall(ترجمه فارسی بزودی در همین وبلاگ)

Transparent Cisco IOS Firewall

Cisco IOS routers can be configured as a layer 2 bridges, this means that you can configure two or more interfaces to be in the same layer 2 domain and that traffic will be switched instead of routed. Another feature that has been added since IOS 12.3(7)T is the transparent Cisco IOS Firewall. This allows traffic filtering and stateful inspection using CBAC for the layer 2 bridge.

When you configure the router as a transparent firewall it will not do any routing and will only learn the MAC addresses on the interfaces and switch frames between the interfaces. The advantage of a transparent firewall is that you can place it at any location in your network without having to change any IP addresses or networking settings like default gateways.

To demonstrate this feature I will use the following topology:

 

پیکربندی Zone Base Firewall(ترجمه فارسی بزودی در همین وبلاگ)

Zone Based Firewall Configuration Example

Zone Based Firewall is the most advanced method of a stateful firewall that is available on Cisco IOS routers. The idea behind ZBF is that we don’t assign access-lists to interfaces but we will create different zones. Interfaces will be assigned to the different zones and security policies will be assigned to traffic between zones. To show you why ZBF is useful, let me show you a picture:

جمع آوری آمارهای Rmon روی سویچ های سیسکو

اغلب مهندسان شبکهبا این مجموعه آشنایی دارند و از Alarmها و Eventهای آن برای مانیتور کردن مواردی همچون میزان بار Cpu ، میزان ترافیک بسته ها روی یک اینترفیس خاص و موارد دیگر استفاده می نمایند. سویچ های سیسکو ویژگی های زیادی از Rmon  را در اختیار شما قرار می دهد تا بتوانید اطلاعات وسیعی از بسته های رسیده روی اینترفیس های سویچ خود جمع آوری کنید.برای شروع می توانید آن را در یکی از دو حالت زیر فعال نمائید:

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#rmon ?

  collection   Configure Remote Monitoring Collection on an interface

  native       Monitor the interface in native mode

  promiscuous  Monitor the interface in promiscuous mode

 

استفاده از Conditional Debug روی IOS روترهای سیسکو

   

Conditional Debug گزینه بسیار مفیدی برای فیلتر اطلاعات Debug  روی یک روتر فعال می باشد که به شما اجازه می دهد که تنها اطلاعات مربوط به یک interface ، mac address ، username و موارد موردنیاز دیگر را مشاهده کنید. برای نمایش این ویژگی در مثال ذیل  از روتری با پروتکل RIP استفاده می نماییم این پروتکل روی هر دو interface روتر فعال می باشد :

 

ساخت Snapshot از پیکربندی روتر ها و سویچ ها سیسکو

ساخت Snapshot از پیکربندی روتر ها و سویچ های سیسکو بوسیله ویژگی Archive  و Rollback  

روتر ها و سویچ های سیسکو قابلیت ساخت Snapshots از پیکربندی خود را بوسیله دستورarchive دارند. سیسکو این snapshot ها را configuration archive  می نامد که به شما اجازه می دهد چند نسخه از پیکربندی سویچ یا روتر خود را روی حافظه ذخیره نمایید و این می تواند برای شما بسیار مفید باشد.

Configuration archive  می تواند هر زمان که شما running configuration را ذخیره می نمایید ساخته شود و یا می توانید آن را بصورت دوره ای زمانبندی نمایید مثلا هر 24 ساعت یا بیشتر.

زمانی که شما چند snapshot دارید می توانید با دستور show  تفاوت بین config  ها را ببینید و براحتی آنها را به نسخه قبلی بازگردانید.(Rollback)

  ...