بایگانی نویسنده: امیرخسرو احمدی

درباره امیرخسرو احمدی

about.me/amirkhosro

اتصال به سوئیچ سیسکو

آموزش اتصال به سوئیچ سیسکو

آموزش اتصال به سوئیچ سیسکو

چگونه به سوئیچ سیسکو متصل شویم ؟!

اتصال به سوئیچ سیسکواولین قدم برای ارتباط با سوئیچ سیسکو و شروع کانفیگ و یا عیب یابی و مانیتورینگ و کلا اولین قدم برای آشنایی با این دیوایس دوستداشتنی است .

در ابتدا که شما به عنوان یک تازه کاربا یک سوئیچ سیسکو مواجه میشوید ، ممکن است کمی سردرگم شوید ، این کاملا طبیعی ست ، پی به اعصاب خود مسلط باشید و با اراده و اطمینان شروع به اتصال به سوئیچ سیسکو برای آغاز راهی پر پیچ و خم و در عین حال شیرین ، نمایید .

روش اتصال به سوئیچ سیسکو ، به دو طریق کلی ست :

  • اتصال به سوئیچ سیسکو از طریق پورت کنسول 
  • اتصال به سوئیچ سیسکو از طریق IP

اتصال به سوئیچ سیسکو از طریق پورت کنسول

وقتی یک سوئیچ سیسکو جدید به دست شما میرسد ، تنها راه اتصال به آن استفاده از پورت کنسول سیسکو است . درون جعبه سوئیچ سیسکو و یا هر یک از محصولات سیسکو یک عدد کابل آبی رنگ معروف به کابل کنسول سیسکو وجود دارد که در مدل های قدیمی ، یک سر آن سوکت RJ45 و در سر دیگر آن DB9 یا همان پورت سریال کامپیوتر است ، که میباست آنرا به یک پورت سریال COM معروف مثلا COM 1 یا COM 2 متصل کنید .

کابل کنسول سیسکو سریال

کابل کنسول سیسکو سریال

با گذشت زمان و پیشرفت تکنولوژی پورت های سریال از روی مادربرد ها جای خود را به پورت های USB و … داد ، حتی سابق بر این نوتبوک ها هم دارای پورت سریال و حتی پارالل نیز بودند و نشان سیسکو کارها این بود که همیشه سعی میکردند نوتبوکی را انتخاب کنند که دارای پورت سریال برای ارتباط با کنسول انواع دیوایس ها باشد ، بنده شخصا 10 سال پیش یک تونبوک توشیبا با 2 پورت سریال و یک پورت پارالل داشتم که خدمت ها در طول جوانی به ما کرد . یادش گرامی :دی

خب متاسفانه دیگر خبری از پورت های نوستالژیک سریال در کامپیوتر ها و نوتبوک ها نیست و لاجرم مجبور به استفاده از پورت سوسول وارانه USB هستیم ، لذا برای استفاده از کابل کنسول سیسکو برای اتصال به سوئیچ سیسکو مجبور به استفاده از تبدیل های نه چندان قابل اطمینان USB به Serial هستیم ،، این آداپتورها ، متاسفانه سابقه خوبی نداشته و هماهنگی مناسبی با انواع سیستم عامل ها در شناسایی درایور خود ندارند ، پس توصیه من به خرید یک مدل گران تر و بی دردسرتر همراه با CD درایور آن است .

تبدیل usb به serial کنسول سیسکو

تبدیل usb به serial کنسول سیسکو

خب البته یک خبر خوب هم هست و آن اینست که در مدل های جدید محصولات سیسکو مثل سری جدید سوئیچ سیسکو 2960s شکل کابل کنسول تغییر یافته و به USB تبدیل شده است و دیگر نیازی به آداپتور و تبدیل serial به usb نیست : )

کابل کنسول جدید سیسکو USB

کابل کنسول جدید سیسکو USB

پورت کنسول سیسکو برای انصال به سوئیچ سیسکو در مدل های قدیمی سوئیچ های سیسکو مثل سسیسکو 2950 ، سیسکو 2960 ، سیسکو 3550 ، سیسکو 3560 و سیسکو 3750 در پشت سوئیچ قرار دارد ، ولی در مدل های جدید سلایق عوض شده و به پنل جلویی منتقل شده ، ظاهرا به این نتیجه رسیده اند که جلو راحت تر و بهتر است :دی

سیسکو 3750 پورت کنسول

سیسکو 3750 پورت کنسول

پورت کنسول سوئیچ سیسکو 2960s

پورت کنسول سوئیچ سیسکو 2960s

خب تا این مرحله برای اتصال به سوئیچ سیسکو پیش رفتیم ، قدم بعدی استفاده از یک برنامه Terminal است ، برای مثال Hyper Terminal ویندوز و یا برنامه محبوب شبکه کاران Putty که میتوانید آنرا از اینجا دانلود کنید .

 سرعت یا همان Baud Rate اکثر محصولات سیسکو به صورت پیشفرض 9600 است ، که البته بعدا میتوانید این عدد را نیز تغییر دهید ،، در صورتی که مشکلی در کابل کنسول سیسکو و پورت COM مربوطه و احیانا آداپتور یا تبدیل usb به سریال شما وجود نداشته باشه ، بعد از روشن کردن سوئیچ سیسکو باید اعلان های مربوط به روند بوت شدن سوئیچ سیسکو را مشاهده کنید ، اما در صورتی که کاراکتر های نا مفهوم بر روی صفحه نقش بست اشکال از Baud Rate است ، که ممکن است قبلا بر روی سرعت دیگری به شکل دستی تنظیم شده باشد ،، لذا میتوانید سرعت های دیگر را نیز امتحان کنید : 1200, 2400, 4800, 9600, 19200, 38400, 57600 and 115200 bit/s.

اگر تمامی موارد بالا را به درستی رعایت کرده باشید و سوئیچ سیسکو شما نیز سالم باشد ، اتصال به سوئیچ سیسکو موفقیت آمیز بوده و  حال میتوانید پس از پایان روند بوت سیستم عامل IOS سیسکو ، شروع به کار با این دیوایس دوست داشتنی کنید .

اتصال به سوئیچ سیسکو از طریق IP

اتصال به سوئیچ سیسکو از طریق IP به چند روش مختلف ممکن است ، که البته تمامی روش ها مستلزم وجود تنظیمات لازم از قبل بر روی سوئیچ سیسکو است ، ما در ایم مقال به سه روش مرسوم میپردازیم :

اتصال به سوئیچ سیسکو از طریق Telnet :

شاید بتوان گفت مرسوم ترین و ساده ترین راه اتصال به انواع دیوایس های سیسکو و شبکه ای از طریق پروتکل محبوب Telnet است ،، این پروتکل بر روی پورت 23 کارکرده و نقطه ضعف آن اینست که تبادل اطلاعات توسط آن به شکل Clear Text و بدون رمزنگاری Encryption صورت میپزیرد و این احتمال شنود و دزدی اطلاعات و رمز عبور و … را در سر راه توسط Sniff کردن اطلاعات ، به شکل بسیار ساده ای میسر میسازد ،، اما به دلیل سادگی ، همچنان بین سیسکو کاران استفاده از telnet برای اتصال به سوئیچ ، روتر و دیگر محصولات سیسکو مرسوم است ، که البته توصیه ما به شما اینست که از telnet فقط در موارد آموزشی استفاده کنید و برای ارتباط با سوئیچ ها و روتر های سیسکو در شبکه های واقعی از پروتکل قوی تر مانند SSH استفاده کنید .

برای اتصال به سوئیچ سیسکو از طریق Telnet ، کارچندانی لازم نیست انجام دهید ، فقط کافی است IP سوئیچ مورد نظر را بدانید و با کمک یک نرم افزار ترمینال مثل Putty یا مثلا ابزار telnet.exe ویندوز که با کامند telnet قابل دسترسیست به سوئیچ سیسکو متصل شوید .

نکته هائز اهمیت این است که صرف تنظیم یک IP بر روی سوئیچ ، نخواهید توانست توسط telnet به سوئیچ سیسکو متصل شوید ، چرا که با پیغامی مبنی بر عدم تنظیم اهراز هویت مواجه میشوید ، بنابراین به جز تنظیم یک IP Address میبایست تنظیمات AAA و همچنین تعریف یک Username و Enable Password را نیز اعمال نمایید ،، جهت یادگیری این تنظیمات مقاله ای ساده و بسیار کارامد  قبلا در سایت شبکه منتشر نموده ایم که میتوانید آنرا مطالعه فرمایید :  آموزش مقدماتی تنظیمات سوئیچ سیسکو .

قطعا دانستن این مقدمات برای پیشرفت سریع تر در یادگیری سیسکو به شما کمک شایانی خواهد کرد: آموزش مقدماتی سیسکو

اگر در هر حال مایل به استفاده از Telnet برای اتصال به سیسکو در شبکه خود هستید ، توصیه ما این است که حتما حتما پورت پیشفرض تلنت ،  که همان 23 میباشد را تغییر داده ، تا حداقل امنیت را تامین نمایید  :

برای چگونگی اینکار این مقاله را مطالعه فرمائید  : تعویض پورت تلنت سیسکو

اتصال به سوئیچ سیسکو از طریق SSH :

SSH بر خلاف telnet پروتکلی بسیار امن با قابلیت رمزنگاری اطلاعات رد و بدل شده است ، که به شکل گسترده از آن برای اتصال به دیوایس های مخالف و محصولات سیسکو استفاده میشود ، SSH به شکل پیشفرض از پورت 22 استفاده مینماید ،، قویا به شما توصیه میکنیم که از SSH برای ارتباط با سوئیچ سیسکو و روتر سیسکو ودیگر دیوایس های سیسکو در شبکه ،، به جای telnet استفاده کرده و حدالمقدور telnet را به کلی مسدود نمائید .

برای اتصال به سوئیچ سیسکو از طریق SSH میتوانید از Putty و یا خط فرمان سیستم عامل های Linux و Max OS با کامند SSH استفاده کنید ، همچنین App هایی نیز برای مبایل هم سیستم عامل اپل IOS و هم گوگل Android برای این کار طراحی شده که میتوانید از آنها بر روی آیفون و آیپد و همچنین گوشی ها و تبلت های اندرویدی استفاده کنید .

برای فعال سازی امکان اتصال به سوئیچ سیسکو از طریق SSH :

Aka-3750(config)#ip domain-name shabake.ir
Aka-3750(config)#crypto key generate rsa
The name for the keys will be: Aka-3750.aka-networks.net
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]:
% Generating 512 bit RSA keys, keys will be non-exportable…[OK]

Aka-3750(config)#end

Aka-3750#sh ip ssh
SSH Enabled – version 1.99
Authentication timeout: 120 secs; Authentication retries: 3

اتصال به سوئیچ سیسکو از طریق HTTP :

اتصال به سوئیچ سیسکو از طریق مرورگر وب هم توسط HTTP و هم HTTPS میسر است که در اینجا برای جلوگیری از پیچیدگی فقط به روش اتصال به سوئیچ سیسکو از طریق پروتکل http بدون رمزنگاری SSL میپردازیم .

سیسکو ذاتا تمایلی به web base نمودن تجهیزات خود نداشته ، ولی اخیرا خواه ناخواه به سمت امکانات web base پیش رفته است ، ولی به شکل پیشفرض شما امکانات محدود و نه چندان زیبا و کارایی در اینترفیس وب محصولات سیسکو خواهید داشت ، برای مثال در وب سوئیچ سیسکو 2960 میتوانید ، شماتیکی از پنل جلویی سوئیچ و ئورت های فعال و سرعت و … مشاهده نمائید .

برای فعال سازی امکان اتصال به سوئیچ سیسکو از طریق http ، فارغ از اینکه میبایست قبلا نتظیمات اولیه سوئیچ را پیاده سازی کرده باشید ، از این دستورات استفاده میکنیم :

Aka-3750(config)#aaa new-model
Aka-3750(config)#username shabake password 0 shabake
Aka-3750(config)#username shabake pri 15
Aka-3750(config)#ip http server
Aka-3750(config)#ip http authentication local
Aka-3750(config)#ip http port 80

حال میتوانید با وارد کردن IP قابل دسترس سوئیچ سیسکو در یک مرورگر وب ، و سپس وارد کردن یوزر و پسورد تعریف شده ، وارد محیط وب نچندان خوشایند و سرد سوئیچ سیسکو شوید : )

توصیه ما به شما عدم فعال سازی دسترسی اتصال به سوئیچ سیسکو از طریق وب به شکل کلی ، به لحاظ موارد امنیتی است ، ولی به هردلیل اگر مایل به استفاده از این امکانات و همچنین اینترفیس های وب و اپلیکیشن هایی که میتوانید بر روی سوئیچ سیسکو و یا روتر سیسکو نصب کنید هستید ، سعی کنید حتما از HTTPS که توسط SSL ، تبادل اطلاعات رمزنگاری میشود استفاده کنید .

البته روش های دیگری نیز برای اتصال و ارتباط و کانفیگ دیوایس های سیسکو وجود درد ، که ما در این مقاله سعی کردیم به شکل ساده و ابتدایی برای افرادی که در ابتدای راه هستند ، ابتدایی ترین راه ها را معرفی نماییم ، که امیدواریم مفید و کاربردی واقع شده باشد ،، با آغوش باز منتظر نظرات و پیشنهادات و انتقادات گرانمایه حضرات ، که دستمایه ما برای ارائه بهتر محتوای فارسی سیسکو ست ، هستیم .

تماس – وایبر – ایمیل :      8444 130 0912     –     66381600 021     –     aka @ aka.ir    

وفقک الله

 

qinq سیسکو

Q-in-Q Tunnel چیست ؟

سیسکو Q-in-Q Tunnel چیست

سیسکو Q-in-Q Tunnel چیست

Q-in-Q Tunnel چیست ؟

شناخت و کانفیگ و پیاده سازی Q-in-Q VLAN Tunnels توسط سوئیچ سیسکو

Q-in-Q Tunnel یکی از راه حل های سیسکو جهت انتقال VLAN های مشتریان توسط سرویس پرواید ها است .

شما تصور کنید که یک مشتری با چند دفتر و شعبه در مکان های مختلف جغرافیای ، نیازمند ، ارتباط بین دفاتر خود و انتقال VLAN های مجموعه ، بین تمامی شعبات خود است . این سازمان به یک سرویس پروایدر مراجعه و دفاتر و مراکز مختلف خود را با گسترش و پراکندگی جغرافیای اعلام کرده و نیازمند ارتباط بین دفاتر و همچنین انتقال VLAN های داخلی خود بین دفاتر است ، چنانچه سرویس پروایدر بخواهد ، VLAN های داخلی مشترک را روی شبکه خود تعریف و انتقال دهد ، به مشکلات و گرفتاری های فراوانی برخورد کرده و همچنین توان مدیریت VLAN ها از مشتری صلب میشود ، و عملا این کار امکان پذیر نخواهد بود ، برای مثال تصور کنید این مشتری بر روی شبکه داخلی خود 100 عدد VLAN داشته باشد و خواهان انتقال این VLAN ها نیز باشد ، راه اول این است که پروایدر یک ارتباط ترانک در تمامی شعبات و مراکز اتصال به شبکه در اختیار متقاضی قرار دهد ، که با توجه با مغایرت ها و تداخل ها ، مشکلات امنیتی و بار اضافی مدیریتی ، عملا این روش امکان پذیرنخواهد بود ، لذا سیسکو برای چنین شرایطی Q-in-Q Tunnel را پیشنهاد میدهد .

Q-in-Q Tunnel در واقع نوعی تانلینگ یا به بیان صحیح تر Double Tagging است ، بدین مفهوم که پروایدر vlan های مشترک را در یک VLAN که با آن اختصاص میدهد ، Encapsulate میکند ، یا تگ میزند ، در واقع یک بار tag برای VLAN که پروایدر به مشترک اختصاص میدهد و tag دیگر مربوط به VLAN های خود مشترک است ، tag داخلی بیانگر VLAN های مشترک و tag بیرونی مربوط به VLAN ایست که سرویس پروایدر به آن مشتری اختصاص میدهد ، به این روش double Tagging و یا tag Stacking اتلاق میگردد .

خب تا اینجا پیش رفتیم که پروایدر در هر branch به مشترک یک پورت با یک vlan مثلا 10 اختصاص میدهد ، و خود مشترک vlan های 1 تا 100 را در مجموعه خود دارد . داستان بدین منوال پیش میرود که وقتی یک پکت از سمت مشتری به پورت سرویس پروایدر میرسد ، که در ایتجا مثلا vlan 10 به مشترک اختصاص داده شده است ، در هنگام عبور از شبکه سرویس پروایدر مادامی که از trunk port ها عبور میکند ، tag خارجی که همان tag مربوط به 10 vlan سرویس پروایدر است ، برداشته و براساس آن ترافیک ، سوئیچ سیسکو و پراسس های مربوطه انجام و دوباره آن tag به آن پکت چسبانده شده تا به پورت خروجی برسد . در پورت خروجی که همان تانل پورت نیز گفته میشود ، دوباره metro tag یا همان tag مربوطه به 10 vlan سرویس پروایدر برداشته و پکت ها با tag مربوط به vlan های سمت مشترک ارسال میشود .

در Q-in-Q Tunnel ، سوئیچ سیسکو فارغ از تگ داخلی عمل میکند ، یعنی با پکت ، مثل یک پکت معمولی چه یک پکت dot 1Q که tag داشته و چه یک پکت بدون tag ، و این در مورد ترافیک های non tagged مثل Native VLAN Frame مشکلات اجرایی را در بر خواهد داشت و سوئیچ سیسکو فقط اقدام به forward پکت مربوطه خواهد کرد .

تگینگ در Q-in-Q Tunnel

تگینگ در Q-in-Q Tunnel

اگر بخواهیم یکبار دیگر به شکل خلاصه سناریو را مرور کنیم : یک پورت معمولی ( access ) با یک VLAN اختصاصی از سمت پروایدر به مشترک اختصاص داده میشود ، مشترک ترافیک dot1Q و تگ شده خود را با VLAN های خود به سمت سوئیچ سیسکو Edge پروایدر ارسال میکند ، سپس این ترافیک در مرز شبکه ، که همان پورت ورودی سمت پروایدر یا tunnel port ، دوباره یک metro tag جدید میخورد ، در واقع پکت ها در دل آن Encapsulate و double tagging میشوند ، سپس ترافیک پس از عبور از شبکه پروایدر که مشتمل از trunk هاست ، بر اساس شماره VLAN که پروایدر به مشترک اختصاص داده ، به سمت پورت خروجی و در واقع edge سمت دیگر هدایت و tag مربوط به vlan پروایدر از آن جدا و ترافیک dot1Q به سمت مشترک سرازیر میشود ، که شامل VLAN های خود مشترک است و سپس در سوئیچ سیسکو مشترک VLAN ها بر اساس تگ dot1Q تفکیک میشود .

سیسکو Q-in-Q Tunnel

سیسکو Q-in-Q Tunnel

بدین منوال ترافیک VLAN های یک مشترک بین سایت و شعبات مختلف آن ، توسط شبکه سوئیچینگ سرویس پروایدر ، به کمک QnQ تانلینگ ، انتقال پیدا خواهد کرد . این تکنیک کمک شایانی به سرویس پروایدر ها به منظور ترانزیت و سرویس های VLAN و ارتباطات interanet و انتقال پهنای باند جهت ارائه به سازمانها و شرکت ها و مراکز آموزشی که قصد برقراری ارتباط بین مراکز خود را داشته (بدون هزینه اضافی برای برقراری ارتباطات نقطه به نقطه ) و یا نیاز به برقراری یک ارتباط پشتیبان دارند ، می نماید . برای مثال یک مرکز آموزشی مثل دانشگاه ، با وجود تعداد زیاد ساختمان ها ( دانشکده ها و مراکز اداری ) ، برای ارتباط بین آنها ، حتی در یک شهر مثل تهران ، نیازمند نصب دکل های وایرلس و خرید تجهیزات وایرلس و مشکلات مربوط به آن و یا استفاده از سرویس های مخابراتی نظیر MPLS و … است ، لیکن میتواند با استفاده از بستر یک سرویس پروایدر و شبکه آن ، تمامی مراکز و ساختمان های خود را با کمترین هزینه به نزدیک ترین پاپ سایت سرویس پروایدر مورد نظر متصل و ترافیک شبکه و VLAN های خود را از طریق آن انتقال دهد . همچنین حتی در صورت وجود ارتباطات نقطه به نقطه ، جهت افزایش UP Time و جلوگیری از قطعی مقطعی ، میتوان  از این روش به عنوان یک مسیر جایگزین Backup Route استفاده نمود .

نکته : با توجه به افزایش 4 بایتی ،بابت اضافه شدن metro tag به پکت ها و سایز 1500 بایتی default میزان mtu سوئیچ سیسکو ، میبایست اقدام به افزایش MTU به 1504 نمائید .

سایز فریم dot1q

سایز فریم dot1q

روش کار :

کانفیگ مربوط به پورت های Edge سوئیچ سیسکو مربوطه به سرویس پروایدر

Shabake(config)# interface gigabitethernet0/1
Shabake(config-if)# switchport access vlan 10
% Access VLAN does not exist. Creating vlan 10
Shabake(config-if)# switchport mode dot1q-tunnel

 از این کامند : no vlan dot1q tag native میتوانید برای جلوگیری از tag زدن به Native Vlan استفاده کنید .

در صورتی که نیازمند به انتقال ئروتکل های لایه دویی مثل STP – CDP و امثالهم هستید ، این روش کارایی نخواهد داشت ، در این روش فقط و فقط VLAN ها با dot1Q tag زده شده و در دل یک VLAN دیگر Encapsulate میشوند ولی برای انتقال لایه 2 ای ، میبایست از Layer 2 Tunneling استفاده کنید که ان شاالله در آینده به آن خواهیم پرداخت .

وفقک الله 

سیسکو bgp route reflector

سیسکو BGP Route Reflector چیست ؟

سیسکو Route Reflector

سیسکو Route Reflector

سیسکو BGP Route Reflector چیست ؟

کانفیگ و پیاده سازی bgp route reflector  توسط روتر سیسکو

BGP route reflector یکی از راه حل های سیسکو برای کاهش پیچیدگی و تعدد ارتباطات iBGP در شبکه های Full Mesh BGP است .

BGP route reflector در واقع یک نوع roll به یک یا چند روتر سیسکو در شبکه Full mesh iBGP واگذار میکند به نحوی که تمامی روتر های همسایه در یک AS به جای اینکه با یکدیگر ارتباط iBGP Peering داشته باشند ، فقط با BGP Route Reflector ارتباط iBGP Peering خواهند داشت ، لذا تعداد peering ها از x(x-1)/2  که در آن x تعداد روتر های آن AS است به x-1 کانکشن به ازای هر bgp route reflector کاهش پیدا خواهد کرد :

iBGP full mesh without route reflector

iBGP full mesh without route reflector

در تصویر بالا تعداد همسایگی های iBGP در شبکه :  x(x-1)/2 است و سپس به کمک bgp route reflector به x-1 کاهش پیدا میکند :

full mesh iBGP with bgp route reflector

full mesh iBGP with bgp route reflector

بدین ترتیب هر روتر در شبکه فقط یک ارتباط iBGP با bgp Route Reflector یا همان RR خواهد داشت و مادامی که یکی از روتر ها اقدام به ارسال Update جدیدی به RR نماید ، RR آن Route Update جدید را به تمامی روتر های دیگر ( بنا به شرایطی ) Reflect خواهد کرد .

روتر و یا روتر هایی که به عنوان RR انتخاب میشود میتواند 3 نوع ارتباط BGP Peering داشته باشد :

  • EBGP
  • iBGP Client
  • iBGP non Client

یک RR در شبکه با روتر های دیگر یا ارتباط iBGP Client دارد و یا iBGP non Client ، که تنها فرقی که وجود دارد این است که وقتی یک route از یک non Client neighbor دریافت میشود ، RR میتواند آنرا به تمامی همسایه ها الا non Client ها Reflect دهد ، درواقع هیچ گاه Update دریافت شده از یک non Client به بقیه non Client ها Reflect نخواهد شد .

 مثال :

مطابق دیاگرام زیر R2 به عنوان RR انتخاب میشود ، مادامی که با R1 و R3 به شکل client neighbor کانفیگ شده باشند ، update های دریافتی از هرکدام به دیگری Reflect خواهد شد ، حتی اگر یکی هم non Client باشد ، باز هم Update ها Reflect میشود ، ولی اگر هر دو non client باشند ، آنگاه ، route update دریافتی از یکی به دیگری reflect نخواهد شد .

مثال پیاده سازی bgp route reflector

مثال پیاده سازی bgp route reflector

R1(config)#router bgp 123
R1(config-router)#neighbor 192.168.12.2 remote-as 123
R1(config-router)#network 1.1.1.1 mask 255.255.255.255

R3(config)#router bgp 123
R3(config-router)#neighbor 192.168.23.2 remote-as 123

R2(config)#router bgp 123
R2(config-router)#neighbor 192.168.12.1 remote-as 123
R2(config-router)#neighbor 192.168.12.1 route-reflector-client
R2(config-router)#neighbor 192.168.23.3 remote-as 123
R2(config-router)#neighbor 192.168.23.3 route-reflector-client

همانطور که ملاحظه میکنید ، روتر R1 ، شبکه 1.1.1.1 را advertise میکند ، R2 این Route Update را به R3 نیز Reflect خواهد داد ، لیکن اگر R1 و R3 به عنوان route-reflector-client معرفی نمیشدند ، این اتفاق نمی افتاد .

به شکل پیشفرض Reflection بین Client ها اتفاق میوفتد ، در صورتی که به هر دلیل نخواهیم Reflection به سمت Client ها انجام شود ، میتوان از این دستور استفاده کرد :

Router(config-router)# no bgp client-to-client reflection

برای درک بهتر و بیشتر bgp route reflection ، شما را به تماشای این اسلاید آموزشی که توسط سیسکو تهیه شده دعوت میکنم .

introducing-route-reflectors – Cisco

وفقک الله

uRPF چیست

سیسکو uRPF چیست ؟

سیسکو uRPF چیست ؟

Unicast Reverse Path Forwarding و افزایش امنیت شبکه های مبتنی بر سیسکو

uRPF یا به شکل گسترده Unicast Reverse Path Forwarding یکی از راه حل های امنیتی سیسکو در شبکه های روتینگی برای افزایش امنیت شبکه و جلوگیری از IP Spoofing و بهره برداری های غیر مجاز است .

به شکل کلی و نظری هر روتر سیسکو هر پکت دریافتی را بدون توجه به Source IP یا همان IP مبدا ، به سمت مقصد یا همان Destination IP هدایت Forward میکند .

در واقع با دریافت هر پکت ، روتر از خود سوال میکند که مقصد این بسته کجاست ( destination IP ) و آیا من میتوانم آنرا forward کنم ؟

اگر بنا به route کردن آن بسته باشد ، روتر به routing table خود نگاه میکند و بسته را با توجه به جدول مسیریابی و یا FIB از طریق اینترفیس مربوطه ، به سمت آدرس مقصد ارسال میکند ، و در این نوع سناریوها ، source IP توسط روتر مورد توجه قرار نمیگیرد.

این نقطه ضعفی برای امنیت شبکه تلقی میشود ، چرا که یک هکر خرابکار میتواند ، با تکنیک IP Spoofing ، اقدام به جعل IP مبدا نموده و بسته ای که قائدتا باید Drop شود را از طریق روتر ، route یا forward کند .

uRPF تکنیک امنیتی ست ، برای مقابله با این قبیل حملات IP Spoofing و همچنین برای افزایش امنیت و جلوگیری از استفاده غیر مجاز از منابع و ساختار شکنی ، بدین ترتیب که در حالت کلی با استفاده از uRPF ، هر Packet قبل از route شدن به سمت مقصد ، ابتدا از لحاظ Source IP مورد بررسی قرار میگیرد ، اگر به ازای  source IP مورد نظر هیچ entry در routing table وجود نداشته باشد ، آن بسته Drop میشود : ) !

uRPF به دو صورت کلی در روتر های سیسکو ئیاده سازی میشود :

  • Strict Mode
  • Loose Mode

Strict Mode :

در این نوع پیاده سازی uRPF در سیسکو ، دو نوع چکینگ صورت می پذیرد ،

  • آیا هیچ entry برای Source IP پکت مورد نظر در Routing Table روتر سیسکو وجود دارد ؟!
  • آیا مسیر دسترسی به Source IP از همان اینترفیسی ست ، که پکت از آن دریافت شده ؟!

اگر بسته مورد نظر از این دو لحاظ مورد تائید بود ، سپس route خواهد شد .

 

urpf strict mode سیسکو

urpf strict mode سیسکو

فعال سازی uRPF به شکل Strict بر روی روتر سیسکو :

Aka-Core(config)#int gigabitEthernet 0/0
Aka-Core(config-if)#ip verify unicast source reachable-via rx

Aka-Core#sh ip interface gig 0/0 | include verify
IP verify source reachable-via RX

Loose Mode :

در این روش از پیاده سازی uRPF ، فقط یک چکینگ روی Packet دریافتی ، قبل از forwarding انجام می شود :

  • آیا هیچ entry در routing table روتر سیسکو برای آدرس مبدا پکت مورد نظر وجود دارد ؟!
urpf loose mode سیسکو

urpf loose mode سیسکو

فعال سازی uRPF به شکل Loose Mode بر روی روتر سیسکو :

Aka-Core(config)#int gigabitEthernet 0/0
Aka-Core(config-subif)#ip verify unicast source reachable-via any
Aka-Core(config-subif)#^Z

Aka-Core#sh ip interface gig 0/0 | include verify
IP verify source reachable-via ANY

بدین ترتیب ، بدون توجه به اینکه مسیر دسترسی روتر به Source IP ، با اینترفیسی که Packet از آن دریافت شده ، مطابقت دارد یا نه ، پکت فقط با بررسی اینکه برای Source IP آن ، مسیری در جدول مسیریابی وجود داشته ، Forward میشود …

uRPF تکنیک بسیار موثر و کارایی در حفظ امنیت و خط مشی شبکه های سیسکو است ، برای مثال ، به یکی از فواید استفاده از uRPF در دنیا که چند سالیست پیاده سازی آن به شکل کامل عمومیت پیدا کرده ، (درلفافه) میپردازیم ،

همان گونه که میدانید ، محل قرار گیری انواع Content Engine ها ( مدیریت محتوا )  در سمت Down Stream پروایدر و Up Stream کاربر است ، به بیان ساده تر ، انواع رگولیشن ها بر روی خط Send کاربر پیاده سازی میشود ، بدین ترتیب ، بعضی از افراد برای فراراز اینگونه محدودیت هایی که هر کشور به فراخور قوانین رگولاتوری بر روی اینترنت اعمال میکرد ، اقدام به برقراری یک تانل بین روتر خود و یک روتر در یک کشور دیگر ( بدون محدودیت های مورد نظر ) و route ترافیک send به سمت شبکه آن سمت تانل می نمودند ، با این حساب ، ارسال بر روی تانل و از طریق شبکه متصل به روتر آن سوی تانل و دریافت از طریق شبکه اینترنت محلی انجام میشد ، و بدین ترتیب ، تمامی محدودیت های اعمالی از طرف پروایدر ، bypass میشد ! :دی

خب بیشتر از این در مورد اینکه دقیقا به چه منظور و چگونه اینکار انجام میشده ، توضیح نمیدهیم ، فقط اینکه ، روتر مجاور ، در یک دیتا سنترو به شبکه یک کشور دیگر متصل بوده ، و وقتی شخص مورد نظر روت IP های خود را به سمت آن روتر قرار میداد ، روتر مذبور بدون توجه به Source IP ، پکت ها را به مقصد هدایت و برگشت (Down Stream ) هم از طریق شبکه کشور مبدا دریافت میشد ، پس از اینکه uRPF در سطح جهانی و به شکل الزامی از طرف Internet Resource Coordination ها پیاده سازی شد ، دیگر امکان route کردن آدرس های غریبه از طریق شبکه های دیگر امکان پذیر نبود و این باعث حفظ امنیت و خط مشی امنیتی شبکه های بزرگ در سطح کشوری و همچنین جلوگیری از اتلاف منابع گردید …

برای اطلاعات بیشتر در این زمینه ، به مقاله : Bogon و راه حل رهایی از Bogon ها ، مراجعه فرمایید .

وفقک الله

فروش ویژه روتر سیسکو 7206

فروش روتر سیسکو 7206

فروش روتر سیسکو 7206

فروش روتر سیسکو 7206

فروش روتر سیسکو 7206 

 7206 VXR NPE G1 G2 فروش ویژه روترسیسکو 

روتر سیسکو 7206 به عنوان یکی از روتر های مرزی سیسکو که اکثرا به عنوان Core Router یا همان روتر اصلی و EDGE یک ISP محسوب میشود ، برای BGP Peering و همچنین ترافیک اصلی شبکه و اتصال به فیبر مخابراتی با استفاده از ماژول STM1 با توجه به قدرت بالای پردازشی و پشتیبانی از ماژول های High End و مخابراتی و قیمت مناسب ، هنوز مورد استقبال شرکت های خدمات اینترنتی و مخابراتی است .

روتر سیسکو 7206 با شاسی VXR قابلیت پشتیبانی از NPE های G1 با قدرت پردازشی یک میلیون پکت در ثانیه و G2 با قدرت پردازشی دو میلیون پکت در ثانیه ، به همراه پشتیبانی از 2 پاور ساپلای ، پاسخگوی نیاز بسیاری از ISP ها و شرکت ها و سازمان ها و مراکز آموزشی تحقیقاتی است .

روتر سیسکو 7206 به همراه NPE G2 بر حسب تجربه شخصی ، امکان روتینگ حدود 2 – STM1 ( حدود 300 مگابیت ) با ارتباطات BGP با چهار Up Stream BackBone و همچنین پیاده سازی ACL ها و ارتباط با IGP داخلی شبکه و ماموریت های معمول یک روتر مرزی را ، داشته و به راحتی نیاز های یک شبکه نسبتا بزرک را با تعداد زیادی پکت و IP آدرس های Valid برآورده ساخته است .

مقایسه قدرت پردازشی روتر های سیسکو – Cisco Router Performance Benchmark

بنچمارک قدرت پردازشی روتر سیسکو

مقایسه قدرت روتر سیسکو

برای مطالعه بیشتر در باره مشخصات دقیق و قابلیت های روتر سیسکو 7206 و همچنین مقایسه های فنی و قابلیت پشتیبانی از ماژول های مختلف ، میتوانید به مقاله ای که پیشتر در سایت شبکه منتشر گردید مراجعه فرمایید :

روتر سیسکو 7206

همکنون این شرکت اقدام به فروش روتر سیسکو 7206 را با NPE های G1 و G2 به صورت تک پاور و دوال پاور با گارانتی معتبر یکساله و قیمت استثنایی ، به مدت محدود و تعداد محدود نموده است ، لازم به ذکر است ، تمامی روتر های سیسکو 7206 با شرایط ظاهری در حد new و همراه با کارتن و متعلقات به شکل تحویل فوری ، ارائه میگردد .

مقایسه شاسی های سری روتر سیسکو 7200 

سری روتر سیسکو 7200

سری روتر سیسکو 7200

 : 7206 NPE G1 قیمت روتر سیسکو

14.000.000 تومان با یکسال گارانتی و تحویل فوری

سیسکو 7206 NPE G2

سیسکو 7206 NPE G2

: 7206 NPE G2 قیمت روتر سیسکو

15.500.000 تومان با یکسال گارانتی و تحویل فوری

سیسکو 7206 NPE G1

سیسکو 7206 NPE G1

فروش روتر سیسکو 7206 با شرایط و قیمت ویژه به تعداد محدود ، با گارانتی یکساله و خدمات فنی رایگان به مدت محدود میباشد .

جهت خرید روتر سیسکو 7206 ، مشاوره رایگان در زمینه خرید تجهیزات سیسکو و کانفیگ و راه اندازی و طراحی شبکه های مبتنی بر محصولات سیسکو ، با ما تماس بگیرید .

66381600 021 – 1308444 0912 – [email protected]

 

smith-mundt's

Split Horizon چیست ؟

Split Horizon چیست

Split Horizon  با طعم Smith-Mundt’s آمریکایی !

Split Horizon یکی از روش ها و یا قوانین کنترل ( Loop ) در شبکه های Dynamic Routed ، که ترافیک آنها توسط روتینگ پروتکل روت میشود است ، در واقع به کمک Split Horizon ، میتوان از بروز دور و تسلسل (Loop) که یکی از مهمترین آفت های روتینگ پروتکل ها ، در شبکه است ، جلوگیری کرد .

Split Horizon با اتکا به اصلی  بسیار ساده و کارا ، از بروز چرخه یا loop در شبکه جلوگیری میکند ، بدین ترتیب که :

”  هیچ گاه ، Network هایی که در یک update از یک اینترفیس (interface) دریافت شده ، از همان interface دوباره (تبلیغ) Advertise نمیشود “

این بدین معنیست که بر طبق قانون Split Horizon ، هر گاه یک روتر توسط یک اینترفیس خود ، مثلا Fast0/0 با روتری همسایه باشد ، و در یک Update ، نتورکی ، مثلا 192.168.0.0/24 را از آن روتر دریافت کند ، هیچ گاه ، دوباره نتورک 192.168.0.0/24 را نه به روتر مبدا ، و نه به هیچ روتر دیگری که بر روی همان اینترفیس با آن همسایه است ، تبلیغ نخواهد کرد .

split horizon چیست

split horizon چیست

این قانون بسیار کاراست و باعث جلوگیری از به وجود آمدن بسیاری از Loop ها در شبکه های حتی بزرگ نیز میشود ، فقط در بعضی موارد خاص اقدام به غیر فعال کردن این قابلیت بر روی اینترفیس ها میکنند ، برای مثال یک شبکه RAS یا DMVPN که که قبلا به توضیح آن پرداختیم ، در نظر بگیرید ، در صورت فعال بودن Split Horizon ، هیچ روتینگ پروتکلی ، قادر به کارکرد نخواهد بود ، به لحاظ اینکه ، تمامی روتر ها بر روی اینترفس tunnel خود ، با روتر هاب ، همسایه هستند ، لذا ، بنا بر قانون Split Horizon ، روتر هاب ، از ارسال آپدیت نتورک ها خود داری میکند ، زیرا از همان اینترفیس آنها را دریافت کرده است ، بنابراین میبایست در برخی موارد و نیز در شبکه های کنترل شده LAN و Frame Relay به شکل Point to Multipoint ، اقدام به غیرفعال نمودن Split Horizon بر روی روتر سیسکو ، جهت کارکرد صحیح روتینگ پروتکل ها ، نمود ، البته شایان ذکر است که Split Horizon به صورت default برای RIP بر روی Frame Relay ، غیر فعال است .

جهت غیر فعال کردن Split Horizon بر روی روتر سیسکو و یک اینترفیس ، در یک شبکه EIGRP از این دستور استفاده نمائید :

Aka-Core(config-subif)#no ip split-horizon eigrp 1

split horizon

split horizon

از آنجایی که کشور آمریکا ، مهد تکنولوژی و نظم و امنیت و صدالبته آزادی omg! و حقوق بشرو طرفدار سینه چاک دسترسی عموم به جریان آزاد اطلاعات است ، این قانون با نام مستعار Smith-Mundt’s در سال 1948 ، حتی قبل از ظهور شبکه :)) در آمریکا تصویب و براساس آن ، دریافت هرگونه اخبار ، شانتاژ ، تهاجم فرهنگی ، فضاسازی ، بمب خبری ، شایعه و … که توسط آمریکا ، برای کشور های مخالف آزادی و مدافع فیلترینگ مثل ایران :دی ، ارسال میشود ، توسط شهروندان شخیص و انسان و گوسپند آمریکایی ، ممنوع است ، لذا تمامی خبرگذاری ها ملزم به جلوگیری از درز اخبار از منابعی مثل voa و امثالهم به رسانه های عمومی و داخلی آمریکا هستند ! و اینگونه شهروندان در رفاه و آرامش و صد البته آزادی ، به خوبی و خوشی در مراتع سرسبز ، زندگی ، نه ،  میچرند !!

بین کارشناسان و فعالان آمریکایی ، این قانون به دیوار آتش Firewall خودمان ، مثل ASA سیسکو :دی ، معروف است :)) !

مرگ بر آمریکا