تنظیمات امنیتی سوئیچ سیسکو Catalyst 9000 برای شبکه‌های سازمانی

در دنیای امروز که حملات سایبری، دسترسی‌های غیرمجاز و تهدیدات داخلی به یکی از مهم‌ترین دغدغه‌های تیم‌های فناوری اطلاعات تبدیل شده‌اند، امنیت در لایه شبکه دیگر یک انتخاب نیست؛ بلکه یک ضرورت حیاتی برای هر سازمان محسوب می‌شود. بسیاری از مدیران شبکه با این سوال روبه‌رو هستند که چگونه می‌توان زیرساختی امن، پایدار و در عین حال قابل مدیریت ایجاد کرد؛ زیرساختی که علاوه بر کارایی بالا، توانایی مقابله با تهدیدات مدرن را نیز داشته باشد.

سوئیچ‌های سری Cisco Catalyst 9000 به عنوان نسل جدید تجهیزات شبکه سازمانی، دقیقاً با همین هدف طراحی شده‌اند. این سری از سوئیچ‌ها علاوه بر ارائه عملکرد قدرتمند و پشتیبانی از شبکه‌های مدرن، مجموعه‌ای کامل از قابلیت‌های امنیتی پیشرفته مانند احراز هویت کاربران، کنترل دسترسی، رمزنگاری ارتباطات، محافظت در برابر حملات لایه دوم و یکپارچگی با راهکارهای امنیتی سازمان را در اختیار مدیران شبکه قرار می‌دهند.

در این مقاله قصد داریم مهم‌ترین تنظیمات امنیتی سوئیچ سیسکو Catalyst 9000 را بررسی کنیم و نشان دهیم چگونه می‌توان با پیاده‌سازی صحیح این قابلیت‌ها، امنیت شبکه‌های سازمانی را به شکل قابل توجهی افزایش داد.

 

بررسی نقش و کاربرد مدل‌های مختلف سوئیچ‌های سیسکو سری Catalyst 9000:

در واقع سوئیچ‌های سری Cisco Catalyst 9000 در مدل‌ها و رده‌های مختلفی عرضه می‌شوند که هرکدام برای بخش مشخصی از شبکه‌های سازمانی طراحی شده‌اند. این خانواده شامل مدل‌هایی مانند سری 9200، 9300 و 9500 است که از نظر قدرت پردازش، تعداد پورت‌ها، قابلیت‌های مدیریتی، امکانات امنیتی و محل استفاده در معماری شبکه با یکدیگر تفاوت دارند.

سوئیچ‌های Catalyst 9200

سوئیچ های سیسکو سری 9200 معمولاً به عنوان گزینه‌ای اقتصادی و مطمئن برای لایه Access در شبکه‌های سازمانی شناخته می‌شود. این مدل‌ها برای شرکت‌ها و سازمان‌هایی مناسب هستند که به دنبال امنیت مناسب، مدیریت ساده و پایداری بالا با هزینه منطقی هستند. قابلیت‌هایی مانند 802.1X، ACL، DHCP Snooping و مدیریت امن از طریق SSH در این سری به‌خوبی پشتیبانی می‌شود.

سوئیچ‌های Catalyst 9300

در مقابل، سری Catalyst 9300 یکی از محبوب‌ترین سوئیچ‌های Enterprise سیسکو به شمار می‌رود که برای شبکه‌های بزرگ‌تر و محیط‌های حرفه‌ای‌تر طراحی شده است. این سری علاوه بر امکانات امنیتی پیشرفته، از StackWise، uplinkهای پرسرعت، قابلیت‌های Automation و یکپارچگی کامل با راهکارهایی مانند Cisco DNA Center و Cisco Identity Services Engine پشتیبانی می‌کند. به همین دلیل بسیاری از سازمان‌ها از سوئیچ های سیسکو سری 9300 به عنوان سوئیچ اصلی در لایه Access استفاده می‌کنند.

سوئیچ‌های Catalyst 9500

سوئیچ سیسکو سری 9500 نیز بیشتر برای لایه Core و Distribution شبکه‌های سازمانی و دیتاسنتری طراحی شده است. این سوئیچ‌ سیسکو توان پردازشی بسیار بالا، پورت‌های 10G/40G/100G، قابلیت Redundancy پیشرفته و امکانات امنیتی Enterprise-Level را ارائه می‌دهند و برای سازمان‌هایی مناسب هستند که به پهنای باند بالا، پایداری مداوم و مدیریت متمرکز شبکه نیاز دارند.

در مجموع، سوئیچ های سیسکو کاتالیست سری 9000 با ترکیب عملکرد قدرتمند، امنیت پیشرفته و قابلیت‌های مدیریتی مدرن، به یکی از استانداردهای اصلی شبکه‌های سازمانی تبدیل شده‌اند و انتخاب مدل مناسب از میان سری‌های 9200، 9300 و 9500 نیز به نیاز سازمان، تعداد کاربران، میزان ترافیک و سطح امنیت مورد نیاز بستگی دارد.

 

 

تنظیمات امنیتی سوئیچ سیسکو Catalyst 9000:

در شبکه‌های سازمانی، امنیت تنها به فایروال و آنتی‌ویروس محدود نمی‌شود و سوئیچ‌های شبکه نیز نقش بسیار مهمی در جلوگیری از نفوذ، حملات داخلی و دسترسی‌های غیرمجاز دارند. بسیاری از حملات رایج مانند DHCP Spoofing، ARP Poisoning، VLAN Hopping و MAC Flooding دقیقاً لایه Access شبکه را هدف قرار می‌دهند؛ به همین دلیل امن‌سازی یا Hardening سوئیچ‌ها به یکی از مهم‌ترین وظایف مدیران شبکه تبدیل شده است.

سوئیچ‌های Cisco Catalyst 9000 با ارائه قابلیت‌های امنیتی پیشرفته، امکان پیاده‌سازی معماری‌های مدرن امنیتی و کنترل دقیق دسترسی کاربران را فراهم می‌کنند. در ادامه این مطلب، یک راهنمای جامع برای تنظیمات امنیتی سوئیچ سیسکو Catalyst 9000 در شبکه‌های سازمانی ارائه می‌شود که به‌صورت مرحله‌به‌مرحله توضیح می‌دهد مدیران شبکه چگونه می‌توانند سوئیچ‌های سیسکو را در برابر حملات رایج شبکه محافظت کرده و امنیت زیرساخت سازمان را به شکل قابل توجهی افزایش دهند.

1- اصول اولیه Hardening سوئیچ:

پیش از ورود به تنظیمات تخصصی، باید اصول پایه‌ای hardening شبکه را روی سوئیچ اعمال کنید. این مرحله اغلب نادیده گرفته می‌شود، اما پایه‌ای‌ترین لایه امنیت سازمانی محسوب می‌شود.

غیرفعال‌سازی سرویس‌های غیرضروری

Switch(config)# no service pad
Switch(config)# no ip http server
Switch(config)# no ip http secure-server
Switch(config)# no cdp run
Switch(config)# no lldp run

نکته: اگر از Cisco DNA Center یا Cisco Prime استفاده می‌کنید، سرویس HTTP/HTTPS را غیرفعال نکنید؛ در غیر این صورت، قطعاً باید آن‌ها را ببندید.

تنظیم Banner و MOTD

Switch(config)# banner motd ^
UNAUTHORIZED ACCESS IS PROHIBITED.
This system is for authorized users only.
^

مدیریت دسترسی Console و VTY

Switch(config)# line console 0
Switch(config-line)# exec-timeout 5 0
Switch(config-line)# logging synchronous

Switch(config)# line vty 0 15
Switch(config-line)# exec-timeout 5 0
Switch(config-line)# transport input ssh
Switch(config-line)# login local

استفاده از SSH به‌جای Telnet یکی از الزامات اساسی امنیت شبکه است. برای فعال‌سازی SSH:

Switch(config)# ip domain-name company.local
Switch(config)# crypto key generate rsa modulus 2048
Switch(config)# ip ssh version 2
Switch(config)# ip ssh authentication-retries 3
Switch(config)# ip ssh time-out 60

2- Port Security:

Port Security یکی از اساسی‌ترین مکانیزم‌های امنیت شبکه است که از حملات MAC Flooding و دسترسی غیرمجاز دستگاه‌های فیزیکی جلوگیری می‌کند.

پیکربندی پایه Port Security

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security mac-address sticky
Switch(config-if)# switchport port-security violation restrict

انواع Violation Mode

برای محیط‌های سازمانی، استفاده از حالت shutdown توصیه می‌شود تا هرگونه تخلف بلافاصله شناسایی و مسدود شود.

بازگردانی پورت err-disabled

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# shutdown
Switch(config-if)# no shutdown

یا به‌صورت خودکار:

Switch(config)# errdisable recovery cause psecure-violation
Switch(config)# errdisable recovery interval 300

3- VLAN Security:

مدیریت صحیح VLAN یکی از مهم‌ترین جنبه‌های امنیت شبکه سازمانی است. حملاتی مانند VLAN Hopping می‌توانند ایزولاسیون بین VLANها را نقض کنند.

جلوگیری از VLAN Hopping

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport nonegotiate

غیرفعال‌کردن DTP (Dynamic Trunking Protocol) روی پورت‌های Access ضروری است.

Native VLAN را تغییر دهید

Switch(config)# interface GigabitEthernet1/0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 999
Switch(config-if)# switchport trunk allowed vlan 10,20,30
Switch(config-if)# switchport nonegotiate

VLAN 1 را هرگز به‌عنوان Native VLAN استفاده نکنید. یک VLAN اختصاصی و بلا استفاده (مثلاً VLAN 999) را برای Native VLAN انتخاب کنید.

Private VLAN (PVLAN)

برای ایزوله‌کردن کامل دستگاه‌های داخل یک VLAN (مثلاً سرورهای DMZ):

Switch(config)# vlan 100
Switch(config-vlan)# private-vlan primary

Switch(config)# vlan 101
Switch(config-vlan)# private-vlan isolated

Switch(config)# vlan 100
Switch(config-vlan)# private-vlan association 101

4- DHCP Snooping:

DHCP Snooping از حملات DHCP Spoofing و DHCP Starvation جلوگیری می‌کند. این قابلیت در تنظیمات امنیتی سوئیچ سیسکو Catalyst 9000 اجازه می‌دهد تنها DHCP Serverهای مجاز (Trusted) پاسخ دهند.

پیکربندی DHCP Snooping

Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 10,20,30
Switch(config)# no ip dhcp snooping information option

– پورت آپ‌لینک به DHCP Server را Trusted کنید.

Switch(config)# interface GigabitEthernet1/0/48
Switch(config-if)# ip dhcp snooping trust

– پورت‌های کاربری به‌صورت پیش‌فرض Untrusted هستند.

Switch(config)# interface range GigabitEthernet1/0/1-24
Switch(config-if-range)# ip dhcp snooping limit rate 15

برای تأیید پیکربندی:

Switch# show ip dhcp snooping
Switch# show ip dhcp snooping binding

5- Dynamic ARP Inspection (DAI):

DAI از حملات ARP Poisoning و Man-in-the-Middle جلوگیری می‌کند. این ویژگی به DHCP Snooping Binding Table وابسته است.

پیکربندی DAI

Switch(config)# ip arp inspection vlan 10,20,30

– پورت Trusted (آپ‌لینک)

Switch(config)# interface GigabitEthernet1/0/48
Switch(config-if)# ip arp inspection trust

– محدودیت نرخ ARP روی پورت‌های کاربری

Switch(config)# interface range GigabitEthernet1/0/1-24
Switch(config-if-range)# ip arp inspection limit rate 100

برای دستگاه‌هایی با IP استاتیک که در DHCP Binding Table نیستند، ARP ACL تعریف کنید:

Switch(config)# arp access-list STATIC_HOSTS
Switch(config-arp-nacl)# permit ip host 192.168.10.1 mac host 00aa.bbcc.ddee
Switch(config)# ip arp inspection filter STATIC_HOSTS vlan 10

6- 802.1X و AAA Configuration:

استاندارد 802.1X برای احراز هویت کاربران و دستگاه‌ها در سطح پورت سوئیچ استفاده می‌شود. در این روش، هر دستگاه قبل از دسترسی به شبکه باید اعتبارسنجی شود. این فناوری یکی از مهم‌ترین اجزای Network Access Control (NAC) در شبکه‌های سازمانی محسوب می‌شود.

پیکربندی AAA

ابتدا باید سرویس AAA فعال شده و احراز هویت از طریق سرور RADIUS تعریف شود.

Switch(config)# aaa new-model
Switch(config)# aaa authentication dot1x default group radius
Switch(config)# aaa authorization network default group radius
Switch(config)# aaa accounting dot1x default start-stop group radius

Switch(config)# radius server ISE_SERVER
Switch(config-radius-server)# address ipv4 192.168.1.100 auth-port 1812 acct-port 1813
Switch(config-radius-server)# key StrongSecretKey123!

در این تنظیمات، سوئیچ برای عملیات Authentication ،Authorization و Accounting از سرور RADIUS استفاده می‌کند.

فعال‌سازی 802.1X

پس از راه‌اندازی AAA، قابلیت 802.1X در سطح سوئیچ و پورت فعال می‌شود.

Switch(config)# dot1x system-auth-control

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# authentication port-control auto
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication host-mode multi-auth
Switch(config-if)# authentication order dot1x mab
Switch(config-if)# authentication priority dot1x mab
Switch(config-if)# mab
Switch(config-if)# spanning-tree portfast

در این سناریو:

• پورت در حالت احراز هویت خودکار قرار می‌گیرد.
• سوئیچ نقش Authenticator را ایفا می‌کند.
• چندین دستگاه می‌توانند روی یک پورت احراز هویت شوند.
• ابتدا 802.1X و سپس MAB بررسی می‌شود.
• PortFast برای جلوگیری از تأخیر در اتصال فعال شده است.

MAB (MAC Authentication Bypass)

برخی تجهیزات مانند Printerها، IP Phoneها و دستگاه‌های IoT از 802.1X پشتیبانی نمی‌کنند. در این شرایط از MAB استفاده می‌شود تا احراز هویت بر اساس MAC Address انجام شود.

Switch(config-if)# mab
Switch(config-if)# authentication fallback dot1x_fallback

در این حالت، اگر 802.1X موفق نباشد، سوئیچ از MAC Authentication برای اعتبارسنجی دستگاه استفاده می‌کند.

مزایای استفاده از 802.1X

• جلوگیری از اتصال دستگاه‌های غیرمجاز
• کنترل دسترسی کاربران به شبکه
• افزایش امنیت لایه Access
• امکان اعمال Policyهای امنیتی پویا
• یکپارچگی با NAC و سیستم‌های امنیتی سازمانی

در شبکه‌های Enterprise، استفاده از 802.1X یکی از مهم‌ترین روش‌های محافظت از Access Layer محسوب می‌شود.

 

7- Access Control List (ACL):

ACLها ترافیک شبکه را بر اساس IP، پروتکل و پورت فیلتر می‌کنند. در سوئیچ‌های Catalyst 9000 می‌توانید از VACL (VLAN ACL) برای فیلترینگ درون-VLAN استفاده کنید.

VACL (VLAN Access Map)

Switch(config)# ip access-list extended BLOCK_SMB
Switch(config-ext-nacl)# deny tcp any any eq 445
Switch(config-ext-nacl)# deny tcp any any eq 139
Switch(config-ext-nacl)# permit ip any any

Switch(config)# vlan access-map VACL_10 10
Switch(config-access-map)# match ip address BLOCK_SMB
Switch(config-access-map)# action drop

Switch(config)# vlan access-map VACL_10 20
Switch(config-access-map)# action forward

Switch(config)# vlan filter VACL_10 vlan-list 10

8- Storm Control:

Storm Control از طوفان‌های Broadcast، Multicast و Unknown Unicast که می‌توانند شبکه را مختل کنند، جلوگیری می‌کند.

Switch(config)# interface GigabitEthernet1/0/1
Switch(config-if)# storm-control broadcast level 20.00 10.00
Switch(config-if)# storm-control multicast level 10.00 5.00
Switch(config-if)# storm-control action shutdown
Switch(config-if)# storm-control action trap

اعداد نشان‌دهنده درصد پهنای باند هستند؛ عدد اول آستانه فعال‌شدن و عدد دوم آستانه غیرفعال‌شدن محافظت است.

 

9- Control Plane Policing (CoPP):

قابلیت CoPP برای محافظت از CPU سوئیچ در برابر حملات DoS و ترافیک مخرب ارسال‌شده به Control Plane استفاده می‌شود. در صورت نبود CoPP، مهاجم می‌تواند با ارسال حجم زیادی از ترافیک، CPU دستگاه را اشباع کرده و باعث اختلال یا از کار افتادن شبکه شود.

CoPP از CPU سوئیچ در برابر حملات DoS و ترافیک مخرب به Control Plane محافظت می‌کند. بدون CoPP، یک حمله ساده می‌تواند CPU سوئیچ را اشباع کرده و کل شبکه را از کار بیندازد.

Switch(config)# ip access-list extended COPP_ICMP
Switch(config-ext-nacl)# permit icmp any any

Switch(config)# class-map match-all COPP_CLASS_ICMP
Switch(config-cmap)# match access-group name COPP_ICMP

Switch(config)# policy-map COPP_POLICY
Switch(config-pmap)# class COPP_CLASS_ICMP
Switch(config-pmap-c)# police rate 1000 pps burst 100 packets
Switch(config-pmap-c)# conform-action transmit
Switch(config-pmap-c)# exceed-action drop

Switch(config)# control-plane
Switch(config-cp)# service-policy input COPP_POLICY

در این مثال، ترافیک ICMP شناسایی شده و نرخ آن به 1000 Packet در ثانیه محدود می‌شود. ترافیک مجاز عبور داده شده و Packetهای اضافی Drop خواهند شد.

برای مشاهده وضعیت و آمار CoPP از دستور زیر استفاده می‌شود:

Switch# show policy-map control-plane

 

---

 

بیشتر بخوانید: پروتکل ICMP چیست و چگونه کار می کند؟ به همراه ویدئو

 

---

 

10– MACsec و رمزنگاری لایه 2:

تنظیمات امنیتی سوئیچ سیسکو Catalyst 9000 از MACsec (IEEE 802.1AE) پشتیبانی می‌کند که ترافیک لایه 2 را رمزنگاری می‌کند. این قابلیت برای لینک‌های بین سوئیچ‌ها در محیط‌های حساس بسیار مفید است.

Switch(config)# key chain MKA_KEY macsec
Switch(config-keychain)# key 1
Switch(config-keychain-key)# cryptographic-algorithm aes-256-cmac
Switch(config-keychain-key)# key-string StrongMKAKey123!

Switch(config)# interface GigabitEthernet1/0/48
Switch(config-if)# mka policy MKA_POLICY
Switch(config-if)# mka pre-shared-key key-chain MKA_KEY
Switch(config-if)# macsec network-link

Logging -11 و Monitoring:

ثبت لاگ‌ها برای تحلیل رخدادهای امنیتی، عیب‌یابی و پاسخ‌گویی به Incident ضروری است.

Switch(config)# logging buffered 64000 informational

• فعال‌سازی لاگ داخلی (Buffer)
• ذخیره پیام‌ها تا سطح informational
• عدد 64000 اندازه بافر را مشخص می‌کند.

Switch(config)# logging trap notifications

• تعیین سطح لاگ ارسالی به Syslog Server
• سطح notifications شامل رخدادهای مهم ولی نه خیلی جزئی است.

Switch(config)# logging host 192.168.1.200

• ارسال لاگ‌ها به Syslog Server مرکزی

Switch(config)# logging source-interface Vlan1

• تعیین Interface مبدأ برای ارسال لاگ‌ها
• برای ACL، Routing و تشخیص هویت در Syslog مفید است.

Switch(config)# service timestamps log datetime msec localtime show-timezone

• همگام‌سازی زمان دستگاه با NTP Server
• بدون NTP، Correlation لاگ‌ها بین تجهیزات دشوار می‌شود.

Switch(config)# ntp server 192.168.1.10

SNMP v3

در مانیتورینگ شبکه، SNMP برای جمع‌آوری اطلاعات تجهیزات استفاده می‌شود.

اما:

• SNMPv1 و SNMPv2c فقط از Community String استفاده می‌کنند.
• رمزنگاری ندارند
• به‌راحتی قابل Sniff شدن هستند.

به همین دلیل در محیط Enterprise فقط SNMPv3 توصیه می‌شود.

ایجاد Group

Switch(config)# snmp-server group ADMIN_GROUP v3 priv

• ساخت گروه با سطح امنیتی priv

یعنی:

• Authentication
• Encryption

ایجاد User

Switch(config)# snmp-server user adminuser ADMIN_GROUP v3 auth sha AuthPass123! priv aes 128 PrivPass456!

این تنظیم شامل:

• Authentication با SHA
• Encryption با AES-128
• اتصال User به Group امن

تعریف SNMP Manager

Switch(config)# snmp-server host 192.168.1.200 version 3 priv adminuser

• ارسال Trap یا Inform به SNMP Manager
• فقط با SNMPv3 و User مشخص‌شده

نکته: هرگز از SNMP v1 یا v2c در محیط‌های سازمانی استفاده نکنید.

 

جمع‌ بندی:

بسیاری از قابلیت‌های امنیتی که در سوئیچ‌های Cisco Catalyst 9000 وجود دارد، به‌صورت کلی در سوئیچ‌های Enterprise برندهای دیگر هم دیده می‌شود؛ اما تفاوت اصلی در میزان یکپارچگی، بلوغ، پایداری و امکانات پیشرفته این قابلیت‌هاست. اما دلیل محبوبیت سری Catalyst 9000 این است که سیسکو این قابلیت‌ها را به شکل گسترده‌تری با سرویس‌های امنیتی و مدیریتی خودش یکپارچه کرده است.

همین موضوع باعث می‌شود بسیاری از سازمان‌های بزرگ، بانک‌ها، اپراتورها و شرکت‌های حساس همچنان به سراغ تجهیزات سیسکو بروند؛ مخصوصاً زمانی که امنیت، مقیاس‌پذیری و پشتیبانی بلندمدت اهمیت بالایی دارد.

پیکربندی امنیتی سوئیچ‌های سیسکو Catalyst 9000 یک فرآیند چندلایه است که باید به‌صورت یکپارچه اجرا شود. رعایت اصول Zero Trust یعنی هیچ دستگاه یا کاربری را به‌طور پیش‌فرض مجاز ندانید و همه چیز را احراز هویت و مجوزدهی کنید.

خلاصه اقدامات ضروری:

• Hardening پایه: غیرفعال‌سازی سرویس‌های غیرضروری، SSH اجباری، timeout مناسب
• Port Security: محدودسازی MAC Address روی هر پورت
• VLAN Security: جلوگیری از VLAN Hopping و تغییر Native VLAN
• DHCP Snooping + DAI: حفاظت در برابر حملات لایه 2
• 802.1X + MAB: احراز هویت تمام دستگاه‌ها قبل از اتصال به شبکه
• CoPP: حفاظت از Control Plane در برابر DoS
• Storm Control: جلوگیری از طوفان‌های ترافیکی
• Logging + SNMP v3: مانیتورینگ و ثبت رویدادها

با اجرای این تنظیمات، زیرساخت شبکه سازمانی شما در برابر اکثر تهدیدات شناخته‌شده محافظت خواهد شد. پیشنهاد می‌شود این پیکربندی‌ها را در یک محیط آزمایشگاهی ابتدا تست کرده و سپس در محیط تولید اعمال کنید.

خرید انواع سوئیچ سیسکو از مسترشبکه بزرگترین فروشگاه اینترنتی تجهیزات شبکه نمایندگی سیسکو در ایران