سیاست ها و policy  ها روی سوئیچ استاندارد در VMWare

سیاست ها و policy  ها روی سوئیچ استاندارد در VMWare

 سیاست ها و policy  ها روی سوئیچ استاندارد در VMWare

 در حوزه سیاست ها و Policy های موجود روی سوئیچ های استاندارد این قابلیت ها را به سه دسته تقسیم

میکنیم :

سیاست ها و policy  ها روی سوئیچ استاندارد در VMWare

  • Security

  • Traffic Shaping

  • NIC Teaming

در بحث قبل که در مورد کانفیگ سوئیچهای استاندارد بود اشاره کردیم که میتوانیم این کانفیگ ها را هم در سطح

سوئیچ هم در سطح port group  انجام دهیم اما باید بدانیم که کانفیگ در سطح port group  به کانفیگ در سطح

سوئیچ الویت دارد .

در مورد اعمال سیاست های اشاره شده نیز وضع به همین منوال خواهد بود یعنی در مورد security  هم این گزینه

را در سوئیچ داریم هم در سطح Port group ودر مورد Traffic Shaping  و NIC Teaming نیز همینطور است که

میتوانیم در سطح سوئیچ یا در سطح port group تنظیمات لازم را انجام دهیم . اما چنانچه تنظیماتی در سطح port

group انجام دهیم این تنظیمات بر تنظیمات تحت سوئیچ الویت دارد.

بحث را با security  شروع میکنیم. میخواهیم ببینیم سوئیچی که کانفیگ کردیم از نظر security  چه قابلیتهایی دارد

ویا چه قابلیتهایی را میتوان روی آن کانفیگ کرد .

در حوزه امنیت زمانیکه روی سوئیچ یا Port group  گزینه Edit Setting  را بگیریم گزینه ای با نام security  وجود

دارد که دارای تنظیمات پیش فرضی میباشد که به تشریح آنها میپردازیم .

سه سیاست امنیتی روی سوئیچ استاندارد:

  • Promiscuous mode

  • MAC Address Change

  • Forged Transmit

هر کدام از این Modeهای ذکر شده در بالا دارای تنظیماتی پیش فرض می باشند .حال به بررسی Promiscuous

 می پردازیم .

تنظیم پیش فرض در promiscuous mode =REJECT است .

این بدین معنی است که اگر به port group  یا سوئیچی که بصورت reject تنظیم شده است است وصل شوید ،

امکان capture کردن هیچ  frame ی از سوئیچ نمی باشد . در واقع بصورت پیش فرض این گزینه امکان  دریافت

ترافیک در سطح سوئیچ را که بر روی  vlan های مختلف عبور میکند را از ما میگیرد .یعنی حتی اگر بخواهیم با

ابزارهای مانیتورینگ خاصی ترافیک روی سوئیچ را داشته باشیم این امکان وجود ندارد. بطور مثال اگر لازم داشته

باشیم به یک  port group خاصی مانیتورینگ خاصی وصل کرده و بدانیم  چه خبر روی vlan  های موجود است باید

سیاست reject  را به سیاست Accept تغییر دهیم .

اما دو سیاست دیگر در حوزه امنیت یکی MAC Address Change  و دیگری Forged Transmit نیز دو سیاست

بازدارنده ای هستند که عملکردشان را موقعی نشان میدهند که   MAC Address سیستمی که به آن  Port group

یا به آن سوئیچ متصل است تغییر نماید  . یعنی بار اول که سوئیچی را به سیستمی متصل میکنیم این سوئیچ با

 یک MAC Address خاصیی برای این سیستم قابل شناسایی می باشد . میتوانیم روی port group  یا سوئیچ

سیاستی را تنظیم کنیم که اجازه تغییر MAC Address را به آن سوئیچ ندهد . یعنی چنانچه MAC  این سوئیچ نسبت

به مقدار اولیه آن که قبلا تحت آن شناسایی میشد ؛  تغییر کرد  سوئیچ یا Port group چه رفتار بازدارنده ای انجام

دهد.

رفتارهای بازدارنده :

  • MAC Address Change

در این روش ؛ ترافیک های ورودی  به آن ماشین مجازی یا آن سوئیچی که مقدار MAC    آنها تغییر کرده است را     block  مینماید

  • Forged Transmit

در این روش ترافیک های خروجی یا OUTBOUND یا بعبارتی ترافیک هایی که از این ماشین مجازی یا از این سوئیچ

در حال خارج شدن است راچک کرده و اگر MAC آن تغییر   کرده باشد آن را block مینماید .

برای انجام این سیاست میتوان هر دوحالت را تنظیم کرد نتیجتا سوئیچ هایی که MAC آنها تغییر کرده باشد نه اجازه

ورود  داشته و نه اجازه خروج .

میتوان یک طرفه این سیاست را اعمال نمود . بطور مثال روی سوئیچ تنظیم کنیم که هیچ ترافیکی خارج نشود ولی

اجازه بدهیم که ترافیک را دریافت کند . در حال پیش فرض اجازه تغییر MAC  را میدهند ولی اگر نمیخواهیم اجازه

دهیم که MAC تغییر کند باید در mode Reject  قرار دهیم .

در MAC Address Changing  ، وردی را چک میکند و اگر MAC address تغییر کرده باشه اجازه ورود نمیدهد.

در Forged Transmit خروجی را چک میکند  واگر MAC Address تغییر کرده اجازه خروج را می گیرد .

در قسمت Traphic Shaping  ،

قبلا اشاره کردیم که اگر از سوئیچ استاندارد بخواهیم استفاده نماییم برای استفاده از Traffic Shaping  فقط در

قسمت خروجی یا outbound میتوانیم از این قابلیت استفاده نماییم . این ترافیک بصورت پیش فرض غیر فعال است

. یعنی اگر این سیاست را بخواهیم اعمال نماییم باید این قسمت را فعال نماییم.

بحث Traffic Shaping بنوعی بحث کنترل پهنای باند در سطح سوئیچ و یا port group را کنترل می نماید . حال

ببینیم به چه نحوی این عمل انجام میشود .

برای انجام این کار از ساختاری شبیه ساختار ISP استفاده میکند .

از سه item  استفاده میکنیم :

  • Average Band with

  • Peak band with

  • Burst size

یعنی برای ایجاد Traffic Shaping  نیاز به تنظیم این سه پارامتر داریم . برای اینکه این تنظیمات را انجام دهیم ابتدا

باید بفهمیم این سه item چه معنی ای دارند :

  • Average Band with

میزان kilobit/second که مجاز است بطور متوسط از یک پورت سوئیچ یا port group عبور کند را نشان میدهد .

  • Peak band with

ماکزیزمم kilobit/second که  یک پورت روی یک port group یا سوئیچ از خودش عبور میدهد  . این نکته مهمی

است که بتوانیم ترافیک ماکزیمم که سیستم مجاز است عبور دهد را کانفیگ کرده و ثابت در نظر بگیریم .

  • Burst size

فرض کیند مثلا در  ISP ، یک خط ۲۵۶k داریم که ماکزیزمم ترافیک روی آن حدود ۳۲k میباشد که میتوانیم دانلود

کنیم  . فرض کیند تعریف کردیم چند نفر از این خط استفاده نمایند . و تعریف کردیم هر نفر به چه میزانی حداکثر

میتوانند از این خط استفاده نمایند . اینجا میگوییم هر نفر چه میزان از پهنای باند را اشغال کند ،میتوانیم تعریف کنیم

که یک نفر همه خط رو اشغال کند . اما برای اینکه یک نفر تمام خط رادر اختیار نگیرد ، و شانس داشته باشد که اگر

کسی نبود بتواند کل پهنای باند را اشغال کند  نیاز به تعریف میانگین band with داریم .بیشتر از  میانگین و کمتر از

ماکزیمم را  Burst size میگوییم  که واحد آن kilobyte/second است . یعنی اگر میانگین را استفاده کردیم و اگر

کسی نبود که از پهنای باند استفاده کند  این اجازه را داشته باشم از پهنای باند بیشتری  استفاده کنیم .

در نظر داشته باشیم که  Traffic  Shaping    بصورت پیش فرض چه در سطح سوئیچ و چه در سطح port group

غیر فعال میباشد .

سیاست دیگری که میخواهیم در مورد آن صحبت کنیم سیاست NIC Teaming  است که در واقع بحث Load

Balancing  و Fail Over  را روی کارتهای شبکه که به یک port group تخصیص میدهیم پوشش میدهد .

قابلیتهایی که میتوانیم در حوزه NIC Teaming در ارتباط با آن صبحت کنیم به ۴  بخش تقسیم می شوند .

  • بحث Load Balancing

این قسمت روی  سیاست های load balancing    که روی یک port group  در سطح outbound  و یا بعبارتی روی

ترافیکهایی که از این سوئیچ قرار است خارج شود صحبت میکند .

  • در بحث Fail over detection

در مورد این مسئله صحبت میکنیم که سوئیچ  یا port group  چگونه میتواند مسئله Fail over در شبکه را تشخیص

دهد.این بحث به کارتهای شبکه ای که assign میکنیم مربوط میشود . این سیاست ها روی ترافیک خروجی اثر دارد.

 

  • Notify Switch ، ارتباط بین سوئیچ مجازی و فیزیکی را نشان میدهد .

  • Failback ، میگه اگه کارتی را بعنوان active در نظر گرفتیم و fail کرد و چنانچه این کارت دوباره برگشت و

حالش خوب شد ، آیا مجاز است که نقش قبلی خودش را داشته باشد یا خیر ؟

 به منظور مطالعه روی سوئیچ های استاندارد و توزیع پذیر به این مقاله مراجعه کنید . 

به منظور مطالعه روی کانفیگ سوئیچ های استاندارد به این مقاله مراجعه کنید . 

به منظور آشنایی با مفهوم port group در vmware switch به این مقاله مراجعه کنید . 

1 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *