المشاركة الأصلية كتبت بواسطة MaaM
أخي MaaM
لو إشتغلنا على Dynamips عز الله ما فيه سكيوريتي
ولو أمر من Advance Commands راح يدعمه ولا سيموليشن ولا ايميوليشن
الله يعين بس
تقريبا نفس الشي لما تحط enable secret command
كلها مشفره
يعني مو هذيك الخطوره على الشبكه لأنك أساسا راح تكون الاجهزه phisacly Secure
أحلى تحيه
أخي MaaM
لو إشتغلنا على Dynamips عز الله ما فيه سكيوريتي
ولو أمر من Advance Commands راح يدعمه ولا سيموليشن ولا ايميوليشن
الله يعين بس
السلام عليكم ورحمة الله وبركاته
لو تسمحولى احب اشترك معاكم
مبدئيا احب اضيف نقطتين فى جزء السكيورتى
1- نمنع http access
2 - نعمل acl على ال vty
ولى عودة باذن الله
( اللهم انفعنا بما علمتنا وعلمنا ما ينفعنا )
( اللهم صلى وسلم على سيدنا محمد وعلى أله وصحبه أجمعين )
previously Mr Mac
حياك ربي ياستاذ
MR MAC
بانتظارك
أخي العزيز Mr Mac
ياريت تكتب الاوامر كلها حق النقطتين اللي ذكرتها عشان في الاخير نجمع كل شي في ملف Pdf
على شكل نقاط
أحلى تحيه
أما بالنسبه Port Security عندي ملاحظه على وضع الـــ Violation
لو نخلي الـــ Default اللي هو Shutdown أو نخليه Restrict أفضل
أما protect ترى أسوء شي والامر يعود لك
يالغالي ممكن تشرح الاوامر هذه ايش تسوي
كود:S(config-if)#switchport mode access S(config-if)#switchport port-security S(config-if)#switchport port-security maximum 1 S(config-if)#switchport port-security violation restrict S(config-if)#switchport port-security mac-address sticky
S(config-if)#switchport host
أتوقع هذا الامر جديد على كثير منكم
بس تراه أمر حلوا جدا يسوي لك 3 وظائف بإختصار وهي
mode Access
PortFast
Channel port will be disable[/CODE]
كذلك ممكن تشرح اخر وظيفتين يالغالي
وفيه نقاط كثيره جدا حاب أتكلم عنها بس أخلي المجال لغيري وإنشاء الله أني أديت المطلوب مني على أكمل وجه نستنى الــــ
Next Step EN. Wobooo [/QUOTE]
الله يعطيك الف عافيه على هذا لجهد وناطرين القادم
نعم اخي الفاضل الية توزيع الايبي على حسب المستخدمين في المبنى فانفرض مثل عندنا في مبنى يوجد 3 معامل كل معمل يوجد 20 كرسي اذا احدد 60 تقريبا ايبي ل SUBNET معينه
وهكذا اذا كان مبنى يوجد فيه ادارات مختلفه اشوف عدد الموظفين مثلا 14 اضع لهم تقريبا 20 ايبي لSUBNE معينه
وكذا
هل هذا المطلوب ياستاذي من استفسارك ولا مازال السؤال لم تصل اجابته ؟
شوف يا اخي الفاضل
طبعا بعد اذن الاخ تركي كاتب هذه الاوامر اللي اكيد هو اقدر مني وخصوصا بعد ال SND:D
حابب اشرح مجموعة الاوامر الاولى:
S(config-if)#switchport mode access
iهذا الامر يخلي البورت اللي انت محدده يعمل في ال Access Mode و يستخدم لما يكون متوصل مباشرة بجهاز End User زي الكمبيوتر او الطابعة مثلا.
الاختيار التاني غير access هو Trunk ويسخدم عندما توصل هذا البورت بسويتش اخر.
S(config-if)#switchport port-security
ده كده عشان تعرف البورت ده انك هتبدا تعمل له حماية.
S(config-if)#switchport port-security maximum 1
ده معنا ان اقصى عدد من الاجهزة ممكن توصله على هذا البورت هو واحد فقط وده بيكون عن طريق معرفة السويتش للMAC بتاع هذا الجهاز وده بيكون الاختيار ال Default يعني حتى لو ماكتبتهوش هيعتبر عدد الاجهزة واحد وبالطبع انت ممكن تغير عدد الاجهزة حسب اخنيارك.
S(config-if)#switchport port-security violation restrict
ده بيخليك تحدد الاجراء اللي انت عايزه يحصل لو حد تعدى على هذا السويتش اي ان هذا السويتش لم يتعرف على ال MAC بتاع الجهاز اللي انت وضعته و بالتالي هذا الجهاز غير مصرح له ان يتعامل مع هذا السويتش.
هنا الاجراء المتبع هو Restrict وهو يعمل تماما كالاختيار Protect وهو انك لما توصل جهاز غير مصرح به لهذا البورت فبكل بساطة السويتش هيعمل انه مش شايفه خالص واي تغير هتحاول تعمله مش هيتطبق على السويتش. بس الامر الاول يزيد عن التاني فقط غي انه يعلمك بطريقة ما ان هناك من يحاول التعدي على هذا البورت.
الاجراء ال Default لهذا الامر هو Shutdown وهو يقوم بغلق الجهاز المعتدي المتصل بهذا البورت الى ان تاتي انت كمدير وتعمل للجهاز no Shutdown وهو اقوى و اكفأ اجراء لانه ببساطة هيجبر صاحب الجهاز المعتدي انه يقول لك على اللي حصل وبالتالي انت هتعرفه .
وبعدين بقى تعاقبه انت بطريقتك واحسن عقاب اكيد هو الخصم من المرتب.:D
بس انا مش عارف ليه اخ تركي ما استخدمش هذا الجراء؟؟؟؟:confused:
S(config-if)#switchport port-security mac-address sticky
هذا الامر يمكنك من وضع الجهاز (MAC address) اللي انت عايزه تديله صلاحية انه يعمل على هذا البورت وانت بتكون محدد عددهم من الاول بالامر (maximum) وهذا له اختيارين:
اما ان تضع ال MAC مباشرة لو انت عارفه وهذا بالتاكيد فيه بعض الصعوبة.
او الامر Sticky وهو يقوم اتوماتيكيا بمعرفة ال MAC للاجهزة الموضوعة في البورتات لحظة كتابتك لهذا الامر, لهذا يجب عليك الحذر وا لتاكد من ان الاجهزة المتوصلة وانها هي التي تريد ان يصرح لها لاستخام البورت,
وبعد معرفة ال MAC يقوم السويتش بحفظها عنده في الذاكرة وتكون هذه العناوين فقط هي المصرح لها.
اتمنى ان يكون شرحي للاوامر واضح وسهل.
ماشاء الله تبارك الله عليك أخي Eng.MagoooD
كفيت ووفيت
أخي العزيز أنا على فكره ما أحب الا هذا الـــ Default وهو Shutdown بس كان مطلوب مني Protect قلت Protect مو كويس هذا شبيه ليه بس يرسل Notification أو إعلام للـ Adminالاجراء ال Default لهذا الامر هو Shutdown وهو يقوم بغلق الجهاز المعتدي المتصل بهذا البورت الى ان تاتي انت كمدير وتعمل للجهاز no Shutdown وهو اقوى و اكفأ اجراء لانه ببساطة هيجبر صاحب الجهاز المعتدي انه يقول لك على اللي حصل وبالتالي انت هتعرفه .
وبعدين بقى تعاقبه انت بطريقتك واحسن عقاب اكيد هو الخصم من المرتب.
بس انا مش عارف ليه اخ تركي ما استخدمش هذا الجراء؟؟؟؟
إخترته لأنه أقرب واحد للكان مطلوب مني
ممكن الــ Admin مايبغى بورت يكون Shutdown نهائيا >>>> لحاجت في نفسه هو حر ههههه
1- no ip http server command from configuration mode to disable accessing router from http browser .
Defaults
This feature is automatically enabled on Cisco 1003, Cisco 1004, and Cisco 1005 routers that have not yet been configured. For Cisco 1003, Cisco 1004, and Cisco 1005 routers that have already been configured, and for all other routers, this feature is disabled.
For more information https://www.cisco.com/en/US/docs/ios...html#wp1020224
2- Create ACL to secure vty lines
R1(config)# access-list 1 permit 10.0.0.1 0.0.0.0 // change the ACL as you like
R1(config)#line vty 0 ?
<1-15> Last Line number
R1(config)#line vty 0 15
R1(config-line)# access-class 1 in
معلش يا جماعة انا عايز اقو لحاجة بسيطة جدا
الاخ لوبكيت
لازم تراجع شرح المهندس محمد سمير فى السويتشينج والمهندس ياسر فى اكسس ليست
انا مكنتش اعرف حاجة خالص والحمد لله كل الى قالوه فى الرد عليك انا الحمد لله عارفه من شرحهم
علشان مينفعش يكون واحد مدير شبكة مثلك ميكونش عارف الاوامر الى انت سالت عليها
ده من اجل مصلحتك والله وما تاخد الامر بصورة شخصية
الاستاذ محمد سمير منزل من الحلقة 14 الى 20 فى السويتشينج يعني العملية كلها 4 ساعات وهتكون ممتاز والحمد لله
والمهندس ياسر عامل حلقة فى اكسس ليست ساعة تقريبا
يعني يوم واحد وان شاء الله تكون ممتاز
مشاءالله تبارك الله اخي الفاضل شرح ولا اروع قمة في التميز والوضوح شكرا لك وماقصرت
وعندي استفسار لا هنت.
1:لنفرض عندي سوتش في vlan2 مثلا وجا جهاز في فيلان 3 شبك في بورت السوتش تبع الفيلان 2
هلا راح يكون الجهاز الان يتبع الفيلان 2 ولا يبقى تبع الفيلان السابقه 3
الشي الاخر كيف انا اقدر امنع اي شخص انه مثلا لو نقل جهازه من مكتبه في اداره معينه وانتقل الي اداره اخرى وشبك في السوتش اريد السوتش يرفض قبوله
هل التحكم هذه يتم من خلا ل امر في السوتش ولا من سيرفر dhcp
الشي الاخير
ياسيدي ماهو الامر الذي من خلاله استطيع اعرف التالي:
يعني مثل انا داخل على السوتش اوكيه اريد اعرف ايبي الجهاز الذي شابك في البورت f4/3
مع العلم اني اعرف السوتش لايتعامل الا مع mac address فقط
لكن هل استطيع اعرف الايبي من خلال الماك
كذلك العكس جهاز في موقع اريد اعرف ماهو رقم البورت الذي شابك عليه في السوتش
بدون الذهاب الي رؤية تسمية الكيبل ,اريد اعرف الاجابه وانا جالس في المكتب
اتمنى وصلت الفكره
الله يجزاك خير اخي الفاضل على النصيحه الطيبه
لا عادي كلامك مايزعل ولا حاجه بل يدل على نصيحه قيمه الهدف منها مصلحتي
لذلك اكن لك فائق الاحترام
واوعدك راح اتابع المواضيع التي ذكرت
وياليت بس تحدد لي وين روابط الموضوع بس
مع العلم راح ابحث الان
وشكرا لك يالغالي
أخي العزيز بالنسبه لسؤالككود::لنفرض عندي سوتش في vlan2 مثلا وجا جهاز في فيلان 3 شبك في بورت السوتش تبع الفيلان 2 هلا راح يكون الجهاز الان يتبع الفيلان 2 ولا يبقى تبع الفيلان السابقه 3
أكيد راح يكون الجهاز تابع لمنفذ السويتش اللي أنت شابكه فيه يعني
اذا البورت انت أعددته ليكون تبه VLAN3 فأكيد راح يكون الجهاز تبع Vlan3
بس ماراح يعمل لأنه راح يكون فيه غلط في الــ IP لأن كل VLAN لها Different Subnet
هذا خاص بالسكيورتي شوي أنا راح أقول وفيه ألف طريقهكود:الشي الاخر كيف انا اقدر امنع اي شخص انه مثلا لو نقل جهازه من مكتبه في اداره معينه وانتقل الي اداره اخرى وشبك في السوتش اريد السوتش يرفض قبوله هل التحكم هذه يتم من خلا ل امر في السوتش ولا من سيرفر dhcp
أنت البورتات اللي مو شغاله على السويتش من الافضل إضافتها إلى VLAN غير مستخدمه ثم عمل لها Shutdown
يعني لنفترض أن في الـــ Switch أربع منافذ غير مستخدمه
نقوم بإنشاء VLAN جديده مثلا VLAN 999 ونضيف هذي الاربعه المنافذ الى هذي الــ VLAN ثم نعمل لها Shutdown ونغلقها
أنت أكيد يدور في رأسك سؤال اللحين>>>> راح تقول راح يفصل جهاز من السويتش ويضع جهازه مكانه صح
أخي لو أنك مطبق الــ Security 100/100 راح تكون مطبق الاوامر هذي على المنافذ الشغاله وهي :/
S(config-if)#switchport port-security
S(config-if)#switchport port-security maximum 1
S(config-if)#switchport port-security violation restrict
S(config-if)#switchport port-security mac-address sticky
أتوقع شرحهم موجود في الرد اللي قبل الله يخلي Eng.MagoooD
وبكذا مايقدر يعمل أي شي أبدا لو يشبك جهازه في خشمه ويحط إصبع رجله في البورت حق السويتش >>>تخيلوا الشكل معي ههههه
show mac-address-tableكود:ياسيدي ماهو الامر الذي من خلاله استطيع اعرف التالي: يعني مثل انا داخل على السوتش اوكيه اريد اعرف ايبي الجهاز الذي شابك في البورت f4/3
أحلى تحيه
Any Service, Just Let Me Know
ضوابط المشاركة
المفضلات