بایگانی نویسنده: امیرخسرو

روتینگ توسط سوئیچ لایه سه سیسکو

روتینگ توسط سوئیچ سیسکو

پاسخ دهید
روتینگ توسط سوئیچ لایه سه سیسکو

روتینگ توسط سوئیچ لایه سه سیسکو

روتینگ توسط سوئیچ سیسکو

فعال کردن امکان روتینگ توسط سوئیچ لایه سه سیسکو

روتینگ امکان جالب و هیجان انگیزی برای یک سوئیج است ، به تعبیری ، روتینگ حدفاصل بین سوئیچ و روتر را کمتر میکند ، در واقع محصولات جدید سیسکو را نه میتوان روتر نامید نه سوئیچ ، چون مثلا سری 6500 امکانات لایه یک تا هفت را در حد عالی به شما ارائه میکند که این باعث میشود تصویر ذهنی کاربران نسبت به این محصولات عوض شود …

روتینگ قابلیتی است که ما منحصرا آن را در اختیار روتر های در محصولات سیسکو میئنداشتیم ، اما با ارائه سوئیچ کاتالیست سیسکو 3550 ، و امکانات فوق العاده لایه 3 آن ، نظر ها عوض شد . در نگاه یک کارشناس شبکه ، سوئیچ لایه سه سیسکو ، ابزاری همه فن حریف است که پاسخگوی گستره وسیعی از نیازهای شبکه است ، محدودیت تعداد پورت روتر را نداشته و همچنین از فناوری ASIC برای پردازش استفاده میکند که این باعث load کمتر و سرعت بیشتر است البته نباید این نکته را فراموش کرد که سوئیچ ها اساسا سوئیچ هستند . برای این کار بهینه سازی شده اند ، برای مثال RAM سوئیچ ها قابل ارتقاء نبوده و از ماژول های WIC و NM و همچنین ارتباطات WAN و تکنولوژی های مربوط به آن پشتیبانی نمیکنند در واقع سوئیچ ها با VLAN ها کاردارند و این امکانات روتینگی لایه سه ، این مزیت را به سوئیچ های سیسکو میبخشد که بتوانند ترافیک این VLAN ها را هم Route کنند .

روتینگ قابلیت بسیار مهمی بود که سیسکو از سری 3550 به سوئیچ های میان رده خود اضافه نمود که پس از آن 3560 با بهبود های فراوان و سپس سوئیچ سیسکو 3750 ، پادشاه سوئیچ های سیسکو با قابلیت های فراوان و قدرت بالا ، حلال مشکلات شبکه ها و مطلوب متخصصان شبکه گردید ، بدین ترتیب که در اکثر پیاده سازی ها ، حضور سوئیچ سیسکو 3750 به عنوان جزئی بی بدیل از شبکه مشاهده میشود .

البته محدودیت های و تفاوت های زیادی بین یک روتر و یک سوئیچ لایه سه وجود دارد که نمی توان از آن چشم پوشی کرد و همیشه نیاز به یک روتر صرف در شبکه های حتی کوچک هم حس میشود برای مثال امکانات NAT کردن در سوئیچ های لایه سه وجود ندارد ، ولی با تمام این احوال ، امکانات dynamic routing و پشتیبانی از پروتکل های روتینگی مهمی مثل EIGRP – OSPF – BGP و همچنین استاتیک روتینگ ، Policy Based Routing امکانات ACL حرفه ای و QOS و خیل کثیری از امکانات روتر ها در سوئیچ های لایه 3 وجود داشته که با توجه به تعدد پورت ها ، استفاده از آنها در بسیاری از ماموریت ها ، راه گشا خواهد بود .

برای فعال کردن امکانات روتینگ در سوئیچ لایه سه ، مثل سوئیچ سیسکو 3750 ، و تبدیل آن به یک روتر ، کار چندانی لازم نیست که انجام دهید ، کافیست ابتدا با دستور IP Routing ، امکانات روتینگ را فعال کرده و پس از آن میتوانید به هر پورت IP اختصاص دهید و یا پورت ها را در لایه 2 قرار داده و به vlan ها IP دهید ، از دیگر قابلیت ها امکان فعال سازی DHCP برای اختصاص IP به کلاینت ها و همچنین فعال سازی dynamic routing protocol است .

نکته جالب اینکه ، پس از فعال کردن امکانات روتینگ سوئیچ لایه سه سیسکو ، خللی در کارکرد لایه دو آن ایجاد نمیشود ، بلکه میتوانید تنظیمات لایه دو خود را نظیر vlan ها و پورت های trunk و همچنین stp – vtp – etherchannel را نیز داشته باشید .

مثال : فعال کردن امکانات روتینگ :

Aka-3750(config)#ip routing

اختصاص IP به یک پورت خاص

Aka-3750(config)#int gi 1/0/20
Aka-3750(config-if)#no switchport
Aka-3750(config-if)#ip add 217.218.1.1 255.255.255.0

کانفیگ پورت به صورت لایه 2 و اختصاص IP به vlan مربوطه :

Aka-3750(config-if)#switchport
Aka-3750(config-if)#switchport mode access
Aka-3750(config-if)#sw acce vlan 303

Aka-3750(config)#int vlan 303
Aka-3750(config-if)#ip add 217.218.1.1 255.255.255.0

فعال کردن eigrp :

Aka-3750(config)#router eigrp 1
Aka-3750(config-router)#network 217.218.1.0 0.0.0.255
Aka-3750(config-router)#redistribute connected
Aka-3750(config-router)#no auto-summary

نوشتن یک استاتیک روت :

Aka-3750(config)#ip route 8.8.8.8 255.255.255.255 172.16.64.1

نوشتن یک ACL و اختصاص آن :

Aka-3750(config)#ip acce e 110
Aka-3750(config-ext-nacl)#per ip 217.218.1.0 0.0.0.255 any
Aka-3750(config-ext-nacl)#per icmp an any
Aka-3750(config-ext-nacl)#per tcp an an eq 80
Aka-3750(config-ext-nacl)#deny ip any any

Aka-3750(config)#int vlan 301
Aka-3750(config-if)#ip access-group 110 in

اینها مثال هایی بود از گوشه ای از امکانات لایه سه ایه سوئیچ های لایه سه سیسکو ، که با فعال کردن قابلیت روتینگ آن ، دری جدید از امکانات و قابلیت ها به روی شما گشوده خواهد شد .

در کل با تمام کارامدی سوئیچ های لایه سه سیسکو ، نباید ماموریت ذاتی و اصلی این تجهیزات که همانا سوئیچینگ است را از خاطر برد ، این سوئیچ ها با بهبود های نرم افزاری صورت گرفته امکانات روتینگ را نیز برای بهبود عملکرد دارا بوده ، ولی نباید از آنها قابلیت های یک روتر تمام عیار را انتظار داشت همانطور که با اضافه کردن یک ماژول سوئیچ NME-X-23ES-1G به یک روتر ISR نمیتوان قابلیت ها و پرفورمنس کامل یک سوئیچ را از آن انتظار داشت ، چون یک روتر است !! ولی در مواردی مثلا یک pop site و یا در مقاطعی که نیاز به تعدد پورت و همچنین روتینگ باشد ، به جای استفاده از یک سوئیچ در کنار روتر و inter vlan routing ، میتوان از امکانات ویژه یک سوئیچ لایه سه بهره مند گردید .

وفقک الله

سیسکو پاور ساپلای

فروش پاور روتر و سوئیچ سیسکو

2 پاسخ
پاور روتر

پاور روتر

فروش پاور روتر و سوئیچ سیسکو

فروش منبع تغذیه انواع روتر ها و سوئیچ های سیسکو

پاور روتر یا پاور سوئیچ سیسکو یکی از قطعاتیست که بیشتر در معرض استحلاک و خرابیست ، و الا میتوان با قدرت گفت که تجهیزات سیسکو یکی از پایدار ترین و مقاوم ترین دیوایس های موجود است ، کما اینکه هنوز شما روتر های 15 سال پیش ، مثل سری های سیسکو 1600 ، روتر سیسکو 1700 ، روتر سیسکو 2500 و روتر سیسکو 2600 و همچنین سوئیچ سیسکو 2950 و سیسکو 3550 که سال ساخت آنها بیش از 15 سال پیش بازمیگردد ، و مثل روز اول ، بدون کوچکترین مشکلی کار میکنند و حتی فن آنها که قطعه ای فیزیکی و مستحلک شونده است ، نیز به صدا نیوفتاده ! بنده هنوز اولین روتر سیسکو یی که برای یادگیری خریدم ، که یک روتر سیسکو 1605 بود ، در اختیار دارم که حتی آداپتور آن نیز سالم است ، که این نشان از کیفیت بالای قطعات ، مهندسی دقیق ، که برگرفته از تخصص های متفاوت به جز الکترونیک ؛ مثل سیالات و مکانیک و طراحی صنعتی ست ، می باشد .

پاور مشتمل از قطعات مختلف الکترونیکی ست ، برای مثال خازن ها یکی از مشهور ترین و بدنام ترین قطعات هستند ،، حتما اصطلاح باد کردن خازن را شنیده اید ،، معمولا خازن ها پس از اتمام عمر مفیدشان ، باد میکنند که میبایست تعویض شوند ، پاور های سیسکو خیلی به ندرت این مشکل برایشان پیش می آید .

خازن بادکرده

خازن بادکرده

به لطف برق صاف و سیسنوسی کامل . بدون نوسان ، تنها قسمتی که در معرض بیشترین خرابی است ، پاور روتر سیسکو و یا پاور سوئیچ سیسکو ست ، که البته نگهداری نا مناسب و محل های نصب غیر استاندارد ، وجود گرد و غبار و همچنین درجه حرارت بالا ، این مشکل را تسریع میکند .

بد نیست بدانید ، روتر های سیسکو دارای چند سنسور دمایی هستند ، که به کمک آنها دور فن ها را کم و زیاد میکنند ، مثلا اگر به صدای روتر های سری ISR توجه کرده باشید ، وقتی دما از حدی بالاتر میرود ، صدای فن ها بیشتر شده و دور آنها بالاتر میرود که حرارت ایجاد شده که اکثرا مربوط به پاور روتر و یا سوئیچ سیسکو است ، از شاسی خارج شود که هم خود پاور و هم برد اصلی و بقیه ماژول های روتر و یا سوئیچ آسیب نبینند .

روتر سیسکو به شکل کاملا هوشمند وضعیت فن های شاسی را بررسی و مانیتور میکند و به محض مشاهده مشکل در یکی از آنها ، هشدار لازم را در خصوص خرابی و یا مشکل در مورد فن ، تحت عنوان یک trap اعلام مینماید که شما میتوانید در کنسول و یه syslog آنرا مشاهده و نسبت به رفع آن اقدام کنید :

AkaNet-interior2811-vlan700FE0/1#
Jul 26 12:40:11.446: %ENVMON-4-FAN_LOW_RPM: Fan 3 service recommended
Jul 26 12:40:41.444: %ENVMON-4-FAN_LOW_RPM: Fan 3 service recommended
Jul 26 12:41:11.455: %ENVMON-4-FAN_LOW_RPM: Fan 3 service recommended

از نظر بنده ، این در نوع خود یک جنایت است که یک روتر و یا سوئیچ سیسکو و یا هر دیوایس سیسکو یی را در شرایط نا مناسب نگهداری کنید ،، زیرا این فقط یک دستگاه نیست ، بلکه یک اثر هنریست :دی !

همنانطور که عرض شد ، تجربه نشان داده که تنها قطعه ای که بیشترین خرابی را در روتر ها و سوئیچ های سیسکو دارد ، پاور روتر سیسکو ، یا همان منبع تغذیه است ،، البته از آنجا که سیسکو فکر همه جا را کرده ، برای اکثر تجهیزات خود امکان نصب منبع تغذیه بکاپ Redundant Power Supply را در نظر گرفته است ، در سری های قوی تر این پاور به شکل اینترنال و در سری های میان رده و ساده تر به شکل external در نظر گرفته شده ، برای مثال اگر به پنل جلویی روتر 2811 توجه کنید ، خواهید دید که یک برچسب وجود دارد که محل نصب منبع تغذیه بکاپ است ،  این کانکتور در سوئیچ های سیسکو در پشت سوئیچ قرار دارد .

سوئیچ سیسکو 3750 پاور

سوئیچ سیسکو 3750 پاور

سیسکو 2811 Redundant power

سیسکو 2811  Redundant power  پاور

سیسکو 2851 Redundant Power

سیسکو 2851 Redundant Power پاور

همینطور که در تصاویر فوق مشاهدا میکنید ، امکان نصب پاور ساپلای اکسترنال در سوئیچ های سیسکو و روتر های رده متوسط و پایین سیسکو به شکل خارجی و یا ثابت وجود دارد ، در مورد روتر های سیسکو به اصطلاح سنگین ، یا High End پاور ساپلای به شکل داخلی و Hot Swap در شاسی قرار میگیرد ، برای مثال در سری های ISR و ISR G2 میتوان به روتر سیسکو 3845 و روتر سیسکو 3945 اشاره کرد :

روتر سیسکو 3945

روتر سیسکو 3945

روتر سیسکو 3845

روتر سیسکو 3845

پاور در سری های پر قدرتی مثل روتر سیسکو 7200 ، روتر سیسکو 7600 و سوئیچ سیسکو 6500 یکی از کلیدی ترین عناصر شاسی محصوب میشود و جزء مهمی در یک روتر یا سوئیچ زیرساخت به شمار میآید ، زیرا هم در مواردی یک پاور پاسخگوی نیاز دستگاه نیست و هم در میزان قطعی و UP Time شبکه در زمان خرابی ، تاثیر به سزایی خواهد داشت .

یکی دیگر از مزایای استفاده از پاور ریداندنت Redundant Power Supply ، امکان استفاده از 2 منبع انرژیست ، بدین نحو که ، شما در دیتا سنتر خود ، دارای دو UPS که هر کدام از یک فاز تغذیه میشوند هستید ، با اتصال هر پاور به یک UPS مجزا ، در صورتی که یکی از UPS ها دشارژ شود ، روتر به کمک UPS و پاور دیگر بدون وقفه به کار خود ادامه خواهد داد .

سیسکو 7206 دوال پاور

سیسکو 7206 دوال پاور

سری سوئیچ های سیسکو 6500

سری سوئیچ های سیسکو 6500 همراه با پاور ریداندنت

همانطور که ملاحظه می کنید  در سری های High End ، پاور ساپلای جزء بسیار مهم و کلیدی است و نقش مهمی در پایداری دیوایس سیسکو ، که مسئولیت خطیری داشته ، بر عهده دارد .

در کل به چند نکته توجه کنید ، سعی کنید حتما  روتر سیسکو و یا سوئیچی که در نقاط استراتژیک شبکه قرار دارد را به پاور ریداندنت مجهز کرده و از یک منبع برقی متفاوت برای هر پاور استفاده کنید .

نکته مهم دیگر اینکه ، حتما برای تغذیه تجهیزات سیسکو و کلا هر نوع دیوایس حساس از برق صاف که توسط UPS مناسب که خروجی سینوسی کامل و بدون نوسان داشته استفاده کنید .

از آنجایی که اعم گرمای تولیدی روتر ها و سوئیچ های از پاور است ، و گرما برای پاور و دستگاه های الکترونیکی سم است ، حتما محل قرارگیری تجهیزات و رک های را از لحاظ میزان حرارت مناسب ( زیر 20 درجه ) و همچنین گرد و غبار ، در شرایط ایده آل حفظ کنید ، این نکته در مورد پاپ سایت ها که اغلب  تجهیزات در اتاقک ها و بر روی پشت بام است قطعا مشکل ساز خواهد بود ، لذا در صورت امکان از کولر گازی و هوا ساز برای پالایش گرد و غبار و حفظ دما استفاده کنید ، زیرا اولین چیزی که از کار خواهد افتاد فن های دستگاه و سپس خود دستگاه خواهد بود !

میتوانید برای خرید پاور ساپلای ارجینال انواع روتر سیسکو و سوئیچ سیسکو ، سری های ISR 2800 – ISR 3800 – ISR G2 2900 – ISR G2 3900 و روتر سیسکو 7200 ، روتر سیسکو 7600 و همچنین سوئیچ سیسکو 3550 – سوئیچ سیسکو 3560 – سوئیچ سیسکو 3750 – سوئیچ سیسکو 2960 و پاور یا همان منبع تغذیه تجهیزات سیسکو ، با گارانتی و قیمت مناسب و تحویل سریع با ما تماس بگیرید .

66381600 021 – 1308444 0912

سیسکو IP SLA چیست ؟

2 پاسخ

سیسکو IP SLA چیست ؟

آموزش مفهوم IP SLA و کانفیگ IP SLA Route Tracking توسط روتر سیسکو

IP SLA و یا به شکل گسترده IP Service Level Agreements ابزاریست در IOS سیسکو برای بررسی عملکرد و کیفیت سرویس ها و ارتباطات ، بر روی بستر IP .

IP SLA به ما امکان بررسی و جمع آوری اطلاعات در مورد میزان تاخیر پکت ها Packet Delay ، میزان Packet Loss ، برقراری ارتباطات ، میزان Jitter ، کیفیت صدا در ارتباطات voip ، بررسی یک مسیر به شکل hop by hop ، در دسترس بودن یک سرویس و .. که تمامی این امکانات ، باعث میشود که میزان پایداری شبکه و کیفیت سرویس QOS بالا رفته و از Down Time ها و network outage ها به شکا قابل ملاحظه ای کاسته شود ، همچنین با ابزار هایی نظیر SNMP و نرم افزار CiscoWorks Internetwork Performance Monitor و یا حتی نرم افزار های third part ، امکان بررسی و جمع آوری اطلاعات در زمینه کارکرد شبکه و کیفیت سرویس فراهم می آورد .

برخی از انواع بررسی ها و نوع عملکرد و سرویس IP SLA ، بدین صورت است :

• Data Link Switching Plus (DLSw+)
• Domain Name System (DNS)
• Dynamic Host Control Protocol (DHCP)
• File Transfer Protocol (FTP)
• Hypertext Transfer Protocol (HTTP)
• ICMP echo
• ICMP jitter
• ICMP path echo
• ICMP path jitter
• Real-Time Transport Protocol (RTP)-based VoIP
• Transmission Control Protocol (TCP) connect
• UDP echo
• UDP jitter
• UDP jitter for VoIP
• VoIP gatekeeper registration delay
• VoIP post-dial delay

IP SLA برای دستیابی به نتایج و اطلاعات ، مبادرت به بررسی دائمی ترافیک عبوری ، تولید و شبیه سازی ترافیک ، می ورزد ، که بدین ترتیب امکان بررسی و جمع آوری اطلاعات از وضعیت شبکه ، منابع ، مسیر ، سرویس و … را فراهم می آورد .

یکی از مثال های ساده پیاده سازی IP SLA ، مانیتورینگ یه مسیر ، میزان تاخیر ، میزان پکت لاس و همچنین ، برقراری و قطع میسر است که توسط یک سنسور ،  ارزیابی میشود . این سنسور اقدام به ارسال بسته های ICMP  به مقصد مشخص و در فواصل معین نموده ، و نتیجه را یا به شکل میزان تاخیر مسیر و یا به عنوان UP یا Down بودن مسیر گذارش میکند .

از این کاربرد میتوان در Floating Static Route استفاده کرد ، بدین ترتیب که برای مثال ، در یک شبکه ، یک آپلینک اینترنت و یک لینک بکاپ وجود دارد ، میخواهیم ، در صورت قطع ارتباط اصلی ، ارتباط از طریق لینک بکاپ برقرار شود .

یکی از سناریو های پر کاربرد در ایران ، بدین ترتیب است که اکثر ISP ها ، علاوه بر ارتباط رادیویی با uplink خود که مثلا میتوانید ماکروویو باشد ، یک ارتباط اینترانتی نیز بر روی فیبر هم با ISP بالادست خود ، یا مخابرات دارند ، خب البته که ماکروویو ارجح است ، چون تاخیر کمتری داشته و همچنین به ISP ، بار اضافی over head تحمیل نمیکند ، ولی در هر صورت ، اگر این لینک down شود ، میبایست ترافیک به شکل خودکار از روی لینک فیبر و یا همان اینترنت ، یا هر لینک دوم دیگری ، عبور کند ، البته هم برای send این کار را کرد و هم receive که میتواند BGP peering باشد .

مراحل کار بدین ترتیب است ، که ابتدا IP SLA را برای مقصد مورد نظر ، جهت ارسال بسته های icmp در پریود های مشخص تنظیم کرده و برای آن یک schedule تعریف می نماییم ، سبس برای بررسی up/down بودن مسیر از tracking object بهره میبریم :

سیسکو ip sla

سیسکو ip sla

Shabake(config)# ip sla 1
Shabake(config)# icmp-echo 217.218.1.2 source-interface GigabitEthernet0/0
Shabake(config)# timeout 1000
Shabake(config)# threshold 2
Shabake(config)# frequency 3
Shabake(config)# ip sla schedule 1 life forever start-time now

مطابق شکل ، ما IP SLA را برای مانیتور کردن ارتباط به روتر R2 بدین ترتیب که هر 3 ثانیه با timeout 1 ثانیه ، بسته های icmp را ارسال کند و میزان تاخیر لینک ( یا همان امکان دسترسی )  را بررسی نماید .

سپس با کمک Object Tracking که از امکانات داخلی IOS سیسکو است ، خروجی IP SLA را بررسی میکنیم :

Shabake(config)# track 1 ip sla 1 reachability

جهت بررسی عمکرد IP SLA و همچنین Tracker :

Shabake#sh ip sla statistics 1
IPSLAs Latest Operation Statistics
IPSLA operation id: 1
        Latest RTT: 2 milliseconds
Latest operation start time: 01:57:19.412 tehran Fri Jul 25 2014
Latest operation return code: Over threshold
Number of successes: 10
Number of failures: 0
Operation time to live: Forever

Shabake#sh track 1
Track 1
IP SLA 1 reachability
Reachability is Up
1 change, last change 00:00:14
Latest operation return code: Over threshold
Latest RTT (millisecs) 2

همانطور که ملاحظه میکنید ، RTR مسیر 2 میلی ثانیه و وضعیت لینک UP است .

خب ، همکنون باید از این Tracker در Floating Static Route استفاده کنیم ، بدین ترتیب که ، ما برای بررسی وضعیت مسیر به روتر R2 یک سنسور داریم ، پس کافی است از آن به عنوان default route استفاده کرده و یک route با metric بالاتر به سمت R3 بنویسیم :

Shabake(config)# ip route 0.0.0.0 0.0.0.0 217.218.1.2 track 1
Shabake(config)# ip route 0.0.0.0 0.0.0.0 217.218.2.2 20

تا زمانی که وضعیه track 1 به شکل UP باشد ، ترافیک از به سمت R2 به لحاظ metric کمتر میرود ، وقتی که ارتباط با R2 به شکل برخورد ، وضعیت Track 1 به حالت Down در آمده و ترافیک به سمت R3 خواهد رفت .

این سناریو به سادگی در شبکه های MultiHome BGP با چند BGP Peer و چندین ارتیاط برای send نیز قابل پیاده سازیست .

وفقک الله

Protected Port چیست ؟

۱ پاسخ
Protected Port چیست ؟

Protected Port چیست ؟

Protected Port چیست ؟

آموزش مفهوم Protected Port و پیاده سازی آن در سوئیچ کاتالیست سیسکو

Protected Port یکی از قالبیت های ساده ولی هیجان انگیز و کارا در سوئیچ کاتالیست سیسکو ست ، که امکان افزایش ضریب امنیتی و مدیریتی را در سوئیچ سیسکو فراهم می آورد .

به زبان ساده Protected Port قابلیتی است که ازارتباط پورت های یک VLAN یا Broadcast Domain  با یکدیگردر سوئیچ کاتالیست سیسکو جلوگیری مینماید ، به بیان دیگر ، مثلا یک سوئیچ 2960 سیسکو را در نظر بگیرید که همه پورت های آن به صورت دیفالت در یک vlan  قرار دارند ، پس همگی آنها میتوانند با هم در ارتباط باشند و مثلا از منابع و فایل های کامپیوتر هایی که به آن پورت ها متصل اند ، استفاده کنند ،، فرضا شما میخواهید پورت fast0/1 که متصل به کامپیوتر آقای X است ، با پورت fast0/12 که مربوط به کامپیوتر خانوم xxx است  ( که با هم فولدر آهنگ ها و …. را share کرده اند ) ، ارتباط نداشته باشند ولی به شبکه که به مابقی پورت های سوئیچ سیسکو 2960 متصل است دسترسی و امکان تبادل اطلاعات را داشته باشد ،، خب چه باید کرد  ؟!                                                 راه حل استفاده از قابلیت Protected Port است ، بدین ترتیب که ما پورت های fast0/1 و fast0/12 را Protected میکنیم ، بدین ترتیب ، این دو پورت با یکدیگر ( و دیگر پورت های protected ) نمیتوانند تبادل اطلاعات نموده ، لکن ، به مابقی شبکه دسترسی دارند .

Cisco Protected Port

Cisco Protected Port

به شکل کلی ، در یک Broadcast Domain سوئیچ سیسکو ، هر پورت Protected نمیتواند با هیچ پورت Protected دیگری ارتباط داشته باشه ، ولی میتواند با پورت های Unprotected ارتباط داشته باشد .

همانطور که در تصویر بالا مشاهده میکنید ، پورت های مربوط به کلاینت A و کلاینت B به شکل Protected در آمده و نمیتوانند با یکدیگر ارتباط داشته باشند ، ولی میتوانند با Server که به یک پورت Unprotected متصل است ، ارتباط داشته باشند .

برای قراردادن یک پورت سوئیچ سیسکو در حالت Protected کافیست از این کامند استفاده کنید :

AkaNet-3750ex144-f28-#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
AkaNet-3750ex144-f28(config)#interface GigabitEthernet1/0/5
AkaNet-3750ex144-f28(config-if)#switchport protected
AkaNet-3750ex144-f28(config-if)#^Z

AkaNet-3750ex144-f28#sh int gi 1/0/5 switchport
Name: Gi1/0/5
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: negotiate
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 807 (cisco asa dmz1)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL
Protected: true
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
AkaNet-3750ex144-f28#

همانطور که مشاهده کردید ، در پایان خروجی دستور sh int gi 1/0/5 switchport ، قید شده است : Protected: true .

وفقک الله

سیسکو nhrp

NHRP – پیاده سازی DMVPN و NHRP توسط روتر سیسکو

۱ پاسخ

NHRP – پیاده سازی DMVPN و NHRP توسط روتر سیسکو

آموزش کانفیگ DMVPN توسط NHRP بر روی روتر سیسکو

NHRP یا Next Hop Resolution Protocol پروتکلی شبه ARP است Address Resolution Protocol (ARP)-like که در محیط های nonbroadcast multiaccess – NBMA  مثل اینترنت ، امکان دسترسی Dynamic به IP های حقیقی دیوایس های متصل به NBMA را فراهم مینماید .

در این سیستم یک روتر نقش NHS – Next hope server و مابقی روتر ها که به آنها Spoke گفته میشود نقش NHC Next hope Client را دارند ، بدین ترتیب که همگی با NHS در ارتباط بوده و NHS نقش hub را ایفا میکند ، در صورتی که نیاز به یک ارتباط Spoke to Spoke باشد ، NHRP و NHS به عنوان واسط ، این ارتباط را مستقیما بین NHC ها توسط تانل های DMVPN در لحظه برقرار میکنند .

برای روشن تر شدن مطلب به مثال میپردازیم :

برای مثال شرکتی با یک مرکزیت و 2 دفتر را در نظر بگیرید ، روتر سیسکو مرکزی که در مقر اصلی شرکت قرار دارد همام NHS ماست و روتر های سیسکو دفاتر نقش NHC را بازی میکنند که میبایست یک ارتباط مثلا GRE – Multipoint بین آنها و روتر سیسکو مرکزی برقرار باشد .

در صورت نیاز به تبادل اطلاعات بین شعب یا همان دفاتر فرعی با یکدیگر ، NHRP وارد عمل شده و دو روتر سیسکو NHC شعب اقدام به ایجاد یک تانل DMVPN مستقیم بین خود توسط IP های اینترنتی مینمایند و ارتباط مادامی که نیاز به انتقال اطلاعات باشد establish باقی خواهد ماند و پس از اتمام ، قطع خواهد شد ، بنابراین ، چون ارتباطات مستقیم و بدون relay شدن از NHS است ، در پهنای باند و دیگر منابع NHS صرفه جویی خواهد شد و همچنین ، یکی از مهمترین مزایا ، امکان اضافه شدن NHC جدید به این مجموعه بدون نیاز به برقراری ارتباطات جدید بین روتر های سیسکو دفاتر و روتر مرکزی و تغییرات عمده است .

NHRP چیست

NHRP چیست – DMVPN

مراحل کار بدین ترتیب است ، ابتدا روتر سیسکو مرکزی را به عنوان NHS توسط یک تانل GRE PTMP کانفیگ میکنیم :

interface Tunnel10
description PTMP GRE Tunnel Central Router 
ip address 172.16.1.1 255.255.255.0
no ip redirects
ip nhrp authentication shabake
ip nhrp map multicast dynamic
ip nhrp network-id 1
tunnel source 217.218.0.10
tunnel mode gre multipoint

در اینجا network-id یک عدد یکتاست که به این ارتباط اختصاص میدهیم و جهت امنیت از یک رمز مثل shabake استفاده میکنیم .

سپس کانفیگ روتر های سیسکو شعب به عنوان NHC :

interface Tunnel1
description Branch 1
ip address 172.16.1.2 255.255.255.0
no ip redirects
ip nhrp authentication shabake
ip nhrp map multicast dynamic
ip nhrp map 172.16.1.1 217.218.0.10
ip nhrp map multicast 217.218.0.10
ip nhrp network-id 1
ip nhrp nhs 172.16.1.1
tunnel source FastEthernet0/0
tunnel mode gre multipoint

interface Tunnel1
description Branch 2
ip address 172.16.1.3 255.255.255.0
no ip redirects
ip nhrp authentication shabake
ip nhrp map multicast dynamic
ip nhrp map 172.16.1.1 217.218.0.10
ip nhrp map multicast 217.218.0.10
ip nhrp network-id 1
ip nhrp nhs 172.16.1.1
tunnel source FastEthernet0/0
tunnel mode gre multipoint

توسط ip nhrp map اقدام به mapping آدرس های تانل به آدرس NBMA مینماییم .

در ادامه میبایست یا Routing Protocol مورد نظر را کانفیگ و یا Static Route های لازم را جهت دسترسی روتر های دفاتر به شبکه های مربوطه تنظیم نماییم  .

 

برای بررسی عملکرد صحیح NHRP و برقراری تانل های dynamic توسط DMVPN در زمان نیاز ، میتوانید اقدام به تست ارتباط بین شبکه های پشت روتر های سیسکو شعب نموده و خروجی این کامند را مشاهده نمایید :

Central-Router# show dmvpn
Legend: Attrb –> S – Static, D – Dynamic, I – Incomplete
N – NATed, L – Local, X – No Socket
# Ent –> Number of NHRP entries with same NBMA peer
NHS Status: E –> Expecting Replies, R –> Responding
UpDn Time –> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Hub, NHRP Peers:2,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
—– ———————- ————— —– ——– —–
1 217.218.100.1 172.16.1.2 UP 00:02:18 D
1 217.219.200.1 172.16.1.3 UP 00:02:02 D

Branch1# show dmvpn
Legend: Attrb –> S – Static, D – Dynamic, I – Incomplete
N – NATed, L – Local, X – No Socket
# Ent –> Number of NHRP entries with same NBMA peer
NHS Status: E –> Expecting Replies, R –> Responding
UpDn Time –> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
—– ———————- ————— —– ——– —–
1 217.218.0.10 172.16.0.1 UP 00:04:48 S

Branch2# show dmvpn
Legend: Attrb –> S – Static, D – Dynamic, I – Incomplete
N – NATed, L – Local, X – No Socket
# Ent –> Number of NHRP entries with same NBMA peer
NHS Status: E –> Expecting Replies, R –> Responding
UpDn Time –> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
—– ———————- ————— —– ——– —–
1 217.218.0.10 172.16.0.1 UP 00:04:44 S

وفقک الله

سیسکو GRE چیست ؟

8 پاسخ

سیسکو GRE چیست ؟

GRE وآموزش پیاده سازی GRE – Generic Routing Encapsulation توسط روتر سیسکو

GRE یا همان Generic Routing Encapsulation یکی از پروتکل های سیسکو در آوردی کمپانی سیسکو است که برگرفته از کبر و غرور بالای این شرکت معظم است که مایل است صنعت شبکه را استوار بر دلبخواه های خودش کند 🙂 ! البته خیلی هم شوخی نبود ، در صورتی که با سیسکو آشنایی داشته باشید و یا مقالات ما را دنبال کرده باشید ، حتما به دیگر استانداردهای غیر استانداردی که مختص تجهیزات سیسکو است ، برخورده اید ، برای مثال ISL در مبحث Vlan Trunking و یا IGRP – EIRGP در مباحث روتینگ ،، و حال در این مقال شبکه های خصوصی مجازی یا همان V irtual P rivate N etwork ، باز سیسکو ساز مخالف میزند و GRE را معرفی می نماید .

سیسکو GRE Detail

سیسکو GRE Detail

GRE از حق نگذریم ، پروتکل خوبیست ، به زبان بیش از حد ساده در واقع پروتکلی است حمال ، برای Encapsulate کردن دیگر پروتکل ها در دل خود و انتقال بر روی بستر IP .

Tunneling مکانیسمی است که در آن پکت های یک نوع پروتکل ، توسط پروتکل دیگری بر روی بستری خاص در اینجا IP حمل میشود . در تانلینگ ما دو مفهوم داریم ، اولی که وظیفه انتقال را دارد Transport Protocol یا همان حمال خودمان نام دارد و پروتکلی که توسط این حمال حمل میشود ، Passenger یا همان مسافر نامیده میشود .

سیسکو GRE اینکپسولیشن

سیسکو GRE اینکپسولیشن

GRE قابلیت Encapsulate انواع پروتکل های مختلف را دارد ، به زبان ساده Encapsulate یعنی جاساز :دی ، بدین معنی که اگر قرار است این حمال باری را قاچاق کند ، این بار میتواند ، مواد غذایی فاسد شدنی ، انسان زنده یا مرده ( جسد ) ، اسلحه و مهمات ، کمک های مردمی و یا حتی مواد باشد ،، خب این قاچاقچی باید خیلی قابل باشد که بتواند انواع این مسافر ها را جاساز کرده و با پوشش مناسب از بستر های عمومی که همان جاده ها باشند عبور دهد :)) ! پس GRE مالتی پروتکل است 🙂 !

GRE عموما به صورت Point to Point بین دو روتر سیسکو برقرار میشود ، برای مثال شما میتوانید بر روی بستری عمومی مثال اینترنت یا اینترانت ، دفاتر و شعبات خود را توسط GRE بین روتر های مرزی به یکدیگر متصل و از مزایای Dynamic Routing استفاده کنید و یا برای انتقال اینترنت بر روی بستر اینترانت و یا انتقال خطوط تلفن بین دفاتر شرکت و سازمان و یا انتقال تصویر و یا هر نوع دیتای مهم دیگری که میبایست بر روی یک بستر عمومی نظیر اینترنت و یا اینترانت یا همان شبکه ملی داده به شکل خصوصی انتقال یابد .

GRE ذاتا Stateless است ، بدین معنی که متوجه افتادن لینک نمیشد ، البته میتوانید از keep-alive ها استفاده کنید و یا از floating static route  توسط  Policy Based Routing PBR و یا حتی از IP SLA چیست جهت Redundancy استفاده کنید  

راه اندازی و اتصال ذو روتر سیسکو توسط GRE Tunnel نسبتا آسان است ، تنها نکته ای باید به آن توجه کنید ، میزان MTU مسیر و همچنین TCP MSS است ، و الا با مشکل در باز شدن صفحات و … در انتقال اینترنت مواجه خواهید شد ، که در این باره طی یک مقاله قبلا بحث شده است .

آموزش راه اندازی GRE توسط روتر سیسکو : 

کانفیگ سیسکو GRE

کانفیگ سیسکو GRE

Router 1 :

R1(config)# interface Tunnel1

R1(config-if)#tunnel mode gre ip

R1(config-if)# ip address 172.16.0.1 255.255.255.0

R1(config-if)# ip mtu 1500

R1(config-if)# ip tcp adjust-mss 1360

R1(config-if)# tunnel source 1.1.1.10

R1(config-if)# tunnel destination 2.2.2.10

Router 2 : 

R2(config)# interface Tunnel1

R2(config-if)#tunnel mode gre ip

R2(config-if)# ip address 172.16.0.2 255.255.255.0

R2(config-if)# ip mtu 1500

R2(config-if)# ip tcp adjust-mss 1360

R2(config-if)# tunnel source 2.2.2.10

R2(config-if)# tunnel destination 1.1.1.10

حال برای اینکه شبکه های پشت روتر های 1 و 2 یکدیگر را ببینند این دو خط Route را بر روی هر روتر مینویسیم :

Router 1 :

R1(config)#ip route 192.168.2.0 255.255.255.0 172.16.0.2

Router 2 :

R2(config)#ip route 192.168.1.0 255.255.255.0 172.16.0.1

GRE پروتکل امنی نیست ، بدین معنی که اطلاعات بدون رمز گذاری Encapsulate میشود و هر انسان بیماری میتواند در میان راه پکت ها را Sniff یا همان شنود و decapsulate نماید ، پس برای حمل اطلاعات حساس ، ( اسلحه و مهمات و جسد و مواد و … ) مناسب نیست ، راه حل  چیست ؟ استفاده از IP SEC ! با استفاده از IP Sec میتوانید یک لایه امنیتی مناسب به GRE اضافه نمایید .

خیلی گذرا به کانفیگ IP Sec بر روی روتر 1 میپردازیم :

R1(config)# crypto isakmp policy 1
R1(config-isakmp)# encr 3des
R1(config-isakmp)# hash md5
R1(config-isakmp)# authentication pre-share
R1(config-isakmp)# group 2
R1(config-isakmp)# lifetime 86400

R1(config)# crypto isakmp key shabake address 2.2.2.10
R1(config)# crypto ipsec transform-set TS esp-3des esp-md5-hmac
R1(cfg-crypto-trans)# mode transport

R1(config)# crypto ipsec profile protect-gre
R1(ipsec-profile)# set security-association lifetime seconds 86400
R1(ipsec-profile)# set transform-set TS

R1(config)# interface Tunnel 0
R1(config-if)# tunnel protection ipsec profile protect-gre

همین تنظیمات نیز تقریبا به همین صورت میبایست بر روی روتر مجاور نیز پیاده سازی شود ، و اگر خیلی علاقه مند هستید که بفهمید مکانیسم کار به چه صورتیست ، بروید کتاب بخوانید 🙂

    وفقک الله
Aka Networks