جستجو در تالارهای گفتگو

اگر به روتر سیسکو توجه کنید پنج پورت را مشاهده میکنید 1.Console Port 2.AUX Port ( Auxiliary Port) 3.serial Port 4.PRI/BRI(Primary Rate Inetface / Basic Rate Interface ) 5.AUI ( Attachment User Interface ) CONSOLE PORT برای اتصال کامپوتر به روتر جهت پیکربندی روتر استفاده میشود و برای اتصال از rollover cables استفاده میشود.برای پیکربندی از برنامه هایی مثل hyper terminal استفاده میکنیم AUX PORT برای اتصال dial up استفاده میکنیم SERIAL PORT برای اتصال روتر به روتر و leased line استفاده میشود PRI/BRI PORT برای اتصال ISDN استفاده میشود AUI PORT برای اتصال روتر به سویچ استفاده میشود IOS(InterNetwork Operating System) روتر مانند هر سیستم دیگر یک نرم افزار برای ارتباط بین کاربر و سخت افزار احتیاج دارد به آن سیستم عامل IOS میگوییم که بوسیله این سیستم عامل میتوانیم روتر را پیکربندی کنیم روتر از چهار حافظه اصلی تشکیل شده است 1.RAM(Random Access Memory) 2.ROM(Read Only Memory) 3.NVRAM(Non-Volatile RAM) 4.Flash RAM running configuration حافظه غیر دائم است و زمانی که برق روتر قطع میشود حافظه نیز پاک میشود ROM زمانی که دستگاه میخواهد راه اندازی شود ازROM کمک میگیرد و عنصرهای زیر را در بر میگیرد POST(Power On Self Test) BootStrap program rom monitor NVRAM start configuration حافظه دائمی است تنظیمات روتر را در بر میگیرد FLASH IOS در flash نصب میشود -------------------------------------------------------------------------------- The Router Boot sequence 1.برنامه POST سخت افزار روتر را چک میکند.قطعاتی از قبیل memory,cup,interfaceها.POST ذخیره و اجرامیشود ازROM bootstrap.2 برنامه اي است در ROM که براي اجراي برنامه ها استفاده ميشود,برنامه bootsrap مسئوليت پيدا کردن مکان هر برنامه IOS وload کردن آن ميباشد(بصورت پيشفرض نرم افزار IOS در flash memory همه روترهاي سيسکو موجود ميباشد)سيستم عامل موجود در flash memory به rom انتقال داده ميشود 3.برنامه IOS جستجو میکند یک وضعیت مشخصی در فایل ذخیره شده در NVRAM که این فایل startup-config نامگذاری میشود و این فقط اتفاق می افتد که administratorکپی کند running-config را در NVRAM 4.اگر فایل startup-config در NVRAM باشد روتر فایل را load و سپس اجرا خواهد کرد.اکنون روتر قابل بهره برداری است.اگر یک فایل startup-config در NVRAM نباشد روتر وضعیت setup-mode را شروع خواهد کرد به محض boot شدن -------------------------------------------------------------------------------- اتصال به روتر ابتدا باید console cable)rollover cable) را متصل کنیم com port را به سیستم و RJ45 را به console port 1.برنامه Heyper Terminal را اجرا میکنیم و اسم مورد علاقه را وارد میکنیم 2.پورت اتصال را انتخاب میکنیم (com1 or com2) هر کدام که در سیستم باز است 3.اکنون port setting را تنظیم میکنیم.جتما باید restore defaults را انتخاب کنیم سپس ok را میزنیم برای اتصال به روتر زمانی که به (CLI(Command Line Interface وارد میشویم سه mode اصلی در پیش رو دارید که باید اسم و مشخصات آنها را بدانید 1.Router> –>user mode or enable mode 2.Router# –>privileged mode 3.Router(config)# –>global mode در global mode دو mode دیگر موجود میاشد که هر کدام وظایف خاص خود را دارند 1.interface mode 2.line mode Interface پورتی است که ip address را تعیین میکنیم line پورتی است که password را تعیین میکنیم Router Prompt Purpose/Meaning Router> user mode Router# privileged mode Router(config)# Global mode Router(config-if)# interface mode Router(config-line)# line mode Router(config-router)# routing protocol mode -------------------------------------------------------------------------------- ورودی داده به روتر بعد از اینکه پیغامهای وضعیت interface ظاهر شد و شما enter را زدید پیغام زیر ظاهر میشود Router> همانطور که قبلا ذکر شد به خط بالا user mode گفته میشود و این اساسا برای مشاهده آمارو همچنین جاپایی است برای ورود به privileged mode شما فقط میتوانید پیکربندی روتر را در privileged mode مشاهده و تغیر دهید برای ورود از user mode به privileged mode باید از دستور enable و یا بصورت مخفف en استفاده کنید Router> Router>enable Router# اکنون شما در privileged mode هستید و میتوانید تغیرات دلخواه را به روتر بدهید.اگر بخواهید به mode قبل (user mode) برگردید میتوانید از فرمان disable استفاده کنید Router#disable Router> شما میتوانید از فرمان logout برای خروج از console استفاده کنید Router>logout Router con0 is nowavailable Pree RETURN to get started و یا میتوانید از logout و یا exit در privileged mode برای خروج از console استفاده کنید Router>en Router#logout Router con0 is nowavailable Pree RETURN to get started -------------------------------------------------------------------------------- Configuration Modes روترهای سیسکو در modeهای مختلفی پیکربندی میشوند از قبیل privileged mode global configuration mode interface configuration mode ما باید بدانیم در هر mode چه تغیراتی را بدهیم اکثریت پیکربندی در روترهای سیسکو در global configuration صورت میگیرد برای استفاده از global mode باید از دستور configure terminal و یا بصورت خلاصه conf t در privileged mode استفاده کنیم Router>en Router#conf t Router(config)# حال global mode برای تغییرات مورد نظر در دسترس است توجه داشته باشید تغییرات که در خط #(Router(config میدهید در ram ذخیره میشود وبا توجه به اینکه RAM حافظه غیر دائم است باید تغییرات را به NVRAM که حافظه دائم است منتقل کنیم سپس ذخبره شود. برای انجام ذخیره باید به privileged mode برویم و آنجا (wr(write را اجرا کنیم.برای برگشتن از global mode به privileged mode متوانیم از ctrl+z استفاده کنیم سپس wr را برای ذخیره در NVRAM انجام میدهیم -------------------------------------------------------------------------------- Interface Configuration interface mode برای پیکربندی تنظیمات ethernet استفاده میشود برای دستیابی به interface mode از فرمان interface ethernet 0 و یا بصورت خلاصه int e0 استفاده میکنیم Router>en Router#config t Router(config)#interface ethernet 0 or int e0 Router(config-if)# -------------------------------------------------------------------------------- Line Configuration line mode برای پیکربندی تنظیمات (console port,auxiliary port,telnet(virtual terminal portsاستفاده میشود برای دستیابی به line mode باید از فرمان line console 0 استفاده کنیم Router>en Router#config t Router(config)#line consol 0 or line con0 Router(config-line)# -------------------------------------------------------------------------------- Help help همیشه در خط فرمان IOS موجود است زمانی که تایپ کنید ؟ میتوانیم مستقیما ؟ را بعد از یک کلمه و یا بیشتر استفاده کنیم سپس خط فرمان به ما command های کامل را که با آن حرف شروع میشود را نشان خواهد داد بعنوان مثال Router>en Router#c? cd clear clock configure connect copy or Router>en Router#cl? clear clock اگر ؟ را با یک فاصله از command قرار دهیم به ما command ثانوی را نشان خواهد داد Router#clo ? set set the time and date

در این کتاب با cli روتر سیسکو به طور مقدماتی آشنا میشین Cisco_in_Persian_Intro_CLI.pdf

یکی از ابزارهای قدرتمند دنیای IT است که دقیقا همان کاری را انجام می دهد که از اسم آن بر می آید,به وسیله NAT میتوانیم آدرسهای یک شبکه را به یک شبکه دیگر ترجمه کنیم. NAT تقریبا در تمامی سیستم عاملها و روتر ها قابل انجام است که هر کدام شیوه و روش خود را دارند. برای همه متخصصین واضح است که قوی ترین روتر های دنیا Cisco هستند و تقریبا 80 درصد از بستر اینترنت بر روی دستگا های Cisco بنا شده اند. در این آموزش به توضیح مراحل انجام NAT به صورت عملی بر روی سخت افزارهای سیسکو می پردازیم. از کاربردهای NAT می توان به موارد زیر اشاره کرد: ترجمه IP های Private به Public یا بلعکس تغییر مرکز سرویس دهنده اینترنت بدون نیاز به تغییر IP ها داخلی حفاظت از یک شبکه حساس در مقابل برخی حملات خارجی تغییر پورت مقصد پکتها برای کاربران داخلی به صورت transparent تعریف برخی اصطلاحات: Inside Local : به آدرسی (هایی) اطلاق میشود که بر روی کلاینتهای شبکه داخلی تنظیم شده اند. Inside Global : به آدرسی اطلاق میشود که به اینترفیس داخلی روتر که به شبکه داخلی متصل است داده شده است. Outside Local : به آدرسهایی که درون اینترنت یا شبکه Public ما قرار دارد گفته می شود. Outside Global : به آدرسی (هایی) که بر روی اینترفیس خارجی روتر که به شبکه Public متصل است گفته می شود. با یک مثال تصویری با اصطلاحات فوق بیشتر آشنا خواهیم شد. Static NAT این نوع NAT به صورت یک به یک عمل میکند. بدین معنی که یک عدد inside-localرا به یک outside-global ترجمه می کند. کاربرد این نوع NAT وقتی است که میخواهیم یک private ip را به یک public ip تبدیل کنیم. با مثالی عملی این بیشتر توضیح می دهیم. در مثال فوق یک روتر سیسکو داریم که 2 عدد اینترفیس دارد. یکی سریال که به اینترنت متصل و دومی اترنت که به شبکه داخلی ما وصل شده است. ما میخواهیم آدرس 10.1.1.1را به 11.11.11.254ترجمه کنیم. بر روی روتر سیسکو چنین عمل میکنیم: وارد محیط کانفیگ میشویم config terminal با این دستور یک NAT استاتیک انجام میدهیم ip nat inside source static 10.1.1.1 11.11.11.254 وارد اینترفیس سریال میشویم interface serial0 این اینترفیس را به عنوان خروجی NAT مشخص میکنیم ip nat outside از اینترفیس خارج می شویم exit وارد اینترفیس اترنت میشویم interface Ethernet0 اینترفیس را به عنوان ورودی NAT مشخص میکنیم ip nat inside از اینترفیس و مد کانفیگ خارج میشویم هم اکنون با ست کردن آدرس 10.1.1.1و گیت وی 10.10.10.10روی کلاینت میتوانیم به اینترنت دسترسی داشته باشیم. Dynamic NAT Dynamic NAT نیز همانند Static NAT است اما با این تفاوت که در NAT به صورت Dynamic میتوانیم یک یا چندین IP با به چندین IP ترجمه کنیم. اما چرا چندین IP به چندین IP؟ فرض کنید شما Admin یک ISP هستید و به دلیل کمبود IP نیاز به NAT دارید. بر فرض مثال شما دارای 10 Valid IP و 100 Invalid IP که باید به آنها ترجمه کنید. ممکن است تا کنون برای شما پیش آمده باشد که یوزری تماس گرفته و اعلام نا رضایتی کند از اینکه مدتهای طولانی برای دانلود یک فایل از سایت Rapidshare.com باید انتظار بکشد. این به دلیل این است که سایت Rapidshare.com تمامی یوزرهای شما را به چشم یک کاربر میبیند. برای رفع این مشکل میتوانیم 10 آدرس معتبر را به 100 آدرس غیر معتبر ترجمه کنیم که تا حدود زیادی مشکل را حل خواهد کرد. در Dynamic NAT معمولا آدرسهای معتبر را به وسیله IP nat pool مشخص و آدرسهای غیر معتبر را توسط یک access-list مشخص میکنیم. دلیل استفاده از access-list ایجاد امنیت بیشتر است. حال با یک مثال به نحوه ایجاد یک Dynamic NAT واقف می شویم: یک روتر سیسکو داریم که از یک سو توسط اینترفیس سریال به اینترنت متصل گردیده که دارای رنج IP 217.219.109.128/25 و از سوی دیگر توسط اینترفیس اترنت به شبکه داخلی با رنج 172.16.0.0/24 متصل شده است. آدرس اینترفیس سریال را 217.219.109.129 و آدرس اینترفیس اترنت را 172.16.0.1 قرار میدهیم. config terminal ابتدا برای آدرسهای Valid خود یک Pool تهیه می کنیم ip nat pool pool1 217.219.109.130 217.219.109.254 prefix-length 25 Prefix-length در مثال بالا همان subnet mask آدرسهای ما می باشد حال access-list مربوط به آدرسهای داخلی را می نویسیم access-list 8 permit 172.16.0.0 0.0.0.255 دستور اصلی NAT را می نویسیم ip nat inside source list 8 pool pool1 که در دستور فوق عدد 8 بیانگر آدرسهای داخلی و pool1 مشخص کننده آدرسهای خارجیست interface serial0 اینترفیس را به عنوان خروجی NAT مشخص میکنیم ip nat outside از اینترفیس خارج می شویم exit وارد اینترفیس اترنت میشویم interface ethernet0 اینترفیس را به عنوان ورودی NAT معرفی میکنیم ip nat inside Dynamic NAT به صورت Overload ممکن است ما به شرایطی بر بخوریم که تنها 1 عدد آدرس Valid در اختیار داریم و اجبار به NAT کردن آدرس مذکور به چندین آدرس را داریم. در چنین شرایطی باید از قابلیت Overload استفاده کنیم. در این حالت روتر برای ورود و خروج هر آدرس Invalid یک پورت مجزا در نظر می گیرد که تمامی آنها را در جدولی که درون خود تشکیل می دهد به ثبت می رساند. به این ترتیب هر پکت که از روتر به مقصد اینترنت خارج می شود دقیقا در هنگام بازگشت به همان آدرس Invalid که صادر کننده آن است باز میگردد. هر یک خط در جدول مذکور یک کانکشن به حساب می آید. اگر دقت کنید بر روی کاتالوگ بعضی سخت افزارها محدودیتی برای تعداد این کانکشن ها قائل می شوند. در مثال زیر نحوه تنظیم یک روتر به صورت Overload را توضیح می دهیم : دیاگرام خود را مقداری تغییر می دهیم. در این مثال ما روتر خود را که دارای 3 اینترفیس است به 3 شبکه متصل میکنیم. پورت سریال که به اینترنت متصل و دارای آدرس 80.191.120.8/26 است . اینترفیس ethernet0 به شبکه داخلی اول ما متصل و دارای آدرس 172.16.100.1/24 میباشد و در آخر اینترفیس ethernet1 را داریم که دارای آدرس 192.168.30.1/24 است. میخواهیم آدرس 80.191.120.8 را به دو سابنت داخلی NAT کنیم: وارد مد کانفیگ می شویم config terminal یک pool برای آدرس Valid تهیه میکنیم که تنها 1 آدرس در آن وجود دارد ip nat pool ovrld 80.191.120.8 80.191.120.8 netmask 255.255.255.192 با access-list زیر آدرسهای 2 رنج داخلی خود را به access-list شماره 3 نسبت می دهیم access-list 3 permit 172.16.100.0 0.0.0.255 access-list 3 permit 192.168.30.0 0.0.0.255 دستور اصلی NAT را می نویسیم که کلمه Overload میبایست در آخر آن اضافه شود ip nat inside source list 3 pool ovrld overload اینترفیس خروجی NAT را مشخص میکنیم interface serial0 ip nat outside exit این اینترفیس را به عنوان ورودی NAT مشخص میکنیم interface ethernet0 ip nat inside exit این اینترفیس را به عنوان ورودی NAT مشخص میکنیم interface ethernet1 ip nat inside exit هم اکنون آدرس 80.191.120.8 عمل NAT را برای هر دو سابنت ما انجام می دهد. Destination NAT dstNAT یا outside source address translation بدین معنی است که ما عمل NAT را برای شبکه Public خود انجام دهیم. با یک مثال قضیه را روشن میکنم: فرض کنید آدرس IP یکی از مشترکین شما NAT شده است. یعنی مشترک به صورت دستی آدرس را در کامپیوتر خود وارد کرده و default gateway را آدرس اینترفیس داخلی روتر شما قرار داره است. شما قبلا عمل NAT را برای وی انجام داده اید و او را به اینترنت متصل نموده اید. حال مشترک نیاز دارد که کاربری در اینترنت به کامپیوترش وصل شود یا اینکه قصد هاست کردن یک وبسایت بر روی کامپیوتر حود را دارد. با شرایط فعلی این امر امکان پذیر نیست زیرا که آدرس معتبری یر روی آن تنظیم نشده و از اینترنت قابل رویت نیست. ما برای رفع مشکل این یوزر می بایست عمل dstNAT را انجام دهیم. یعنی به روتر خود بگوئیم هر گاه پکتی با درخواست اتصال به آدرس X را داشت آن را به کامپیوتری در شبکه داخلی با آدرس Y بفرست. بدین ترتیب با داشتن آن آدرس valid میتوانیم به هاست لوکال خود دسترسی پیدا کنیم. این امر نیز به دو صورت static و dynamic قابل اجراست که در مثالهای زیر توضیح داده شده است. Static dstNAT ابتدا همانند قبل یک static nat میان 2 آدرس 10.1.1.1 و 11.11.11.254 ایجاد میکنیم سپس این خط را به تنظیمات خود اضافه میکنیم ip nat outside source static 11.11.11.254 10.1.1.1 Dynamic dstNAT در این مثال نیز ابتدا تمامی تنظیمات Dynamic NAT را که قبلا گفته شده انجام میدهیم سپس این خط را به آخر آن اضافه میکنیم ip nat outside source list 8 pool pool1 بدین ترتیب عمل reverse را نیز برای NAT خود انجام میدهیم. Redirect in NAT در بعضی مواقع نیاز داریم که یک پورت یا IP را به صورت transparent برای یوزرهای خود عوض کنیم. به عنوان مثال ما در شبکه خود یک وب سرور داریم. این سرور قبلا بر روی پورت 80 کار کرده است اما اکنون به دلایلی مجبور به تعویض پورت آن به 8080 شده ایم. ممکن است آگاه سازی یوزرهای ما برایمان مشکل ساز باشد و بخواهیم بدون هیچ تغییری برای آنها این پورت را عوض کنیم. در چنین مواقعی Redirect به کمک ما می شتابد. در مثال زیر با چگونگی تنظیمات این نوع NAT آشنا می شویم: در این مثال ما یک روتر سیسکو داریم که 2 اینترفیس سریال و اترنت دارد. که آدرس سریال را 100.100.100.5 و آدرس اترنت را 10.20.30.1 قرار داده ایم. آدرس وب سرور ما 10.20.30.55 می باشد که در شبکه داخلی ما قرار دارد. برای Redirect کردن پورت 80 به 8080 بدین صورت عمل میکنیم: config terminal ip nat inside source static tcp 10.20.30.55 8080 10.20.30.55 80 اینترفیس خروجی NAT را مشخص میکنیم interface serial0 ip nat outside exit این اینترفیس را به عنوان ورودی NAT مشخص میکنیم interface ethernet0 ip nat inside exit حال یک سولوشن دیگر پیاده میکنیم. در شبکه ما یک روتر وجود دارد که دارای 3 اینترفیس است. اینترفیس سریال که آدرس 200.200.200.43 و اینترفیس ethernet0 که آدرس 172.16.10.1 و اینترفیس ethernet1 که آدرس 192.168.0.1 را داراست. ما در شبکه ای که به اینترفیس ethernet1 متصل شده یک سرور داریم که آدرس آن 192.168.0.6 است. به دلایلی مجبور به تعویض آدرس آن به 192.168.0.12 شده ایم. به دلیل اینکه این سرور مربوط به اتوماسیون اداری ما بوده بسیار کار دشواریست که بر روی 176 کلاینت خود که با این سرور کار میکنند و در شبکه ای که به اینترفیس ethernet0 وصل است آدرس سرور را عوض کنیم. برای همین به سراغ روتر قدرتمند خود می آئیم و تمامی درخواستهایی را که به مقصد 192.168.0.6 می روند را به 192.168.0.12 هدایت میکنیم. در زیر نحوه انجام این کار توضیح داده شده است. config terminal ip nat inside source static 192.168.0.12 192.168.0.6 اینترفیس خروجی NAT را مشخص میکنیم interface serial0 ip nat outside exit این اینترفیس را به عنوان ورودی NAT مشخص میکنیم interface ethernet0 ip nat inside exit این اینترفیس را به عنوان ورودی NAT مشخص میکنیم interface ethernet1 ip nat inside exit Change Translation Timeouts وقتی که ما از Dynamic NAT استفاده می کنیم یک IP به یک IP دیگر نسبت داده می شود. فرضا اگر کلاینت ما 1 ساعت از این IP استفاده کند تا یک مدت بعد این IP خارجی برای وی به صورت رزرو می ماند. اگر بعد از یک پریود زمانی کلاینت ما از آن استفاده نکند به کلاینت دیگری اختصاص داده می شود. زمان این تاخیر را میتوانیم مشخص کنیم که در حالت Dynamic NAT بدون Overload این زمان به صورت پیش فرض 24 ساعت است. با دستور زیر این امر محقق می شود: config terminal ip nat translation timeout 21600 عدد فوق بر اساس ثانیه بوده که در مثال بالا ما این زمان تاخیر را بر روی 6 ساعت تنظیم کرده ایم. همانطور که گفتیم مثال بالا برای حالت Dynamic NAT بدون Overload هست. در حالت Overload چون برای هر یوزر یه آدرس خارجی نداریم مقدار این زمان اصلا مشخص نیست. در حالت Overload تنها میتوانیم زمان برای پروتکلهای خاص مشخص کنیم: در مثال زیر پروتکلها آورده شده اند: config terminal ip nat translation udp-timeout 120 ip nat translation dns-timeout 100 ip nat translation tcp-timeout 480 exit مانیتور کردن NAT درون Router show ip nat translations show ip nat statistics

ما انواع متنوعی از حملات Dos و DDos داریم که یکی از آنها حملات Syn Flood می باشد. این حمله بسیار ساده بوده و نفوذگر به راحتی قادر به ایجاد حمله و به خطر انداختن امنیت شبکه و دسترس پذیری شبکه برای کاربران از امی گردد. این حملات معمولا با تلفیق حملات IP Spoofing اتفاق می افتد. نحوه انجام حملات syn flood بدین صورت است که اتکر سعی در برقراری ارتباط TCP با سرور یا کامپیوتر قربانی میکند. اما نه به صورت معمول ! در واقع اولین قدم در برقراری ارتباط در TCP بدین صورت است که دو کامپیوتر مبدا و مقصد باید 3-way handshake را انجام دهند. حال اتکر syn را می فرستد و سرور (قربانی) syn/ack می دهد ، اما اتکر ack پایانی را نمی دهد. برای پیچیده تر شدن این ماجرا حمله با تلفیق حمله IP spoofing انجام میشود. به این نوع کانکشن ها که syn و syn/ack ردو بدل شده اما مرحله آخر که ack پایانی است انجام نمیشود کانکشن half-open یا embryonic میگویند. این باعث میشود که منابع سیستم درگیر این اتصالات نیمه باز شده و سرور دیگر به پاسخگویی به بقیه ازتباطات نخواهد بود. در فایروال ها مانند ASA سیسکو ابزار جلوگیری از این حملات وجود دارد اما چیزی که باعث نوشتن این مقاله شده آشنا کردن شما عزیزان با خاصیت TCP Intercept در روتر سیسکو می باشد ، که این خاصیت هم به شما در جلوگیری از این نوع حملات کمک خواهد نمود.حالت های راه اندازی TCP Intercept شما میتوانید TCP Intercept را در دو mode راه اندازی کنید: ۱-Intercept Mode ۲-Watch ModeIntercept Mode : در این حالت روتر سیسکو به عنوان پروکسی عمل میکند، به عبارت ساده تر زمانی که کامپیوتر ها سعی به ارتباط با سرور میکنند ، روتر سیسکو با دیدن syn خودش به جای سرور syn/ack می دهد و اگر ack پایانی را دریافت کند ، حال خودش با سرور tcp session را established خواهد کرد. نتیجه تا از سالم بودن ارتباط مطمئن نشود ، کانکشنی با سرور برقرار نخواهد شد. معمولا روتر ها را در حالت Intercept Mode پیکربندی نمی کنند ، به یک دلیل ساده! اگر تحت Ddos باشیم فشار از روی سرور برداشته خواهد شد اما این فشار بر روی منابع روتر خواهد بود. از طرفی در شرایطی که همه چیز درست باشد و ما حمله ای نداشته باشیم باز هم روتر درگیر خواهد بود.tcp intercept mode روتر سیسکو Watch Mode: در این حالت ، ماجرا به این صورت خواهد بود که روترهای سیسکو به جای اینکه در برقراری ارتباط مانند پروکسی عمل کند ، از این به بعد مراحل 3-way handshake را تحت نظر خواهد گرفت. و حواسش به کانکشن های half-open یا همان embryonic ها خواهد بود. در صورتی که این کانکشن ها در مدت زمان مشخصی (پیش فرض ۳۰ ثانیه) برقرار نشوند، روتر با فرستادن tcp reset به سرور کانکشن را خواهد بست. تا منابع سرور آزاد گردد.نمونه ای از کانفیگ TCP Intercept: Router(config)# access-list 100 tcp permit tcp any anyRouter(config)# ip tcp intercept list 100با استفاده از خط بالا مشخص میکنیم که کدام ارتباطات را باید بررسی کنیم! در صورتی که لازم میدانید میتوانید آموزش access-list در روتر سیسکو را در اینجامشاهده بفرمایید. بهتر است به جای اینکه مانند بالا همه سرور ها بررسی شوند ، ارتباط با سرور ها و یا منابع با ارزش را بررسی کنیم. Router(config)# ip tcp intercept mode {intercept | watch}در خط بالا مشخص میکنیم که در کدام مود باید tcp intercept کار خود را انجام دهد. Router(config)# ip tcp intercept watch-timeout secondsRouter(config)# ip tcp intercept finrst-timeout secondsRouter(config)# ip tcp intercept connection-timeout secondsدستور اول زمانی را که یک کانکشن باید established شود را مشخص میکند. در صورتی که در این زمان کانکشن برقرار نشود روتر سیسکو با فرستادن reset این ارتباط را خواهد بست. زمانی که در حالت TCP intercept mode باشیم ، روتر حواسش به بسته شدن یک کانکشن هم هست ، در واقع زمانی که ما TCP RESET یا TCP FIN را میبیند ، انتظار دارد این ارتباط ظرف مدت ۵ ثانیه به صورت پیش فرض بسته شود. در صورتی که این اتفاق نیافتد خودش مدیریت کانکشن را به عهده خواهد گرفت. با finrst-timeout میتوان این زمان را عوض کرد. زمانی که TCP Intercept مدیریت کانکشن ها را به عهده دارد یک کانکشن tcp را تا ۲۴ ساعت مدیریت خواهد کرد و در صورت idle بودن کتنکشن در این مدت ، کانشن را خواهد بست. با دستور connection-timeout میتوان این زمان را عوض کرد Router(config)# ip tcp intercept max-incomplete high numberRouter(config)# ip tcp intercept max-incomplete low numberبا دستور اول حالت خشمگینانه یا aggresive را مشخص خواهیم کرد. در واقع با دستورات بالا میگوییم که اگر تعداد کانکشت های نیمه باز(half-open) از high number بیشتر شد، رپتر شروع به بستن کانکشن های قدیمی تا رسیدن به low number کند. Router(config)# ip tcp intercept drop-mode {oldest | random} با این دستور میتوان مشخص کرد درصورتی که قرار است کانکشن ها بسته شود، اول کانکشن های قدیمی بسته شود یا این کار به صورت random انجام شود. Router(config)# ip tcp intercept one-minute high numberRouter(config)# ip tcp intercept one-minute low numberبا دستورات بالا هم threshold برای بازه ۱ دقیقه ای تعریف میگردد. همانطور که ملاحظه فرمودید مفهوم و تنظیمات سر راست و ساده ای داشت. از روتر سیسکو خودتون استفاده کنید!! موفق باشید.